Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les régulateurs ne se contentent plus de vous demander si vous avez une politique d’IA. Ils exigent désormais des preuves de son efficacité.

Les régulateurs ne se contentent plus de vous demander si vous avez une politique d’IA. Ils exigent désormais des preuves de son efficacité.

par Danielle Barbour updated février 26, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 13 minutes

Le Rapport international sur la sécurité de l’IA 2026 se présente comme une évaluation scientifique destinée à soutenir l’élaboration de politiques publiques. Il analyse les capacités actuelles de l’IA à usage général, les risques émergents qu’elle engendre et les approches existantes de gestion des risques. Ce n’est ni une réglementation, ni une directive. Il s’agit potentiellement d’un outil encore plus déterminant : la base factuelle sur laquelle les régulateurs de plusieurs juridictions s’appuieront pour décider des prochaines exigences à imposer.

À travers le prisme de la criminalité en entreprise — comme l’a fait Hogan Lovells dans une analyse récente — le rapport met en lumière trois problèmes concrets auxquels chaque organisation doit faire face. Il n’a jamais été aussi facile de frauder une entreprise. Il n’a jamais été aussi difficile de vérifier l’authenticité d’une information. Et il reste incertain de savoir qui peut être tenu responsable lorsque le préjudice survient.

Cette combinaison — barrières à la fraude abaissées, confiance dans les communications érodée et responsabilité incertaine — crée un environnement réglementaire et de conformité où les organisations ne peuvent plus se contenter de traiter la gouvernance de l’IA comme un simple exercice de politique interne. Les régulateurs ne se contentent plus de vérifier l’existence de cadres de gouvernance. Ils commencent à exiger la preuve de leur application, à tester les contrôles, et à demander aux organisations de démontrer que leurs systèmes d’IA ne traitent pas de données qu’ils ne devraient pas traiter, ou ne prennent pas de décisions qui ne devraient pas leur incomber.

L’évaluation du rapport sur la gestion actuelle des risques est sans détour : les mesures en place ne préviennent pas de manière fiable les préjudices, et les preuves de leur efficacité en conditions réelles restent limitées. Pour les organisations qui déploient l’IA dans des domaines à haut risque, le message est clair. L’écart de gouvernance entre la politique et la preuve constitue le véritable point de vulnérabilité réglementaire.

