Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > 145 lois sur l’IA ont été adoptées en 2025. Les équipes en charge de la confidentialité n’ont aucun répit.

145 lois sur l’IA ont été adoptées en 2025. Les équipes en charge de la confidentialité n’ont aucun répit.

par Patrick Spencer updated juin 10, 2026 Conformité réglementaire
temps de lecture: 6 minutes

La plupart des discussions sur le shadow AI en entreprise se concentrent sur l’utilisation d’outils non autorisés par les employés. Le rapport DataGrail Privacy and AI Trends 2026 met en lumière un problème plus fondamental : le shadow AI intégré dans des logiciels d’entreprise pourtant autorisés. Lorsque 63,6 % des fournisseurs d’IA ne révèlent pas leurs sous-traitants tiers, chaque organisation utilisant ces outils héberge du shadow AI par défaut — approuvé et actif.

La conséquence concrète, c’est que les cadres de gouvernance des données, qui partent du principe que la documentation juridique décrit fidèlement les flux de données, reposent sur des bases erronées. Un accord de traitement des données qui ne mentionne pas les sous-traitants ne permet pas d’analyser la conformité au RGPD, de vérifier un accord d’association d’affaires HIPAA, ni d’évaluer les frontières d’un système d’information dans le cadre du CMMC 2.0. L’organisation pense avoir évalué le risque lié au traitement des données. Ce n’est pas le cas.

Ce constat pose des problèmes spécifiques aux secteurs réglementés. Une organisation de santé qui traite des données de patients via un outil d’IA dont les sous-traitants incluent des services d’entraînement de modèles non divulgués risque de violer la HIPAA sans même s’en rendre compte. Un sous-traitant de la défense qui fait transiter des CUI via un système d’IA avec des sous-traitants non déclarés peut franchir les limites du CMMC sans qu’aucune alerte ne soit déclenchée. Le risque reste invisible précisément parce que le fournisseur a choisi de ne pas le divulguer. La due diligence en matière de confidentialité des données doit explicitement interroger les sous-traitants IA et exiger des garanties contractuelles attestant de l’exhaustivité des réponses.

5 enseignements clés

1. Les législatures des États américains ont adopté 145 lois liées à l’IA en 2025 — plus de 1 000 projets de loi introduits ou révisés.

Les équipes en charge de la confidentialité, qui subissent des réductions d’effectifs pouvant atteindre 33 %, doivent en même temps faire face à un rythme réglementaire qu’aucun programme manuel de conformité n’est conçu pour suivre. Chaque nouvelle loi crée de nouveaux droits pour les personnes concernées, de nouvelles exigences documentaires et, souvent, un droit d’action privé qui expose à des litiges indépendamment des autorités de régulation. La fonction conformité ne faillit pas à la tâche — on lui demande simplement d’en faire beaucoup plus avec beaucoup moins.

2. 63,6 % des fournisseurs d’IA dissimulent leurs sous-traitants tiers.

Sur 2 400 éditeurs de logiciels professionnels mettant en avant des fonctions IA, près des deux tiers ne mentionnent pas leurs sous-traitants IA dans leur documentation juridique. Les organisations qui utilisent ces produits déploient des systèmes IA qui font transiter des données via des tiers non déclarés — sans aucune visibilité sur la destination des données, les modèles qu’elles alimentent, ni les politiques de conservation appliquées. Il s’agit de shadow AI au niveau du fournisseur, actif dans des outils pourtant validés par les équipes juridiques et achats. La due diligence en gouvernance des données doit exiger des fournisseurs qu’ils énumèrent tous les sous-traitants IA.

3. 32,8 % des systèmes IA participent à au moins une activité à haut risque.

Le traitement de données sensibles et la prise de décision automatisée déclenchent des exigences renforcées dans le cadre de l’AI Act européen et des nouvelles lois américaines. Une part importante des déploiements IA en entreprise répond déjà à ces critères dans plusieurs cadres réglementaires actifs — mais la plupart des organisations n’ont pas encore évalué formellement la catégorie de leurs déploiements.

4. 42 % des entreprises ont abandonné des projets IA en 2025 pour des raisons de confidentialité.

