La gouvernance des données liées à l’IA passe à la phase de contrôle : 78 % des organisations ne sont pas prêtes à affronter ce qui les attend
Principaux enseignements
- Échéances de mise en application imminentes. L’AI Act du Colorado et les règles CCPA de Californie imposent, à partir de 2026-2027, des évaluations de risques obligatoires, des exigences de transparence et des contrôles pour les systèmes d’IA à haut risque, faisant passer la gouvernance de l’IA d’un cadre volontaire à un cadre réglementé assorti de sanctions.
- Un manque de préparation majeur révélé. 78 % des organisations ne peuvent ni valider les données d’entraînement ni en tracer la provenance, ce qui les empêche de prouver leur conformité lorsque les autorités exigent des preuves d’utilisation licite des données dans les modèles d’IA.
- L’ombre de l’IA dépasse la gouvernance. 92 % des entreprises déclarent que la GenAI modifie le partage de données, mais seulement 13 % disposent d’une stratégie IA formelle, ce qui alimente les incidents internes et crée des risques invisibles de perte de données, pour un coût annuel de 10,3 millions de dollars.
- Rapprochement des régulateurs et assureurs. Les priorités de la SEC et les exigences des assureurs cyber imposent désormais des contrôles spécifiques à l’IA, comme le red teaming et les évaluations de risques, augmentant les primes ou refusant la couverture aux organisations sans pratiques documentées.
Pendant trois ans, la gouvernance de l’IA reposait sur des principes, des cadres et des engagements volontaires. Les organisations publiaient des politiques d’IA responsable, nommaient des comités d’éthique et débattaient des définitions. Cette phase touche à sa fin.
Deux jalons concrets de mise en application figurent désormais au calendrier. L’AI Act du Colorado, en vigueur le 30 juin 2026, oblige les organisations qui déploient des systèmes d’IA à haut risque à réaliser des évaluations de risques documentées, à mettre en place des garde-fous contre la discrimination algorithmique et à assurer un suivi et des contrôles continus. Les règlements CCPA de Californie sur les technologies de décision automatisée, entrés en vigueur le 1er janvier 2026, ajoutent immédiatement des exigences d’évaluation des risques, avec des dispositions complètes sur la prise de décision automatisée — notamment des notifications préalables, des possibilités d’opt-out pour les consommateurs et des divulgations détaillées — qui seront appliquées à partir du 1er janvier 2027.
Il ne s’agit pas de recommandations ambitieuses, mais de règles assorties de sanctions, qui créent des attentes en matière d’audit et exigent des organisations qu’elles produisent une documentation vérifiable par les autorités. Or, les données montrent que la plupart en sont incapables. Ce décalage représente une opportunité d’application que les régulateurs se préparent déjà à exploiter.
5 enseignements clés
1. La gouvernance de l’IA n’est plus théorique.
L’AI Act du Colorado entre en vigueur le 30 juin 2026 et les règles californiennes sur la prise de décision automatisée seront pleinement appliquées à partir du 1er janvier 2027 — toutes deux imposent des évaluations de risques documentées, des obligations de transparence et des contrôles techniques pour les systèmes d’IA. La question n’est plus de savoir si une réglementation sur la gouvernance des données IA arrive, mais si les organisations peuvent fournir les preuves exigées par ces lois.
2. Presque aucune organisation ne peut prouver la conformité des données d’entraînement.
78 % des organisations ne peuvent pas valider les données avant leur entrée dans les pipelines d’entraînement, 77 % ne peuvent pas en tracer la provenance et 53 % ne peuvent pas récupérer les données d’entraînement après un incident. Quand un régulateur demande « Comment prouvez-vous l’absence d’informations personnelles identifiables (PII) dans votre modèle ? », la plupart des organisations restent sans réponse.
3. L’ombre de l’IA creuse l’écart de gouvernance plus vite que les politiques ne peuvent le combler.
92 % des organisations affirment que la GenAI a changé la façon dont les employés partagent l’information, mais seulement 13 % ont intégré formellement l’IA à leur stratégie d’entreprise — soit un rapport de 7 pour 1 entre la perturbation induite par l’IA et la gouvernance de l’IA. L’ombre de l’IA est devenue la principale cause d’incidents internes par négligence, pour un coût annuel de 10,3 millions de dollars selon le rapport DTEX/Ponemon 2026 sur les menaces internes.
4. Régulateurs et assureurs convergent vers la sécurité IA comme exigence centrale.
La SEC a identifié les menaces liées à l’IA pour l’intégrité des données comme priorité d’examen pour 2026. Les assureurs cyber commencent à exiger des pratiques de sécurité spécifiques à l’IA — dont le red teaming et les évaluations de risques au niveau des modèles — comme conditions de couverture. Les organisations incapables de prouver ces pratiques risquent des primes plus élevées, des exclusions ou des refus d’indemnisation.
5. Le problème des données d’entraînement est aussi un problème de réponse aux incidents.
53 % des organisations n’ont aucun mécanisme pour retirer des données d’un modèle déjà entraîné. Leur réponse aux incidents s’arrête au confinement, sans solution de remédiation — ce qui signifie qu’une demande de suppression au titre du RGPD ou un incident de data poisoning peut imposer un réentraînement complet, un processus coûteux et souvent irréaliste pour des modèles déjà en production.
Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?
Pour en savoir plus :
L’écart de préparation des données d’entraînement : six contrôles, six échecs
Le rapport prévisionnel 2026 de Kiteworks sur la sécurité, la conformité et les risques liés aux données a interrogé les organisations sur six fonctions essentielles de gouvernance des données d’entraînement. Les résultats sont sans appel.
78 % des organisations ne peuvent pas valider les données avant leur entrée dans les pipelines d’entraînement — elles sont donc incapables de prouver aux régulateurs que les données alimentant leurs systèmes d’IA répondent aux exigences de qualité, de légalité ou de consentement. 77 % ne peuvent pas retracer l’origine des données d’entraînement, rendant les questions de provenance impossibles à traiter pour les régulateurs ou les personnes concernées. 65 % n’ont pas de contrôle d’accès sur les jeux de données, ce qui signifie qu’elles ne peuvent pas prouver que seules les personnes ou systèmes autorisés ont interagi avec les données d’entraînement. 62 % ne peuvent pas démontrer de pratiques de minimisation des données pour l’IA, ce qui les expose au RGPD et aux nouvelles lois sur la vie privée qui imposent des limites de traitement. 59 % ne chiffrent pas les données d’entraînement, les exposant en cas de violation. Et 53 % ne peuvent pas récupérer les données d’entraînement après un incident — elles n’ont donc aucun mécanisme pour « désapprendre » ou remédier lorsqu’un modèle contient des données non autorisées.
Quand un régulateur, dans le cadre de l’AI Act du Colorado ou des règles ADM de Californie, demande « Comment prouvez-vous l’absence d’informations personnelles identifiables (PII) dans votre modèle ? », 78 % des organisations restent sans réponse.
L’ombre de l’IA creuse l’écart de gouvernance par un facteur de sept
L’écart entre l’adoption de l’IA et sa gouvernance ne se réduit pas. Il s’élargit.
Le rapport DTEX/Ponemon 2026 sur les menaces internes révèle que 92 % des organisations affirment que l’IA générative a fondamentalement changé la façon dont les employés accèdent à l’information et la partagent. Mais seulement 13 % ont intégré formellement l’IA à leur stratégie d’entreprise. Cela représente un rapport de 7 pour 1 entre la perturbation induite par l’IA et la gouvernance de l’IA.
L’ombre de l’IA — des outils non approuvés intégrés aux workflows quotidiens — est devenue la principale cause d’incidents internes par négligence. Les coûts sont réels : les collaborateurs négligents représentent 53 % du coût total des risques internes, soit 10,3 millions de dollars par an, en hausse de 17 % sur un an. 73 % des organisations craignent que l’utilisation non autorisée de l’IA ne crée des voies invisibles de fuite de données.
Le rapport prévisionnel de Kiteworks ajoute la dimension vie privée. 35 % des organisations citent les données personnelles dans les prompts IA comme principal risque de confidentialité, mais la plupart s’appuient sur des règles plutôt que sur des contrôles techniques pour l’éviter. 29 % signalent les transferts de données à l’international via des fournisseurs IA comme une préoccupation, avec seulement des protections contractuelles. 26 % s’inquiètent des fuites de PII dans les résultats IA, mais seulement 37 % disposent de contrôles liés à la finalité d’utilisation.
Une règle ne suffit pas à empêcher qu’une liste de clients soit collée dans ChatGPT à 23h. Seuls les contrôles techniques le permettent.
Régulateurs et assureurs considèrent la sécurité IA comme incontournable
La pression réglementaire ne se limite pas aux agences de protection des données. Les autorités fédérales et le secteur de l’assurance convergent vers la gouvernance de l’IA comme élément central de la gestion des risques cyber.
La SEC a identifié les menaces liées à l’IA pour l’intégrité des données comme priorité d’examen pour 2026 et envisage de renforcer les obligations de divulgation autour de la gouvernance IA. Pour les entreprises cotées, la présence — ou l’absence — de contrôles de sécurité IA pourrait devenir une information essentielle déclenchant des obligations de divulgation.
Les assureurs cyber suivent la même trajectoire. Selon une analyse de OneTrust, les assureurs commencent à exiger des pratiques de sécurité spécifiques à l’IA comme condition de couverture, notamment le red teaming, les évaluations de risques au niveau des modèles et l’alignement sur des cadres reconnus comme le NIST AI Risk Management Framework. Les organisations incapables de prouver ces pratiques risquent des primes plus élevées, des exclusions de garantie ou des refus d’indemnisation en cas d’incident lié à l’IA.
Le rapport Thales Data Threat 2026 donne le contexte : la sécurité IA est devenue la deuxième priorité d’investissement en cybersécurité, juste derrière la sécurité cloud. Les organisations commencent à allouer des budgets — mais les données du rapport prévisionnel de Kiteworks montrent que ces investissements ne se traduisent pas encore par des contrôles opérationnels au niveau des données d’entraînement.
L’écart de réponse aux incidents dont personne ne parle
Le problème des données d’entraînement n’est pas seulement un problème de conformité. C’est aussi un problème de réponse aux incidents.
Lorsqu’un modèle est compromis, empoisonné ou contient des données personnelles non autorisées, les organisations doivent remédier — pas seulement contenir. Or, selon le rapport prévisionnel de Kiteworks, 53 % des organisations ne peuvent pas récupérer les données d’entraînement après un incident. Leur réponse s’arrête au confinement. Elles n’ont pas de solution de remédiation autre qu’un réentraînement complet — un processus coûteux, long et souvent irréaliste pour des modèles déjà en production.
Cela se rattache directement aux obligations réglementaires qui se précisent. L’article 17 du RGPD sur le droit à l’effacement s’étend aux données dérivées. L’AI Act de l’UE impose la documentation et la gouvernance des données d’entraînement. Les droits de suppression du CCPA californien incluent les inférences. Lorsqu’une personne exerce son droit à l’effacement et que ses données sont intégrées dans un modèle entraîné, l’organisation doit pouvoir réagir. 53 % n’en ont pas la capacité.
Le rapport CrowdStrike Global Threat 2026 souligne l’importance de ce point du point de vue des menaces. Les attaquants commencent à cibler directement les systèmes IA — via l’injection de prompts, l’exploitation des workflows pilotés par l’IA et l’élargissement de la surface d’attaque aux pipelines de données et systèmes de décision. Une hausse de 89 % des attaques menées par des adversaires utilisant l’IA d’une année sur l’autre montre que les systèmes IA sont des cibles actives, pas seulement des risques de conformité.
Convergence UE et mondiale : la gouvernance IA rencontre la gouvernance vie privée
Ce qui rend le moment réglementaire 2026 unique, ce n’est pas une loi en particulier, mais la convergence.
Le calendrier progressif de l’AI Act de l’UE introduit des obligations pour les modèles d’IA à usage général dès 2025, suivies des exigences pour les systèmes d’IA à haut risque en 2026–2027. Ces exigences — documentation technique, gestion des risques, transparence et supervision humaine — s’inspirent des structures de responsabilité du RGPD. L’avis 28/2024 de l’EDPB sur les modèles IA précise les obligations des responsables de traitement lors du déploiement de modèles développés ailleurs, créant des obligations de gouvernance pour les sous-traitants qui reflètent les exigences existantes du RGPD en matière de gestion des fournisseurs.
En pratique, les organisations ne devraient pas créer des programmes de gouvernance IA séparés. Il faut aligner la documentation IA, les DPIA et les mesures techniques sur les cadres existants de protection des données et de sécurité de l’information — car la mise en application future traitera ces sujets comme un ensemble de gouvernance unifié.
Le Global Cybersecurity Outlook 2026 du Forum économique mondial élargit la perspective : la complexité croissante des exigences réglementaires est elle-même une source de risque cyber. 31 % des grandes organisations citent la conformité réglementaire et la complexité de la gouvernance comme principal obstacle à la résilience cyber. Ajouter des obligations spécifiques à l’IA aux exigences existantes du RGPD, de l’HIPAA, de la norme PCI DSS et des réglementations sectorielles crée un problème de superposition que les processus manuels de gouvernance ne peuvent pas gérer.
L’approche Kiteworks : un accès IA aux données gouverné dès l’architecture
Les organisations les mieux préparées à la mise en application de la gouvernance IA sont celles capables de démontrer — preuves techniques à l’appui, et non simples déclarations — qu’elles contrôlent les données auxquelles les systèmes IA accèdent, dans quelles conditions et avec quelle traçabilité.
La passerelle de données IA Kiteworks et le serveur MCP sécurisé étendent la gouvernance Zéro trust, appliquée par Kiteworks à la messagerie électronique, au partage et au transfert de fichiers, à la couche d’accès aux données pour l’IA. Lorsqu’un agent ou un modèle IA a besoin d’accéder à des données réglementées — dossiers médicaux protégés par l’HIPAA, informations de défense contrôlées par le CMMC, données financières relevant de la norme PCI — la demande passe par le moteur de règles Kiteworks.
Des contrôles d’accès basés sur les attributs déterminent les données accessibles par l’IA selon la sensibilité du contenu, le rôle utilisateur, la juridiction et la finalité. Chaque accès est enregistré dans un journal d’audit immuable et infalsifiable — le même journal consolidé couvrant tous les canaux d’échange de données gouvernés par Kiteworks. Le chiffrement validé FIPS 140-3 est maintenu en continu, et l’architecture à locataire unique garantit qu’aucune gouvernance IA d’une organisation n’est compromise par la configuration d’un autre locataire.
Pour les exigences réglementaires désormais en vigueur, cette architecture fournit la traçabilité exigée par l’AI Act du Colorado, les règles ADM de Californie et les obligations de documentation de l’AI Act de l’UE : des contrôles vérifiables sur les données intégrant les workflows IA, les autorisations et l’historique des actions.
Ce que les organisations doivent faire avant les échéances réglementaires
Première étape : recensez tous les systèmes et outils IA utilisés dans l’organisation — qu’ils soient approuvés ou non. Le rapport DTEX a mis en évidence l’ombre de l’IA dans les administrations, la finance, les télécoms, les mines et la distribution. Cartographiez les outils IA, les données auxquelles ils accèdent, les canaux utilisés et les personnes responsables. Impossible de gouverner ce que l’on ne voit pas.
Deuxième étape : mettez en place des contrôles techniques pour l’accès aux données IA, pas seulement des règles. Le rapport prévisionnel de Kiteworks montre que 35 % des organisations s’appuient uniquement sur des règles pour empêcher l’entrée de données personnelles dans les prompts IA. Déployez la gouvernance des données au niveau de l’infrastructure — avant que les données n’atteignent le modèle.
Troisième étape : commencez dès maintenant à documenter les données d’entraînement, avant que les régulateurs ne l’exigent. L’AI Act du Colorado et celui de l’UE imposent tous deux des évaluations de risques documentées et la transparence sur les données d’entraînement. Avec 77 % des organisations incapables de tracer la provenance des données, lancer ce processus de documentation dès maintenant — même imparfaitement — vous place en avance sur la courbe réglementaire.
Quatrième étape : alignez la gouvernance IA sur les cadres existants de protection de la vie privée et de sécurité, plutôt que de créer un programme séparé. La trajectoire réglementaire considère la gouvernance IA, la conformité vie privée et la sécurité de l’information comme un tout. Les organisations qui rapprochent la documentation IA des DPIA, contrôles NIST et processus ISO 27001 éviteront les doublons et produiront des preuves plus cohérentes pour les audits.
Cinquième étape : élaborez un plan de réponse aux incidents IA incluant des solutions de remédiation pour la compromission de modèles, le data poisoning et l’inclusion non autorisée de données. Avec 53 % des organisations incapables de récupérer les données d’entraînement après un incident, il s’agit de la capacité la moins développée dans la gouvernance IA — et celle sur laquelle les régulateurs interrogeront en priorité.
L’AI Act du Colorado entre en vigueur dans moins de trois mois. Les dispositions ADM complètes de Californie arrivent en janvier 2027. Les organisations qui considèrent ces dates comme des déclencheurs d’action — et non de simples points d’observation — seront celles capables de prouver leur conformité lorsque les régulateurs viendront demander des comptes.
Pour en savoir plus sur la gouvernance des données IA, réservez votre démo sans attendre !
Foire aux questions
Si vos systèmes IA prennent ou soutiennent de manière significative des « décisions conséquentes » — emploi, crédit, assurance, logement, éducation, etc. — l’AI Act du Colorado impose des évaluations de risques documentées, des garde-fous contre la discrimination algorithmique et des contrôles continus à compter du 30 juin 2026. Même si vos cas d’usage semblent peu risqués, documentez l’analyse qui le démontre. Une évaluation non documentée est considérée comme absente.
Commencez par la visibilité. Recensez tous les outils IA utilisés, cartographiez les flux de gouvernance des données et déployez des contrôles techniques empêchant l’entrée de données sensibles dans les prompts IA — les 92 % d’organisations reconnaissant que la GenAI a changé le partage d’informations, mais seulement 13 % l’ayant intégrée à leur stratégie, illustrent la rapidité d’accumulation de l’exposition non gouvernée. Une règle seule n’empêche pas qu’une liste de clients soit collée dans un chatbot.
Oui. 53 % des organisations ne peuvent pas récupérer les données d’entraînement après un incident selon le rapport prévisionnel 2026 de Kiteworks. L’article 17 du RGPD, les droits de suppression du CCPA et les nouvelles lois sur l’IA étendent tous les obligations d’effacement aux données dérivées. Les organisations sans architecture « prête à désapprendre » ou sans documentation de traçabilité devront réentraîner leurs modèles comme seule solution de remédiation.
Alignez la gouvernance IA sur les cadres de conformité existants plutôt que de créer un programme parallèle. Rapprochez les contrôles IA des référentiels NIST, ISO 27001 et des DPIA pour éviter les doublons et produire des preuves unifiées. Selon le rapport Thales 2026, la sécurité IA est désormais la deuxième priorité d’investissement en cybersécurité derrière le cloud — mais les investissements doivent cibler la couche des données d’entraînement, pas seulement les outils de périmètre.
La SEC évalue si les entreprises cotées divulguent correctement les risques liés à l’IA pour l’intégrité et la gouvernance des données — ce qui peut déclencher des obligations de divulgation importantes. Les organisations doivent documenter dès maintenant leurs contrôles de gouvernance IA, évaluations de risques et capacités de réponse aux incidents. L’absence de contrôles documentés constitue en soi un problème de divulgation.
Ressources complémentaires
- Article de blog
Stratégies Zero-Trust pour une protection abordable de la vie privée dans l’IA - Article de blog
Comment 77 % des organisations échouent sur la sécurité des données IA - eBook
Écart de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025 - Article de blog
Il n’existe pas de « –dangerously-skip-permissions » pour vos données - Article de blog
Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves de son efficacité.
Foire aux questions
L’AI Act du Colorado entre en vigueur le 30 juin 2026 et impose des évaluations de risques documentées, des garde-fous contre la discrimination algorithmique et un suivi continu pour les systèmes IA à haut risque. Les règlements CCPA de Californie ont débuté le 1er janvier 2026, avec des dispositions complètes sur la prise de décision automatisée — notifications préalables, opt-out et divulgations — appliquées à partir du 1er janvier 2027.
Selon le rapport prévisionnel 2026 de Kiteworks, 78 % ne peuvent pas valider les données avant leur entrée dans les pipelines d’entraînement, 77 % ne peuvent pas tracer la provenance des données, 65 % n’ont pas de contrôle d’accès et 53 % ne peuvent pas récupérer les données d’entraînement après un incident, ce qui les empêche de répondre aux questions des régulateurs sur la PII ou le consentement.
Le rapport DTEX/Ponemon 2026 montre que 92 % des organisations affirment que la GenAI a changé le partage d’informations, mais seulement 13 % l’ont intégrée à leur stratégie — un rapport de 7 pour 1. Cette ombre de l’IA provoque des incidents internes par négligence coûtant 10,3 millions de dollars par an et crée des voies invisibles de fuite de données.
53 % des organisations ne peuvent pas récupérer les données d’entraînement après un incident, ce qui limite la remédiation à un réentraînement complet et coûteux. Cela crée un risque au titre de l’article 17 du RGPD, des droits de suppression du CCPA et des nouvelles lois IA qui étendent les obligations d’effacement aux données dérivées dans les modèles en production.