5 enseignements clés

  1. L’IA a rendu la fraude moins coûteuse, plus rapide et plus difficile à attribuer qu’à n’importe quelle autre période de l’histoire. Le Rapport international sur la sécurité de l’IA 2026 conclut que l’IA à usage général rend la fraude, l’usurpation d’identité et la compromission informatique plus abordables, plus rapides et plus difficiles à retracer. Les mesures de protection actuelles ne préviennent pas efficacement les préjudices. Selon des recherches citées dans le rapport, les auditeurs confondent une voix générée par l’IA avec une voix réelle dans 80 % des cas. Des voix clonées ont déjà servi à convaincre des victimes de transférer des fonds en exploitant des processus d’approbation fondés sur la confiance. La barrière à l’entrée pour la fraude en entreprise s’est pratiquement effondrée.
  2. Les contenus synthétiques sapent les contrôles fondés sur la confiance dont dépendent les organisations. La voix, la vidéo et l’e-mail ne sont plus fiables pour les actions à haut risque. Une demande crédible et synthétique d’un « dirigeant » pour transférer des fonds, modifier les coordonnées bancaires d’un fournisseur, contourner des étapes d’approbation, réinitialiser des identifiants ou partager des informations sensibles ne requiert presque aucune compétence technique. Le rapport souligne que les solutions techniques comme les filigranes et les étiquettes sont utiles, mais que les acteurs expérimentés peuvent souvent les supprimer, et qu’il est difficile d’identifier l’origine des deepfakes. Les contrôles sur lesquels la plupart des organisations s’appuient — la confiance dans la voix au téléphone, le visage lors d’un appel vidéo, le nom dans l’e-mail — sont désormais exploitables à grande échelle.
  3. Les régulateurs exigent des cadres de gouvernance documentés — pas seulement des politiques d’IA sur papier. Plus de la moitié du rapport est consacrée aux pratiques de gestion des risques et indique que les régulateurs attendront de plus en plus des organisations qu’elles gèrent les risques liés à l’IA via des cadres de gouvernance documentés, des évaluations de risques et des contrôles qui traitent explicitement de l’intégrité des données et des usages abusifs. Les initiatives de gouvernance se multiplient — AI Act de l’UE, Processus d’Hiroshima du G7, cadres de sécurité pour les développeurs — mais l’évaluation du rapport reste prudente : les preuves de l’efficacité réelle de la plupart des mesures de gestion des risques sont limitées. L’écart entre la possession d’un document de gouvernance et la preuve de son application opérationnelle constitue le point de vulnérabilité réglementaire.
  4. L’IA crée un risque de criminalité d’entreprise venant de l’intérieur, pas seulement de l’extérieur. Le risque de criminalité d’entreprise ne se limite pas aux attaquants externes. Les employés, agents et autres personnes associées peuvent utiliser l’IA pour générer de faux documents crédibles, fabriquer des justificatifs et brouiller les pistes d’audit. Au Royaume-Uni, cela recoupe directement l’infraction de non-prévention de la fraude, en vigueur depuis septembre 2025 pour les grandes organisations. Les méthodes dopées à l’IA — fausses demandes d’approbation, documents fabriqués, communications synthétiques en masse — doivent désormais être intégrées aux évaluations des risques de fraude, aux programmes de formation et aux procédures de prévention.
  5. La défense en profondeur n’est pas optionnelle — c’est la recommandation centrale du rapport. Le rapport insiste sur le fait qu’aucune mesure de protection isolée n’est fiable face aux menaces dopées à l’IA. Il recommande la défense en profondeur : plusieurs couches de protections indépendantes afin que, si l’une échoue, les autres préviennent tout de même les préjudices. Pour les organisations, cela signifie des doubles validations, des rappels via des numéros connus, des mesures de friction pour les nouveaux bénéficiaires ou ceux dont les coordonnées ont changé, des vérifications hors bande pour les actions à haut risque, et des exercices de gestion d’incidents IA testant l’authenticité contestée, la décision d’arrêt rapide et la préservation des preuves. Le modèle opérationnel vise la résilience, non la prévention absolue.

Les contenus synthétiques ont brisé le modèle de confiance sur lequel reposaient les contrôles antifraude

Le rapport met en avant des incidents préjudiciables impliquant du contenu généré par l’IA, notamment l’usurpation audio et vidéo. Il cite des recherches selon lesquelles les auditeurs confondent une voix générée par l’IA avec une voix réelle dans 80 % des cas. Il décrit des situations où des voix clonées ont été utilisées pour exploiter des processus d’approbation fondés sur la confiance et convaincre des victimes de transférer des fonds.

Pour les entreprises, les implications sont immédiates et concrètes. Un appel vocal d’un DAF autorisant un virement urgent. Une visioconférence avec un fournisseur confirmant un changement de coordonnées bancaires. Un e-mail d’un membre du conseil d’administration demandant des documents sensibles. Chacun de ces scénarios a déjà été exploité à l’aide de contenus synthétiques. Chacun reposait sur la confiance de la cible dans l’identité apparente de la personne à l’origine de la demande.

Le rapport souligne les limites des contre-mesures techniques. Les filigranes et les étiquettes peuvent aider, mais des acteurs expérimentés peuvent les supprimer. Il est difficile d’identifier l’origine des deepfakes. Les outils de détection existent, mais ils ne sont pas assez fiables pour constituer une défense principale. Concrètement : les organisations ne peuvent pas compter sur la détection du contenu synthétique après réception. Elles doivent mettre en place des contrôles partant du principe que les communications peuvent ne pas être authentiques et exiger une vérification indépendante avant toute action à haut risque.

Cela implique de considérer la voix, la vidéo et l’e-mail comme des canaux non fiables pour les paiements, les modifications de fournisseurs, les réinitialisations d’identifiants et les validations urgentes. Cela implique d’exiger une vérification hors bande via un canal distinct et préétabli. Cela implique d’introduire de la friction dans les processus que les attaquants exploitent grâce à la rapidité. Le modèle de confiance sur lequel reposaient les contrôles antifraude de la plupart des organisations — la reconnaissance d’une voix ou d’un visage comme autorisation suffisante — n’est plus viable.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Les opérations cyber deviennent des commodités — même sans autonomie totale

Le rapport accorde une attention particulière à l’utilisation de l’IA dans les cyberattaques, notant que les développeurs signalent de plus en plus l’utilisation abusive de leurs systèmes dans des opérations cyber et que des places de marché illicites proposent des outils faciles à utiliser qui abaissent le niveau de compétence requis pour attaquer.