Les organisations qui n’ont pas d’infrastructure IA gouvernée, garantissant la conformité au niveau de la donnée, font face à un choix binaire : déployer sans conformité, ou ne pas déployer. Quarante-deux pour cent ont choisi de ne pas déployer. Un canal IA gouverné — des parcours contrôlés par des règles où chaque mouvement de données est journalisé, chaque sous-traitant connu et chaque décision d’accès attribuable — offre une troisième voie : avancer tout en restant défendable.

5. L’exigence d’attestation en Californie pour 2028 introduit un risque pénal personnel pour les dirigeants.

Les analyses de risques déposées sous peine de parjure déplacent la responsabilité de la conformité du budget de l’organisation vers la carrière individuelle. Toute attestation déposée dans ce cadre doit décrire fidèlement les flux de données IA réels — y compris les sous-traitants. Les organisations dont les fournisseurs d’IA font partie des 63,6 % qui cachent leurs sous-traitants auront beaucoup de mal à signer une attestation exacte. Les cadres RGPD imposent une responsabilité similaire via les DPIA depuis des années ; les dirigeants américains sont désormais soumis à une exigence comparable.

Quelles normes de conformité des données sont essentielles ?

Pour en savoir plus :

L’accélération réglementaire et ses implications

145 lois en une seule année, c’est un rythme que la plupart des programmes de conformité ne sont pas conçus pour suivre. Chaque nouvelle loi crée de nouveaux droits pour les personnes concernées, de nouvelles obligations de conformité, de nouvelles exigences documentaires et, souvent, un droit d’action privé qui expose à des litiges indépendamment des autorités de régulation.

Les lois américaines sur la confidentialité des données sont désormais le principal facteur de complexité pour la conformité nationale des organisations hors secteurs fédéraux fortement réglementés. La Californie, le Texas, le Colorado, la Virginie et le Connecticut ont adopté des cadres de confidentialité avec des exigences distinctes sur la prise de décision automatisée, le traitement de données sensibles et les droits des consommateurs. Le constat de DataGrail selon lequel 32,8 % des systèmes IA participent à au moins une activité à haut risque signifie qu’une part importante des déploiements IA en entreprise déclenche déjà des exigences renforcées dans plusieurs cadres réglementaires actifs.

L’exigence d’attestation en Californie pour 2028 augmente considérablement les enjeux. Une analyse d’impact déposée avec l’attestation d’un dirigeant sous peine de parjure doit refléter fidèlement les flux de données IA réels — y compris les sous-traitants que 63,6 % des fournisseurs ne révèlent pas. Le RGPD a instauré ce modèle depuis plusieurs années via les DPIA. Les régulateurs américains adoptent désormais la même logique.

Le problème du traitement manuel à 1,5 million de dollars

Le constat de DataGrail selon lequel les entreprises de taille moyenne dépensent 1,5 million de dollars par an pour gérer manuellement les demandes d’accès aux données illustre une inefficacité structurelle qui s’aggrave à mesure que le nombre de lois applicables augmente. Chaque nouvelle loi créant des droits consommateurs — accès, suppression, rectification, portabilité, opposition — accroît le volume de demandes à traiter. Chaque nouvelle juridiction élargit la population de consommateurs pouvant exercer ces droits.

Le déploiement d’une IA gouvernée change la donne. Lorsque les interactions IA transitent par un canal contrôlé par des règles, le journal d’audit de ces interactions devient l’infrastructure de réponse aux demandes d’accès. Une organisation capable de prouver précisément quelles données ont été traitées par quel système IA, sous quelle autorisation et dans quel but, peut répondre aux demandes d’accès et de suppression sans reconstitution manuelle. Les politiques de minimisation des données appliquées au niveau de l’accès IA réduisent la quantité de données personnelles intégrées dans les workflows IA — limitant ainsi ce qui doit être divulgué ou supprimé en réponse aux demandes des consommateurs.

Le Kiteworks AI Data Gateway applique à la fois les contrôles de règles et la journalisation qui transforment la conformité d’un processus manuel chronophage en une capacité opérationnelle.

Construire un programme de conformité IA capable de gérer 145 lois

Aucune équipe confidentialité ne peut suivre individuellement 145 lois, plus plus de 1 000 projets de loi en attente, et gérer manuellement la conformité pour chacune. Les organisations qui s’en sortent traitent la conformité IA comme un problème d’infrastructure, pas de veille juridique. Les exigences sous-jacentes — minimisation des données, contrôle d’accès, transparence des traitements, journalisation — sont communes à presque tous les cadres de confidentialité. Une infrastructure de gouvernance IA qui applique ces exigences de façon uniforme permet de satisfaire plusieurs lois à la fois.

