EQS Group publie aujourd'hui la 7ème édition de son Baromètre Privacy, qui révèle un tournant décisif pour la protection des données et la gouvernance de l'IA dans les organisations. Alors que l'adoption de l'IA s'accélère à un rythme sans précédent, les cadres de gouvernance et la visibilité des risques peinent à suivre le rythme, créant ainsi d'importantes zones d'ombre communément appelées « Shadow AI ».
Selon cette étude, réalisée auprès de 206 professionnels de la protection des données en France, 62 % des organisations déploient désormais des projets impliquant l'intelligence artificielle, soit une hausse de 18 points en un an. Ce qui était encore expérimental en 2024 est devenu opérationnel en 2025.
Cependant, ce déploiement rapide dépasse largement les efforts de gouvernance.
L'IA est partout, mais souvent invisible ou tout du moins peu ou pas encadrée
Le baromètre met en évidence une lacune majeure en matière de gouvernance :
48 % des organisations admettent ne pas avoir identifié les systèmes d'IA utilisés au sein de leur organisation, ni leur emplacement
32 % supplémentaires n'ont qu'une visibilité partielle, sans analyse des risques appropriée
Au total, 80 % des organisations n'ont pas une vision claire des risques liés à l'IA, ce qui rend la conformité à l’AI Act et au RGPD de plus en plus difficile.
« Il est impossible de gouverner ou de réglementer ce que l'on ne peut pas voir. L'IA se déploie plus rapidement que les organisations ne peuvent la documenter, l'évaluer et la contrôler », explique Thomas Vini Pires, Expert en Data Privacy & AI Governance chez EQS Group.
Cet écart est d'autant plus significatif que les organisations se sentent de plus en plus confiantes quant à leur maturité globale en matière de conformité : 76 % des personnes interrogées déclarent que leur niveau de conformité en matière de protection des données s'est amélioré au cours de l'année écoulée. Ce contraste suggère que la maturité traditionnelle en matière de RGPD pourrait créer un faux sentiment de contrôle à l'ère de l'IA, où les fondements établis en matière de conformité ne garantissent plus la visibilité sur les risques émergents.
Shadow AI : un nouvel angle mort en matière de conformité
La combinaison d'une utilisation généralisée de l'IA (notamment générative), d'outils d'IA intégrés aux logiciels SaaS et d'une gouvernance limitée alimente l'essor du Shadow AI : des systèmes d'IA fonctionnant en dehors des processus formels de gouvernance, de cartographie des risques et de conformité.
Cela représente un risque critique, car les régulateurs exigent désormais des inventaires complets et précis des systèmes d'IA, des évaluations des risques documentées, une responsabilité claire et une supervision humaine.
De DPO à responsable de la gouvernance de l'IA
Alors que l'IA remodèle les pratiques en matière de traitement des données, le rôle du Délégué à la protection des données (DPO) évolue. Le Baromètre montre que 31 % des organisations identifient désormais le DPO comme le responsable de la conformité à l’AI Act, soit une hausse de 10 points en un an, devant les DSI ou les CDO.
Cependant, des défis subsistent : 40 % des organisations ne voient toujours pas de lien entre la gouvernance de l'IA et la protection des données, malgré le chevauchement important des risques, de la documentation et des exigences en matière de gouvernance de la donnée. Ce décalage augmente le risque de fragmentation des efforts de conformité et d'exposition réglementaire.
« Les avantages de l'IA sont bien établis, comme en témoigne le nombre d'organisations qui l'adoptent avec enthousiasme. Le prochain défi consiste donc à se conformer à la fois aux réglementations en matière de protection des données et à l’AI Act. Confier cette responsabilité au DPO (ou a minima lui donner un rôle prépondérant) peut être une première étape importante, mais elle doit s'accompagner de ressources supplémentaires et dédiées ainsi que d'une vision transversale. » ajoute Thomas Vini Pires.
Une gouvernance encore largement modérée, une conformité structurelle à la traîne
Face à l'entrée en vigueur prochaine de nouvelles exigences de l'AI Act, les organisations ont commencé à agir, mais principalement par des mesures de gouvernance générale. 44 % ont mis en place des chartes d'utilisation de l'IA, 42 % ont lancé des initiatives de sensibilisation, mais seulement 14 % ont mis en place une documentation structurée, telle que des registres des systèmes d'IA ou des cadres de gestion de la qualité.
Cela confirme une tendance plus générale : les entreprises s'attaquent en priorité aux politiques internes, tandis que la conformité technique et légale des systèmes d'IA reste largement négligée.
Perspectives 2026 : vers une gouvernance intégrée de l'IA et des données
Le Baromètre Privacy 2026 confirme une autre tendance générale : la protection des données est entrée dans une ère de maturité opérationnelle, mais l'IA teste les limites des cadres existants.
« Le DPO n'est plus seulement le gardien des données personnelles. Il doit évoluer pour devenir un véritable ‘Digital Ethics Officer’, capable d'anticiper l'impact de la nouvelle législation européenne. Dans de nombreuses organisations, il devient le pilier de la gouvernance de l'IA, à la croisée de l'éthique, de la réglementation, de la data et des affaires. » conclut Thomas Vini Pires.
Ce changement intervient à un moment où les organisations ont déjà démontré que la gouvernance structurée et basée sur des logiciels peut fonctionner. Aujourd'hui, 57 % des organisations gèrent leurs registres de traitement de données personnelles et autres processus nécessaires (gestion des exercices de droits, DPIA, etc.) à l'aide d'outils de conformité dédiés, ce qui reflète une évolution des approches manuelles vers une gestion digitalisée, continue et basée sur les risques.
Les organisations qui investissent dès aujourd'hui dans la conformité de l'IA, la gouvernance intégrée et la coordination interfonctionnelle seront les mieux placées pour répondre aux attentes réglementaires et éthiques de 2026 et pour transformer la conformité en avantage concurrentiel.
Selon cette étude, réalisée auprès de 206 professionnels de la protection des données en France, 62 % des organisations déploient désormais des projets impliquant l'intelligence artificielle, soit une hausse de 18 points en un an. Ce qui était encore expérimental en 2024 est devenu opérationnel en 2025.
Cependant, ce déploiement rapide dépasse largement les efforts de gouvernance.
L'IA est partout, mais souvent invisible ou tout du moins peu ou pas encadrée
Le baromètre met en évidence une lacune majeure en matière de gouvernance :
48 % des organisations admettent ne pas avoir identifié les systèmes d'IA utilisés au sein de leur organisation, ni leur emplacement
32 % supplémentaires n'ont qu'une visibilité partielle, sans analyse des risques appropriée
Au total, 80 % des organisations n'ont pas une vision claire des risques liés à l'IA, ce qui rend la conformité à l’AI Act et au RGPD de plus en plus difficile.
« Il est impossible de gouverner ou de réglementer ce que l'on ne peut pas voir. L'IA se déploie plus rapidement que les organisations ne peuvent la documenter, l'évaluer et la contrôler », explique Thomas Vini Pires, Expert en Data Privacy & AI Governance chez EQS Group.
Cet écart est d'autant plus significatif que les organisations se sentent de plus en plus confiantes quant à leur maturité globale en matière de conformité : 76 % des personnes interrogées déclarent que leur niveau de conformité en matière de protection des données s'est amélioré au cours de l'année écoulée. Ce contraste suggère que la maturité traditionnelle en matière de RGPD pourrait créer un faux sentiment de contrôle à l'ère de l'IA, où les fondements établis en matière de conformité ne garantissent plus la visibilité sur les risques émergents.
Shadow AI : un nouvel angle mort en matière de conformité
La combinaison d'une utilisation généralisée de l'IA (notamment générative), d'outils d'IA intégrés aux logiciels SaaS et d'une gouvernance limitée alimente l'essor du Shadow AI : des systèmes d'IA fonctionnant en dehors des processus formels de gouvernance, de cartographie des risques et de conformité.
Cela représente un risque critique, car les régulateurs exigent désormais des inventaires complets et précis des systèmes d'IA, des évaluations des risques documentées, une responsabilité claire et une supervision humaine.
De DPO à responsable de la gouvernance de l'IA
Alors que l'IA remodèle les pratiques en matière de traitement des données, le rôle du Délégué à la protection des données (DPO) évolue. Le Baromètre montre que 31 % des organisations identifient désormais le DPO comme le responsable de la conformité à l’AI Act, soit une hausse de 10 points en un an, devant les DSI ou les CDO.
Cependant, des défis subsistent : 40 % des organisations ne voient toujours pas de lien entre la gouvernance de l'IA et la protection des données, malgré le chevauchement important des risques, de la documentation et des exigences en matière de gouvernance de la donnée. Ce décalage augmente le risque de fragmentation des efforts de conformité et d'exposition réglementaire.
« Les avantages de l'IA sont bien établis, comme en témoigne le nombre d'organisations qui l'adoptent avec enthousiasme. Le prochain défi consiste donc à se conformer à la fois aux réglementations en matière de protection des données et à l’AI Act. Confier cette responsabilité au DPO (ou a minima lui donner un rôle prépondérant) peut être une première étape importante, mais elle doit s'accompagner de ressources supplémentaires et dédiées ainsi que d'une vision transversale. » ajoute Thomas Vini Pires.
Une gouvernance encore largement modérée, une conformité structurelle à la traîne
Face à l'entrée en vigueur prochaine de nouvelles exigences de l'AI Act, les organisations ont commencé à agir, mais principalement par des mesures de gouvernance générale. 44 % ont mis en place des chartes d'utilisation de l'IA, 42 % ont lancé des initiatives de sensibilisation, mais seulement 14 % ont mis en place une documentation structurée, telle que des registres des systèmes d'IA ou des cadres de gestion de la qualité.
Cela confirme une tendance plus générale : les entreprises s'attaquent en priorité aux politiques internes, tandis que la conformité technique et légale des systèmes d'IA reste largement négligée.
Perspectives 2026 : vers une gouvernance intégrée de l'IA et des données
Le Baromètre Privacy 2026 confirme une autre tendance générale : la protection des données est entrée dans une ère de maturité opérationnelle, mais l'IA teste les limites des cadres existants.
« Le DPO n'est plus seulement le gardien des données personnelles. Il doit évoluer pour devenir un véritable ‘Digital Ethics Officer’, capable d'anticiper l'impact de la nouvelle législation européenne. Dans de nombreuses organisations, il devient le pilier de la gouvernance de l'IA, à la croisée de l'éthique, de la réglementation, de la data et des affaires. » conclut Thomas Vini Pires.
Ce changement intervient à un moment où les organisations ont déjà démontré que la gouvernance structurée et basée sur des logiciels peut fonctionner. Aujourd'hui, 57 % des organisations gèrent leurs registres de traitement de données personnelles et autres processus nécessaires (gestion des exercices de droits, DPIA, etc.) à l'aide d'outils de conformité dédiés, ce qui reflète une évolution des approches manuelles vers une gestion digitalisée, continue et basée sur les risques.
Les organisations qui investissent dès aujourd'hui dans la conformité de l'IA, la gouvernance intégrée et la coordination interfonctionnelle seront les mieux placées pour répondre aux attentes réglementaires et éthiques de 2026 et pour transformer la conformité en avantage concurrentiel.