Le rapport reste prudent quant aux affirmations excessives. Les cyberattaques de bout en bout entièrement autonomes n’ont pas été confirmées. Il est difficile de vérifier si le nombre d’incidents réels a augmenté spécifiquement à cause de l’IA. Mais l’essentiel est ailleurs : les attaques hybrides deviennent plus simples à mener. Un contenu synthétique pour obtenir un accès initial ou une autorisation, associé à une exploitation et une persistance assistées par l’IA. L’attaquant n’a pas besoin d’autonomie totale. Il lui suffit d’assez d’automatisation pour accélérer et rentabiliser chaque étape.

Le rapport adopte une note d’optimisme mesurée : il reste à voir si les progrès futurs profiteront davantage aux attaquants ou aux défenseurs. Mais cet avantage ne se concrétisera que si les organisations déploient l’IA de manière efficace dans la sécurité et la détection de la fraude. Celles qui investissent dans la défense dopée à l’IA seront mieux armées que celles qui affrontent des attaques dopées à l’IA avec des outils traditionnels. Celles qui attendent constateront que l’asymétrie s’est aggravée à leur détriment.

Pour les équipes conformité, la discussion sur les opérations cyber renforce un point précis : les systèmes d’IA qui traitent de gros volumes de données organisationnelles créent de nouveaux défis de conformité. Lorsque des outils d’IA sont utilisés dans les opérations de sécurité — surveillance du trafic réseau, analyse des journaux, détection d’anomalies — ils traitent des données qui peuvent inclure des informations personnelles identifiables, des informations médicales protégées et des données financières réglementées. Le cadre de gouvernance de l’IA doit prendre en compte ces flux de données, et pas seulement les décisions prises par l’IA.

Le risque de criminalité d’entreprise venant de l’intérieur

La découverte la plus sous-estimée du rapport pour les entreprises est la suivante : l’IA crée un risque de criminalité d’entreprise venant de l’intérieur, pas seulement de l’extérieur. Les employés, agents et autres personnes associées peuvent utiliser l’IA à usage général pour générer de faux documents crédibles, fabriquer des demandes d’approbation, créer des communications synthétiques et masquer les traces d’audit.

Au Royaume-Uni, cela recoupe directement l’infraction de non-prévention de la fraude, entrée en vigueur le 1er septembre 2025 pour les grandes organisations. Cette infraction porte sur la question de savoir si l’organisation disposait de procédures raisonnables de prévention lorsqu’une personne associée commet une fraude dans le but de bénéficier à l’organisation ou à ses clients. Les méthodes dopées à l’IA — fausses demandes d’approbation, documents justificatifs fabriqués, communications synthétiques en masse — doivent désormais être explicitement intégrées à toute évaluation des risques de fraude, programme de formation et procédure de prévention.

La discussion du rapport sur le biais d’automatisation ajoute une dimension supplémentaire. Lorsque les équipes se fient aveuglément aux résultats fournis par l’IA, même lorsqu’ils sont erronés, les organisations risquent de prendre des décisions et de faire des déclarations plus difficiles à justifier et à défendre. Cela concerne aussi bien les déclarations aux régulateurs, les engagements contractuels que les relations avec les contreparties. La piste d’audit d’une décision assistée par l’IA peut ne pas retracer le raisonnement, les données d’entrée ou le degré d’intervention humaine réelle par rapport à une simple validation. Si un régulateur ou une contrepartie demande ensuite comment une décision a été prise, l’absence de documentation crée un risque d’exposition.

Les organisations doivent disposer d’une infrastructure d’audit qui enregistre non seulement ce que les systèmes d’IA ont fait, mais aussi les données qu’ils ont consultées, les résultats produits et les actions humaines prises sur la base de ces résultats. Sans ce niveau de documentation, il devient impossible de distinguer une décision prise par un humain assisté de l’IA d’une décision prise par l’IA et simplement validée par un humain.