Appliquer la privacy by design à l’IA, c’est intégrer les contrôles de gouvernance dans l’architecture de déploiement avant que des données sensibles n’entrent dans le système. L’application de l’ABAC dans un déploiement IA fournit la couche de contrôle d’accès — garantissant que les systèmes IA n’accèdent qu’aux données qu’ils sont autorisés à traiter, dans des conditions alignées sur les exigences réglementaires applicables. Pour les organisations soumises au RGPD, l’accès aux données IA est limité par la légitimité du traitement et la minimisation des données. Pour celles relevant du CMMC 2.0, l’accès est borné par les exigences de gestion des CUI. La même infrastructure ABAC répond aux deux.

La conformité réglementaire au rythme de 145 lois par an impose l’automatisation, pas l’embauche. Les organisations qui intègrent cette automatisation à leur architecture de gouvernance IA bénéficient d’un avantage structurel à mesure que le rythme réglementaire s’accélère.

Pour en savoir plus sur la protection des données sensibles à l’ère de l’IA, réservez votre démo sans attendre !

Foire aux questions

Plus de six logiciels sur dix dotés de fonctions IA peuvent faire transiter les données de votre organisation via des services IA tiers non mentionnés dans leurs politiques de confidentialité ou accords de traitement des données. Selon le RGPD, les registres de traitement doivent inclure les sous-traitants et les DPA doivent leur imposer des standards équivalents de protection des données. Si un fournisseur ne divulgue pas un sous-traitant, vous ne pouvez pas l’avoir évalué. La due diligence en gouvernance des données doit exiger des fournisseurs qu’ils énumèrent tous les sous-traitants IA et obtenir des garanties contractuelles attestant de l’exhaustivité de la divulgation.

L’attestation d’un dirigeant sous peine de parjure fait passer la responsabilité de la conformité du niveau organisationnel au niveau individuel — exposant les dirigeants à un risque pénal personnel s’ils signent une attestation inexacte. Toute évaluation déposée dans ce cadre doit décrire fidèlement les flux de données IA réels, y compris les sous-traitants. Les organisations dont les fournisseurs d’IA font partie des 63,6 % qui cachent leurs sous-traitants auront beaucoup de mal à signer une attestation exacte. Les analyses d’impact sur la vie privée ne sont plus de simples formalités administratives.

Ce taux d’abandon de 42 % reflète un manque structurel : des organisations disposaient de fonctions IA qu’elles souhaitaient déployer, mais ne pouvaient pas satisfaire aux exigences de conformité sans infrastructure gouvernée. Sans canal IA gouverné, une organisation fait face à un choix binaire — déployer sans conformité ou ne pas déployer. Un canal gouverné, avec application des règles, transparence totale sur les sous-traitants et journalisation complète, offre une troisième voie : avancer de façon réellement défendable au regard de la loi.

En traitant le sujet comme un problème d’infrastructure, et non de veille juridique. Les flux de données documentés, les contrôles d’accès applicables, la minimisation des données et la journalisation sont communs à pratiquement tous les cadres de confidentialité modernes. Une infrastructure de gouvernance IA qui applique ces exigences de façon uniforme permet de satisfaire plusieurs lois à la fois. Les journaux d’audit retraçant chaque accès IA fournissent la base probante pour répondre aux demandes d’accès et aux enquêtes réglementaires — réduisant le coût de traitement manuel par demande à quasi zéro.

Au minimum : un canal d’accès aux données gouverné appliquant des règles avant que les systèmes IA ne lisent ou n’écrivent des données sensibles ; une journalisation de toutes les interactions IA ; des contrôles de minimisation des données empêchant l’IA d’accéder à plus que le strict nécessaire ; un inventaire exhaustif des sous-traitants IA avec engagements contractuels de protection des données ; et un processus de gestion des demandes d’accès utilisant le journal d’audit comme preuve. Le Kiteworks AI Data Gateway et le cadre Compliant AI proposent cette approche intégrée, sans nécessiter d’intégration sur mesure.

Ressources complémentaires

  • Article de blog
    Stratégies Zero-Trust pour protéger la confidentialité IA à moindre coût
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    AI Governance Gap : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves concrètes de son efficacité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks