Crise de conformité des données liées à l’IA : 88 % des entreprises peinent à gérer la gouvernance et la sécurité

La révolution de l’IA en entreprise crée une crise de sécurité des données que la plupart des organisations ne sont pas prêtes à affronter. Selon le Digital Communications Governance Report 2025/26 de Theta Lake, 99 % des organisations étendent leur utilisation de l’IA, mais 88 % rencontrent déjà des difficultés en matière de gouvernance et de sécurité des données liées à l’IA.

Résumé des points clés

1. L’adoption de l’IA dépasse les capacités de gouvernance. Pratiquement toutes les organisations (99 %) développent l’usage de l’IA, mais 88 % font déjà face à des difficultés de gouvernance et de sécurité des données. Ce décalage entre la rapidité de déploiement et la préparation de la gouvernance crée une exposition généralisée que les cadres actuels ne peuvent pas traiter.
2. L’exposition de données sensibles via l’IA reste un angle mort. Près de la moitié des organisations (45 %) ne peuvent pas détecter la présence d’informations confidentielles dans les contenus générés par l’IA. Une fois que l’IA crée un contenu contenant des données sensibles, 40 % des organisations perdent la capacité de suivre la diffusion de ces informations.
3. Les régulateurs tiennent les organisations responsables du contenu généré par l’IA. FINRA précise que les entreprises sont responsables de leurs communications, qu’elles soient générées par l’IA ou par des humains. Avec 47 % des organisations incapables de garantir que le contenu généré par l’IA respecte les normes de conformité, le risque réglementaire est important et ne cesse de croître.
4. Les garde-fous d’infrastructure ne suffisent pas à protéger les données sensibles. Les contrôles d’accès et les autorisations d’utilisation déterminent qui peut utiliser les outils d’IA, mais pas ce que l’IA génère avec ces accès. Les organisations ont besoin d’inspection du contenu et d’une gouvernance basée sur le comportement pour identifier l’exposition de données sensibles et les violations de conformité.
5. La gouvernance doit contrôler les données injectées dans les systèmes d’IA. Le risque lié à l’IA existe à l’entrée comme à la sortie : ce que les employés partagent avec l’IA et ce que l’IA génère à partir de ces données. Sans contrôle au moment de l’échange de données, impossible pour les organisations d’éviter l’exposition de contenu sensible, quels que soient les garde-fous internes aux outils d’IA.

Cette enquête annuelle menée auprès de 500 responsables IT, communications unifiées et conformité issus de sociétés de services financiers aux États-Unis et au Royaume-Uni met en lumière une tendance préoccupante. Les organisations déploient des fonctions IA à une vitesse inédite sans disposer des cadres de gouvernance nécessaires pour protéger les données sensibles ou répondre aux obligations de conformité réglementaire. Ces résultats s’inscrivent dans un contexte de plus de 4 milliards de dollars d’amendes infligées dans le monde pour des manquements à la tenue de registres et à la supervision ces dernières années, les régulateurs se tournant désormais vers le contenu généré par l’IA.

Si l’enquête cible le secteur financier, ses enseignements concernent tous les secteurs réglementés. Toute organisation traitant des données sensibles — santé, juridique, secteur public, industrie — fait face aux mêmes défis de gouvernance des données IA. La course au déploiement de l’IA expose des informations confidentielles, crée des risques réglementaires et dépasse la capacité des organisations à garder la main sur leurs contenus les plus sensibles.

L’adoption de l’IA dépasse la sécurité et la conformité

La rapidité de déploiement

La vitesse d’adoption de l’IA en entreprise est impressionnante. Pratiquement tous les participants (99 %) prévoient d’implémenter ou d’étendre des fonctions IA dans leurs outils de communication et de collaboration, intégrant ainsi l’IA dans presque toutes les fonctions métiers.

Les fonctions IA déployées illustrent l’ampleur de l’exposition. Selon les données recueillies, les principales fonctions IA que les entreprises comptent mettre en place ou développer sont les assistants génératifs (92 %), la prise de notes et la synthèse automatisées des réunions (81 %) et les IA agentiques personnalisées (77 %). De plus, 68 % des entreprises prévoient une utilisation accrue des outils IA dans les 12 prochains mois.

Chacune de ces implémentations ouvre de nouvelles voies d’exposition des données sensibles. Les assistants génératifs traitent des requêtes d’employés susceptibles de contenir des informations confidentielles. Les outils de synthèse de réunions capturent et condensent des échanges sensibles. Les systèmes IA agentiques agissent de façon autonome sur les données auxquelles ils accèdent.

Une nouvelle catégorie de risques

Le rapport identifie les « aiComms » comme une nouvelle catégorie de communications générées par l’IA nécessitant une gouvernance spécifique. Les assistants IA, outils génératifs et IA agentiques introduisent une nouvelle forme de communications et de comportements. Ces aiComms constituent à la fois un nouveau type de communication à capturer et superviser, et un nouvel acteur dans les interactions, générant des défis supplémentaires de conformité, de gouvernance et de sécurité.

Il s’agit d’un changement fondamental dans la gestion des risques liés aux données en entreprise. L’IA ne se contente plus de traiter l’information : elle génère de nouveaux contenus à partir de données sensibles. Les cadres de sécurité traditionnels, conçus pour protéger les données au repos ou en transit, ne peuvent pas gérer les contenus créés, transformés et diffusés par les systèmes IA.

Le problème des 88 %

Le fossé entre le déploiement de l’IA et la préparation de la gouvernance atteint un niveau critique. 88 % des participants déclarent rencontrer des difficultés de gouvernance et de sécurité des données liées à l’IA, soulignant l’urgence d’une stratégie de gouvernance adaptée.

Il ne s’agit pas d’un problème à venir, mais d’une crise actuelle qui touche près de neuf organisations sur dix interrogées. Les 12 % restants qui ne signalent aucune difficulté témoignent probablement d’un manque de visibilité plutôt que d’une gouvernance efficace.

Comment l’IA crée des vulnérabilités de sécurité des données

Exposition de données sensibles via les sorties de l’IA

Le principal risque de sécurité lié à l’IA concerne la présence d’informations sensibles dans les contenus générés par l’IA. Le rapport indique que 45 % des organisations rencontrent des difficultés à détecter si des données confidentielles ou sensibles ont été exposées dans les résultats générés par l’IA.

L’exposition se produit par de multiples vecteurs. Les synthèses de réunions IA peuvent capturer des discussions stratégiques confidentielles et les diffuser largement. Les assistants génératifs peuvent intégrer des données propriétaires dans des réponses partagées à l’externe. Les outils IA entraînés sur des données d’entreprise peuvent faire remonter des informations sensibles dans des contextes inattendus.

La difficulté réside dans le fait que les systèmes IA agrègent et transforment les données de manière à révéler des informations confidentielles, même lorsque chaque entrée individuelle semble anodine. Un compte rendu de réunion combinant les propos de plusieurs participants peut dévoiler des informations stratégiques. Une réponse IA s’appuyant sur plusieurs documents peut synthétiser des informations protégées sous une forme partageable.

Manque de visibilité sur les interactions avec l’IA

Impossible de gouverner ce qu’on ne voit pas, et la plupart des organisations manquent de visibilité sur la façon dont les employés interagissent avec les systèmes IA. Le rapport indique que 41 % des organisations peinent à identifier les comportements à risque des utilisateurs finaux lors de l’utilisation d’outils IA.

Les employés peuvent saisir des données sensibles dans des requêtes IA sans en mesurer les risques. Informations clients, données financières, propriété intellectuelle et plans stratégiques alimentent les systèmes IA via des questions apparemment anodines. Sans visibilité sur ces interactions, les organisations ne peuvent détecter l’exposition qu’une fois le dommage constaté.

L’usage clandestin de l’IA aggrave ce problème. Les employés adoptent des outils IA hors du contrôle de la DSI, générant des flux de données que les équipes de sécurité ne peuvent ni surveiller ni contrôler. Du contenu sensible migre vers des systèmes IA dépourvus de contrôles de sécurité d’entreprise, de garanties de localisation des données ou de contrôles d’accès adaptés.

Incapacité à tracer la diffusion des contenus IA

Une fois qu’un contenu généré par l’IA contient des données sensibles, les organisations perdent souvent la capacité de suivre la circulation de ces informations. Le rapport révèle que 40 % des organisations ont du mal à savoir où et avec qui un contenu ou une communication problématique généré par l’IA a été partagé.

Un résumé généré par l’IA contenant des informations confidentielles peut circuler par e-mail, messagerie, partage de fichiers et communications externes avant que l’exposition ne soit détectée. Sans traçabilité au niveau du contenu, impossible de contenir la fuite ou d’en mesurer l’ampleur. La diffusion décentralisée des contenus IA rend les approches DLP traditionnelles inefficaces.

Défaillances dans la validation des garde-fous

Beaucoup d’organisations mettent en place des contrôles d’accès et des restrictions d’usage sur les outils IA, mais ces garde-fous échouent souvent dans la pratique. L’enquête indique que 36 % des organisations peinent à valider que les garde-fous autour de l’accès des outils IA aux données ou de l’accès des utilisateurs finaux aux outils et modèles IA fonctionnent comme prévu.

D’autres failles de gouvernance aggravent la situation. 35 % peinent à retirer les contenus IA inappropriés des conversations en cas de non-respect des règles. 33 % rencontrent des difficultés à corriger les contrôles IA ou à notifier et former les utilisateurs après un incident. L’écart entre les restrictions IA prévues et la réalité reste important.

Défi de la conformité réglementaire

Responsabilité du contenu généré par l’IA

Les cadres réglementaires tiennent les organisations responsables du contenu généré par l’IA au même titre que les communications humaines. Le principal défi — cité par près de la moitié (47 %) des organisations — est de garantir que le contenu généré par l’IA est exact et conforme aux exigences réglementaires.

Aucune tolérance réglementaire n’existe pour les erreurs ou hallucinations de l’IA. Si l’IA génère un contenu inexact transmis à des clients ou partenaires, l’organisation en porte la responsabilité, quelle que soit l’origine du contenu. Le risque est d’autant plus élevé que l’IA générative produit fréquemment des informations plausibles mais erronées.

Les obligations de tenue de registres s’appliquent à l’IA

Les exigences réglementaires de tenue de registres s’appliquent aux communications générées par l’IA, créant des défis de conformité que la plupart des organisations n’ont pas résolus. Le rapport indique que 92 % des entreprises peinent à capturer les communications professionnelles pour répondre à leurs obligations de tenue de registres et de supervision, ou doivent désactiver certaines fonctions pour des raisons de conformité.

Les défis propres à la conformité IA sont majeurs. L’enquête révèle que 41 % des organisations identifient des difficultés spécifiques avec les assistants génératifs, et 41 % supplémentaires avec les synthèses de conversations ou la prise de notes automatisée.

Certaines organisations choisissent de désactiver totalement les fonctions IA pour éviter les risques de non-conformité. Cette solution sacrifie les gains de productivité pour éviter les problèmes de gouvernance, mais elle n’est pas viable à long terme alors que l’IA s’intègre au cœur des outils métiers.

Le contrôle réglementaire s’intensifie

Les régulateurs examinent activement la gouvernance du contenu généré par l’IA. Les difficultés à gérer les communications professionnelles s’inscrivent dans un contexte de surveillance réglementaire accrue. Ces dernières années, les amendes mondiales pour défaut de tenue de registres et de supervision ont dépassé 4 milliards de dollars, principalement après les enquêtes de la SEC et de la CFTC désormais closes.

Problème d’exactitude

Les erreurs d’exactitude de l’IA créent un risque réglementaire distinct lorsque des contenus inexacts atteignent des clients, partenaires ou canaux publics. Les systèmes IA génératifs peuvent produire des affirmations erronées mais convaincantes sur des produits, services, performances ou sujets réglementaires. Les communications IA à destination des clients peuvent contenir des erreurs ou des informations trompeuses entraînant des violations de divulgation ou des problèmes d’adéquation.

Les organisations ne disposent pas aujourd’hui de méthodes systématiques pour vérifier l’exactitude de l’IA à grande échelle. La relecture manuelle ne peut suivre le rythme de génération de contenu de l’IA, tandis que la validation automatisée de l’exactitude reste immature.

Pourquoi les approches de gouvernance traditionnelles échouent

Les garde-fous d’infrastructure sont insuffisants

Beaucoup d’organisations abordent la gouvernance des données IA via des contrôles d’infrastructure : accès basé sur les rôles, classification des données et autorisations d’utilisation. Ces garde-fous sont nécessaires mais fondamentalement insuffisants.

Le rapport souligne que, pour les sociétés de services financiers, le déploiement massif de l’IA génère de nouveaux comportements, types d’interactions et une nouvelle catégorie de communications avec des risques inédits, impossibles à encadrer par les seuls garde-fous d’infrastructure.

Les contrôles d’infrastructure déterminent qui peut accéder aux outils IA et quelles données l’IA peut consulter. Ils ne régissent pas ce que l’IA génère avec ces accès. Un employé disposant des autorisations appropriées et utilisant un outil IA correctement configuré peut malgré tout générer un contenu exposant des informations sensibles ou enfreignant les exigences de conformité. Les organisations doivent inspecter les interactions avec l’IA et les contenus produits.

Des systèmes fragmentés créent des angles morts

Les fonctions IA sont déployées dans des environnements technologiques fragmentés, générant des angles morts en matière de gouvernance. Comme l’an dernier, l’environnement de travail moderne repose sur plusieurs outils UCC, 82 % des organisations en utilisant au moins quatre. La proportion utilisant dix outils ou plus a triplé pour atteindre 12 %.

Des fonctions IA intégrées à des systèmes déconnectés génèrent des contenus qui circulent sur différents canaux, avec des contrôles incohérents. Il n’existe aucune vue unifiée du contenu généré par l’IA à l’échelle de l’entreprise. La gouvernance appliquée à un outil IA ne s’étend pas nécessairement aux autres, créant des failles que les données sensibles peuvent traverser.

Les contrôles basés sur les règles ne passent pas à l’échelle

Les organisations qui s’appuient sur des règles pour encadrer l’usage de l’IA se heurtent à des limites structurelles. Lorsqu’elles interdisent l’utilisation des assistants et preneurs de notes IA, 60 % misent sur des règles et des avertissements, 56 % diffusent une politique écrite auprès des employés, et 47 % surveillent activement que les employés et les tiers n’utilisent pas leurs propres outils IA lors des échanges.

Les règles fixent des attentes mais ne préviennent pas l’exposition de données sensibles. Les employés peuvent enfreindre ces règles par inadvertance ou délibérément. Le suivi du respect des règles exige des contrôles techniques dont la plupart des organisations ne disposent pas. À mesure que l’IA se généralise, la gouvernance basée sur les règles devient de moins en moins adaptée.

Défi de la qualité des données

Une gouvernance efficace des données IA requiert des données complètes et contextualisées, que la plupart des organisations ne peuvent fournir. Pour la moitié des répondants, l’IA a amélioré l’efficacité de la supervision, tandis que l’autre moitié rencontre des difficultés liées à la fragmentation des sources de données et à des infrastructures sur mesure. Plus précisément, 31 % cherchent à améliorer la qualité des données.

Impossible de gouverner des interactions IA qu’on ne peut capturer. Impossible d’analyser les résultats IA sans compréhension du contexte. Impossible d’appliquer des règles sans visibilité sur le contenu. La base de données nécessaire à la gouvernance IA fait défaut dans la plupart des entreprises.

Construire une gouvernance des données adaptée à l’IA

La réponse par l’investissement

Les organisations prennent conscience de l’échec des approches actuelles et réagissent en augmentant leurs investissements. Les entreprises investissent massivement dans la conformité des communications, face à la complexité croissante des échanges numériques, y compris les aiComms, et à la pression réglementaire. 86 % investissent déjà davantage (contre 65 % l’an dernier) et 12 % supplémentaires prévoient de le faire.

La confiance dans les approches existantes s’est effondrée. Elle reste très faible à 2 %, contre 8 % l’an passé. Cette reconnaissance quasi unanime de l’insuffisance des modèles actuels crée une urgence pour de nouveaux modèles de gouvernance.

Des études indépendantes confirment cette tendance. Selon l’étude annuelle de Metrigy sur la collaboration au travail, les premiers résultats montrent que plus de 65 % des entreprises prévoient d’augmenter leurs dépenses en sécurité et conformité pour faire face aux menaces IA croissantes. Plus de 90 % des organisations ont mis en place, ou prévoient de mettre en place, une stratégie dédiée à la sécurité et à la conformité de l’IA.

Principales exigences pour la gouvernance des données IA

Une gouvernance efficace des données IA requiert des fonctions dont la plupart des organisations ne disposent pas aujourd’hui.

• L’inspection du contenu doit porter sur ce que l’IA génère, et pas seulement sur les accès aux outils IA. Les organisations ont besoin de visibilité sur les résultats IA pour identifier l’exposition de données sensibles, les violations de conformité et les erreurs d’exactitude.
• La compréhension contextuelle doit permettre d’analyser le contenu IA au regard des exigences réglementaires et des règles internes. Une capture brute sans analyse contextuelle ne permet pas de prendre des décisions de gouvernance éclairées.
• La capture doit inclure les interactions IA en plus des communications traditionnelles. Une capture sélective crée des failles exploitées par les régulateurs ou la justice.
• La détection des comportements doit identifier les usages à risque de l’IA par les employés. Les requêtes anormales, les saisies de données sensibles et les violations de règles doivent être repérées avant de causer des dommages.

Étendre la gouvernance sur tout le cycle de vie des données IA

Le risque IA existe à chaque étape du cycle de vie des données : à l’entrée, lorsque les employés partagent des données sensibles avec les systèmes IA, et à la sortie, lorsque l’IA génère des contenus à partir de ces données. La gouvernance doit couvrir ces deux vecteurs.

Contrôler les données injectées dans les systèmes IA est essentiel pour éviter que du contenu sensible ne soit exposé dans des environnements à risque. Cela suppose une gouvernance opérant au moment de l’échange de données, permettant de tracer les contenus privés qui alimentent les outils IA et d’appliquer les règles avant toute exposition.

Des solutions telles que Kiteworks AI Data Gateway et MCP Server répondent à ce défi en proposant des contrôles de gouvernance sur les flux de données sensibles vers et entre les systèmes IA. Les organisations gagnent en visibilité sur les contenus privés entrant dans les environnements IA, peuvent appliquer des règles d’accès aux données IA et conserver des traces d’audit pour la conformité. Sans ce niveau de contrôle au point d’échange, impossible d’éviter l’exposition de contenu sensible, quels que soient les garde-fous internes aux outils IA.

Combler le fossé de la conformité des données IA

Le principal défi des entreprises aujourd’hui est limpide : l’adoption de l’IA a largement dépassé les capacités de gouvernance. Avec 88 % des organisations confrontées à des difficultés de gouvernance des données IA, 45 % incapables de détecter l’exposition de données sensibles dans les résultats IA, et 47 % incapables de garantir la conformité réglementaire du contenu IA, l’écart entre déploiement et contrôle ne cesse de se creuser.

Les enjeux dépassent les amendes réglementaires. Les violations de données issues des systèmes IA peuvent exposer des informations clients, de la propriété intellectuelle et des plans stratégiques. Les échecs de conformité peuvent entraîner des mesures coercitives qui freinent l’activité. L’atteinte à la réputation liée à des incidents IA peut éroder la confiance des clients et partenaires.

La solution passe par un changement de paradigme : passer des garde-fous d’infrastructure à l’inspection du contenu et à une gouvernance basée sur le comportement. Les organisations doivent gagner en visibilité sur les données injectées dans les systèmes IA, sur les contenus générés par l’IA et sur la diffusion de ces contenus. Elles doivent appliquer les règles au moment de l’échange de données, et pas seulement à l’accès aux systèmes.

Les organisations qui mettent en place dès maintenant une gouvernance des données IA adaptée réduiront leur exposition aux risques et préserveront la confiance réglementaire, tandis que leurs concurrents resteront vulnérables. Celles qui tardent verront le fossé de gouvernance se creuser à mesure que l’IA s’intègre au cœur des opérations.