La gouvernance de l’IA exige la gouvernance des données — et des pistes d’audit pour le prouver

L’analyse de la gestion des risques du rapport aboutit à une conclusion incontournable pour les organisations qui déploient l’IA : les cadres de gouvernance de l’IA ne sont crédibles que s’ils reposent sur une infrastructure de gouvernance des données solide.

Quand un régulateur demande comment une organisation sait que son IA ne traite pas de données qu’elle ne devrait pas traiter, la réponse ne peut pas être un simple document de politique. Il faut une piste d’audit montrant quelles données l’IA a consultées, à quel moment, sous quelle autorisation, et quelles actions ont été entreprises. Quand un régulateur demande si les systèmes d’IA sont conformes aux obligations de protection des données, la réponse doit inclure la preuve de l’application des politiques — et non la simple existence de ces politiques.

Cette exigence croise plusieurs cadres réglementaires en même temps. Au titre du RGPD, les systèmes d’IA qui traitent des données personnelles doivent être conformes à l’article 22 sur la prise de décision automatisée, à l’article 28 sur les obligations du sous-traitant, à l’article 30 sur les registres des activités de traitement, et aux articles 44 à 50 sur les transferts de données à l’international. Selon la HIPAA, les systèmes d’IA accédant à des informations médicales protégées doivent fonctionner dans le respect des exigences de la Security Rule sur la revue des activités des systèmes d’information. Dans le cadre de la lutte contre le blanchiment d’argent et les sanctions, les systèmes d’IA utilisés pour la détection de la criminalité financière doivent prouver qu’ils fonctionnent dans les paramètres approuvés.

L’infrastructure opérationnelle pour répondre à ces exigences inclut des pistes d’audit détaillées qui consignent chaque interaction de l’IA avec les données de l’entreprise — horodatages, identifiants utilisateurs, classifications de données, actions réalisées. Elle inclut des systèmes de classification des données qui appliquent automatiquement les politiques d’accès, afin que les agents IA ne puissent pas accéder à des catégories de données non autorisées. Elle inclut la détection d’anomalies signalant des accès inhabituels de l’IA aux données, et des alertes automatisées avec des circuits d’escalade garantissant que les incidents parviennent aux bonnes personnes.

Sans cette infrastructure, les cadres de gouvernance de l’IA restent de l’ordre du vœu pieux. Avec elle, les organisations peuvent prouver aux régulateurs que les contrôles sont appliqués, que les flux de données sont documentés et que la gouvernance est opérationnelle — et pas seulement structurelle. La passerelle de données IA et le Réseau de données privé de Kiteworks fournissent précisément cette couche : ils gouvernent les données auxquelles les systèmes d’IA peuvent accéder, enregistrent chaque interaction et génèrent les preuves prêtes à être présentées aux régulateurs, là où les simples documents de politique ne suffisent pas.

Défense en profondeur : le modèle opérationnel du rapport pour le risque IA

La recommandation centrale du rapport est la défense en profondeur — plusieurs couches de protections pour que, si l’une échoue, les autres préviennent tout de même les préjudices. Ce n’est pas un concept nouveau en sécurité, mais le rapport l’applique spécifiquement au risque IA, ce qui a des conséquences directes sur la manière dont les organisations structurent leurs contrôles.

Pour la prévention de la fraude, la défense en profondeur implique une vérification indépendante à plusieurs étapes. Doubles validations pour les transactions de grande valeur. Rappels via des numéros préétablis, et non ceux fournis dans une communication suspecte. Mesures de friction pour les nouveaux bénéficiaires ou ceux dont les coordonnées ont changé, qui imposent des étapes de vérification supplémentaires. Délais qui empêchent les attaquants de profiter de l’urgence. Chaque couche fonctionne indépendamment, de sorte que la compromission de l’une n’entraîne pas la compromission de la chaîne entière.

Pour la gouvernance des données, la défense en profondeur implique des contrôles au niveau des données, des applications et du réseau. Classification des données pour restreindre l’accès des systèmes d’IA. Contrôles d’accès appliquant le principe du moindre privilège avec vérification continue. Pistes d’audit documentant chaque interaction. Détection d’anomalies identifiant les écarts par rapport aux schémas établis. Et procédures de gestion d’incidents ayant fait l’objet de simulations, et non simplement documentées.

Le rapport insiste également sur la nécessité de renforcer la résilience sociétale — la capacité des systèmes à résister, absorber, se remettre des chocs et s’adapter. Pour les organisations, cela se traduit par une préparation à la gestion d’incidents. Qui pilote la réponse lorsqu’un contenu synthétique sert à commettre une fraude ? Qui a l’autorité pour mettre en pause ou arrêter les systèmes concernés ? Comment l’organisation communiquera-t-elle à l’externe sur l’incident ? Comment les preuves seront-elles conservées pour les procédures réglementaires et juridiques ? Ces questions ne peuvent pas être réglées pendant l’incident. Elles doivent l’être en amont.

Ce que les organisations doivent faire dès maintenant

Le Rapport international sur la sécurité de l’IA 2026 s’adresse aux décideurs publics, mais ses implications pour les entreprises sont immédiates. Voici ce que les conclusions du rapport exigent des organisations qui déploient ou sont exposées à l’IA.

Considérez la voix, la vidéo et l’e-mail comme non fiables pour les actions à haut risque. Les paiements, modifications de fournisseurs, réinitialisations d’identifiants et validations urgentes doivent faire l’objet d’une vérification hors bande via un canal distinct et préétabli. Le modèle de confiance basé sur la reconnaissance d’une voix ou d’un visage est dépassé. Mettez en place des procédures de vérification qui partent du principe que les communications peuvent être synthétiques.

Établissez une défense en profondeur avec des protections indépendantes et superposées. Doubles validations, rappels via des numéros connus, mesures de friction pour les nouveaux bénéficiaires ou ceux dont les coordonnées ont changé, délais pour les transactions de grande valeur. Chaque couche doit fonctionner indépendamment afin que la compromission de l’une n’entraîne pas celle des autres. Étendez cette approche à la gouvernance des données : contrôles d’accès basés sur la classification, vérification continue, pistes d’audit détaillées et détection d’anomalies.

Mettez à jour les évaluations des risques de fraude et les procédures de prévention pour couvrir les méthodes dopées à l’IA. Les médias synthétiques, la fabrication de documents, l’utilisation abusive d’outils d’IA en interne et le biais d’automatisation doivent être explicitement intégrés. Pour les organisations britanniques, il s’agit d’une obligation légale au titre de l’infraction de non-prévention de la fraude. Étendez l’évaluation aux tiers et fournisseurs clés.

Élaborez des cadres de gouvernance de l’IA appuyés par une infrastructure opérationnelle d’audit. Les documents de politique seuls ne répondent pas aux attentes réglementaires émergentes. Les organisations ont besoin de pistes d’audit détaillées consignant les accès des systèmes d’IA aux données, les dates, les autorisations et les actions entreprises. La classification des données doit appliquer automatiquement les politiques d’accès. La détection d’anomalies doit signaler les schémas non autorisés. Le reporting de conformité doit être exportable et prêt à être présenté aux régulateurs.

Testez les scénarios de gestion d’incidents IA avant d’en avoir besoin. Simulez l’authenticité contestée — que faire lorsqu’il est impossible de déterminer si une communication est réelle. Simulez la décision d’arrêt rapide — qui a l’autorité pour mettre en pause les systèmes d’IA et dans quelles conditions. Simulez la préservation des preuves — comment documenter l’incident pour les procédures réglementaires et juridiques. Il faut répondre à ces questions avant que l’incident ne survienne.

Mettez à l’épreuve la responsabilité dans les contrats fournisseurs IA. Le rapport met en avant l’incertitude sur la répartition des responsabilités, car il est difficile de relier les préjudices à des choix de conception précis et les responsabilités sont réparties entre plusieurs acteurs. Prévoyez que la remédiation par les fournisseurs d’IA sera lente ou impossible. Les contrats doivent préciser les obligations de traitement des données, les exigences de notification en cas de violation, les droits d’audit et les conditions de résiliation. Les cadres de gouvernance doivent inclure une supervision des IA tierces avec la même rigueur que pour les systèmes internes.

La barrière à la fraude s’est effondrée. Celle de la conformité, non.

Le Rapport international sur la sécurité de l’IA 2026 délivre un message aussi inconfortable que limpide : l’IA à usage général fait que la barrière à l’entrée pour la fraude et la tromperie n’a jamais été aussi basse. Les contenus synthétiques sapent les contrôles fondés sur la confiance dont les organisations dépendaient depuis des décennies. Les opérations cyber deviennent des commodités. Les abus internes deviennent plus difficiles à détecter. Et les mesures de protection actuelles ne préviennent pas efficacement les préjudices.

Dans le même temps, les attentes réglementaires s’élèvent. Les cadres de gouvernance doivent être documentés. Les évaluations de risques doivent prendre en compte les menaces spécifiques à l’IA. Les contrôles doivent être testés et prouvés. L’intersection du risque IA avec la protection des données, la criminalité financière et la responsabilité d’entreprise signifie que la gouvernance de l’IA n’est pas un exercice isolé. C’est une obligation de conformité qui concerne tous les cadres déjà en vigueur dans l’organisation.

Les organisations qui considèrent ce rapport comme un signal — en construisant une infrastructure de gouvernance opérationnelle, en déployant une défense en profondeur, en créant des pistes d’audit qui prouvent l’efficacité des contrôles et en répétant la gestion d’incidents avant d’en avoir besoin — seront en mesure de démontrer leur diligence lorsque les régulateurs poseront les questions que le rapport vise à susciter.

Celles qui le voient comme un simple exercice de rédaction de politiques découvriront que l’écart entre leurs documents de gouvernance et la réalité opérationnelle est précisément là où les actions d’application trouvent leur justification.

Pour découvrir comment Kiteworks peut vous aider, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Le clonage vocal par IA nécessite seulement un court extrait audio — souvent récupéré sur des sources publiques comme des conférences téléphoniques, des enregistrements d’événements ou des vidéos LinkedIn — pour générer une voix synthétique suffisamment convaincante. Selon le Rapport international sur la sécurité de l’IA 2026, les auditeurs confondent une voix générée par l’IA avec une voix réelle dans 80 % des cas. Les attaquants s’en servent pour usurper l’identité de dirigeants, fournisseurs ou membres du conseil lors d’appels ou de visioconférences sollicitant des virements urgents, des modifications de coordonnées bancaires ou des réinitialisations d’identifiants. L’attaque exploite à la fois le modèle de confiance (la cible pense reconnaître la voix) et le modèle d’urgence (la rapidité empêche la vérification). Les défenses efficaces ne cherchent pas à détecter le contenu synthétique — elles partent du principe que toute communication non vérifiée pourrait être synthétique. Pour les actions à haut risque, les organisations doivent exiger une vérification hors bande via un canal préétabli, des doubles validations nécessitant une autorisation indépendante, et des contrôles de friction — délais, rappels à des numéros connus, authentification renforcée — qui cassent l’urgence sur laquelle repose l’attaque.

L’infraction de non-prévention de la fraude, en vigueur depuis le 1er septembre 2025 pour les grandes organisations, engage la responsabilité lorsqu’une personne associée — employé, agent, sous-traitant ou filiale — commet une fraude spécifique dans le but de bénéficier à l’organisation ou à ses clients, et que l’organisation n’a pas mis en place de procédures raisonnables de prévention. À l’ère de l’IA, les « procédures raisonnables de prévention » doivent traiter explicitement les méthodes dopées à l’IA : médias synthétiques utilisés pour fabriquer des communications de dirigeants, faux documents générés par l’IA pour appuyer des transactions frauduleuses, communications automatisées en masse destinées à saturer les processus d’approbation, et usage interne d’outils d’IA pour masquer les traces d’audit. Une évaluation des risques de fraude qui n’aborde pas ces vecteurs — et des programmes de formation qui ne les couvrent pas — ne répondront pas à la norme de « raisonnabilité ». Les organisations doivent également étendre l’évaluation aux tiers agissant en leur nom, car la responsabilité des personnes associées va au-delà des seuls employés directs.

Le biais d’automatisation désigne la tendance documentée à se fier aux résultats générés par l’IA sans analyse critique suffisante — en acceptant les recommandations de l’IA comme correctes plutôt qu’en les considérant comme une source parmi d’autres. Dans les environnements réglementés, cela crée une lacune spécifique de responsabilité : lorsqu’une décision est contestée par un régulateur ou une contrepartie, l’organisation doit démontrer que la décision reflétait un véritable jugement humain, et non une validation automatique de l’IA. Une piste d’audit qui n’enregistre que le résultat de l’IA et la décision finale — sans retracer les données d’entrée consultées par l’IA, les étapes de revue humaine et le raisonnement appliqué — ne permet pas cette démonstration. Selon l’article 22 du RGPD, les décisions ayant des effets juridiques ou significatifs et impliquant un traitement automatisé doivent répondre à des exigences spécifiques, dont la supervision humaine. Selon la HIPAA et les cadres de lutte contre la criminalité financière, la revue des activités des systèmes d’information exige la preuve de contrôles opérationnels, et pas seulement d’engagements procéduraux. Les organisations doivent disposer d’une infrastructure d’audit retraçant toute la chaîne de décision — quelles données l’IA a consultées, quel résultat elle a produit, quelle revue humaine a eu lieu et quelle action a été prise — pour combler la lacune de responsabilité créée par le biais d’automatisation.

Les systèmes d’IA qui traitent des données personnelles sont soumis à au moins quatre obligations du RGPD qui imposent des exigences directes en matière de traçabilité. L’article 22 exige que les décisions fondées uniquement sur un traitement automatisé et ayant des effets significatifs sur les personnes incluent une supervision humaine, avec une documentation prouvant que cette supervision a bien eu lieu. L’article 28 impose des accords de sous-traitance avec les fournisseurs d’IA précisant les finalités du traitement, les exigences de sécurité et le contrôle des sous-traitants — la piste d’audit doit confirmer le respect effectif de ces limites. L’article 30 impose des registres des activités de traitement documentant les données personnelles consultées par les systèmes d’IA, leur finalité et leur durée de conservation. Les articles 44 à 50 encadrent les transferts de données à l’international, exigeant la preuve que les données personnelles traitées par les systèmes d’IA ne sont pas transférées vers des juridictions sans protection adéquate. Une analyse d’impact relative à la protection des données est requise pour tout traitement d’IA susceptible d’entraîner un risque élevé. Ensemble, ces obligations imposent une infrastructure d’audit consignant quelles données personnelles chaque système d’IA consulte, à quel moment, sous quelle autorisation et où elles circulent — et pas seulement les décisions prises par l’IA.

Le Rapport international sur la sécurité de l’IA 2026 met en avant un problème structurel de responsabilité : il est souvent difficile d’attribuer les préjudices liés à l’IA à des choix de conception précis, et la responsabilité est répartie entre développeurs, déployeurs et utilisateurs. Cela crée un risque contractuel pour les organisations qui supposent que la remédiation par le fournisseur sera disponible, rapide et suffisante. Les contrats fournisseurs IA doivent préciser quatre points essentiels selon le rapport. Premièrement, les obligations de traitement des données : quelles données l’IA peut-elle consulter, à quelles fins, sous quels contrôles de sécurité, et peuvent-elles servir à entraîner d’autres modèles ? Deuxièmement, la notification des violations : des délais et circuits d’escalade précis lorsque le système d’IA traite des données hors des limites autorisées ou produit des résultats générant un risque juridique. Troisièmement, les droits d’audit : le droit de l’organisation de consulter les journaux d’accès et d’actions de l’IA — sans quoi la conformité au RGPD, à la HIPAA et aux cadres de lutte contre la criminalité financière ne peut être démontrée. Quatrièmement, les conditions de résiliation : des critères définis — non-conformité réglementaire, incidents de sécurité, dérives du comportement du modèle — permettant à l’organisation de mettre fin au contrat sans pénalité. Les cadres de gestion des risques tiers applicables aux fournisseurs traditionnels doivent s’appliquer avec la même rigueur aux systèmes d’IA.

Ressources complémentaires

  • Article de blog Zero Trust Architecture : Ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : Les inconvénients qui poussent les sous-traitants de la défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées une fois signalées par le DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à une approche Zero Trust
  • Vidéo Le guide de référence pour le stockage sécurisé des données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks