Publié le 27 mars 2026
La semaine dernière, un DG m'a confié qu'il venait de lancer trois pilotes IA dans son entreprise. Son DSI (directeur des systèmes d'information) les a tous gelés en quarante-huit heures. Motif invoqué : "risque sécurité non évalué". Ce scénario se répète dans la majorité des entreprises qui accélèrent sur l'intelligence artificielle sans avoir préparé le terrain avec leur direction technique.
Voici les cinq questions que votre DSI va poser — et les réponses qui transforment un blocage en feu vert.
À retenir :
- Anticipez les objections DSI avant de présenter votre projet IA au COMEX (comité exécutif) — pas après.
- Le shadow AI est votre risque n°1 : 77 % des collaborateurs partagent déjà des données dans des outils non autorisés.
- Une charte d'usage IA et une DPIA (analyse d'impact sur la protection des données) transforment votre DSI en allié, pas en bloqueur.
« Où vont les données qu'on envoie dans ces outils d'IA ? »
La sécurité des données dans les outils d'IA dépend du type d'offre utilisée : les versions grand public peuvent réutiliser vos données pour l'entraînement, tandis que les offres entreprise garantissent l'isolation et la non-rétention.
C'est la première question. Et la plus légitime.
Ce que les outils grand public font réellement de vos données
Quand un collaborateur tape une requête dans ChatGPT version gratuite, ses données transitent vers des serveurs américains, peuvent être stockées jusqu'à 30 jours, et potentiellement réutilisées pour entraîner le modèle. Les versions entreprise (ChatGPT Enterprise, Claude for Business, Copilot for Microsoft 365) fonctionnent différemment : isolation des données, pas de réentraînement, chiffrement en transit et au repos.
Le problème ? Un rapport relayé par eSecurity Planet révèle que 77 % des employés divulguent des données d'entreprise via ChatGPT, et 83 % des organisations n'ont aucun contrôle basique pour prévenir cette exposition.
Hébergement souverain et alternatives sécurisées
Pour les données sensibles, l'hébergement souverain devient un prérequis. L'État français a consacré 84 millions d'euros aux commandes cloud interministérielles en 2025, en hausse de 62 %, avec 70 % orientées vers des fournisseurs européens. Les certifications SecNumCloud délivrées par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) garantissent un hébergement conforme sur le territoire français.
À FAIRE : Vérifier les conditions de rétention des données de chaque outil IA utilisé par vos équipes.
À ÉVITER : Laisser les collaborateurs utiliser les versions gratuites avec des données clients ou financières.
« Comment garantir notre conformité RGPD avec l'intelligence artificielle ? »
RGPD et AI Act : ce que le cadre légal exige concrètement
Le RGPD (Règlement général sur la protection des données) s'applique dès que votre outil d'IA traite des données personnelles — ce qui couvre la quasi-totalité des cas d'usage en entreprise. L'AI Act européen, dont l'application complète entre en vigueur le 2 août 2026, ajoute une couche d'obligations classées par niveau de risque.
Les sanctions ne sont pas théoriques. En 2025, la CNIL a dépassé le milliard d'euros d'amendes, avec une augmentation de 340 %. En janvier 2026, 42 millions d'euros d'amende pour Free Mobile. L'AI Act prévoit jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves.
Mettre en place une DPIA et impliquer le DPO dès le départ
L'analyse d'impact (DPIA) n'est plus un exercice de conformité à archiver. Les praticiens de la conformité IA la considèrent désormais comme le principal outil de pilotage pour déployer l'intelligence artificielle de manière responsable. La CNIL propose une méthodologie validée avec grille d'évaluation gratuite.
Votre DPO (délégué à la protection des données) n'est pas un bloqueur supplémentaire. C'est un accélérateur — à condition de l'impliquer dès la phase de cadrage, pas une fois le pilote lancé.
« Comment empêcher les fuites de données avec l'IA générative ? »
Shadow AI : le vrai danger que personne ne pilote
Le shadow AI — ces outils d'intelligence artificielle que vos collaborateurs utilisent sans autorisation — représente votre risque principal. Le rapport IBM 2025 sur le coût des violations de données est sans ambiguïté : une violation sur cinq est désormais liée au shadow AI. Le coût moyen atteint 4,63 millions de dollars, soit 670 000 dollars de plus qu'un incident standard. Et 97 % des organisations touchées manquaient de contrôles d'accès IA.
L'ISACA confirme : l'entreprise moyenne compte 1 200 applications non officielles, et seulement 37 % des organisations ont des politiques pour gérer ou détecter le shadow AI. Ces chiffres illustrent ce que nous observons aussi dans les erreurs les plus fréquentes des dirigeants qui déploient l'IA — l'absence de cadrage est le dénominateur commun.
Interdire ne fonctionne pas. Cela pousse les usages dans l'ombre. L'approche qui marche : encadrer pour mieux contrôler.
Anonymisation, chiffrement et contrôle d'accès : les garde-fous indispensables
Trois mécanismes techniques protègent vos données avant tout envoi dans un outil d'IA : l'anonymisation (retirer les données personnelles identifiables), le chiffrement en transit et au repos, et une politique de contrôle d'accès zero trust. Les incidents shadow AI compromettent les données personnelles clients dans 65 % des cas, contre 53 % en moyenne pour les autres types de violations.
| Indicateur | Valeur | Source |
|---|---|---|
| Violations liées au shadow AI | 20 % de toutes les violations | IBM 2025 |
| Coût moyen violation shadow AI | 4,63 M$ (+670 K$ vs standard) | IBM 2025 |
| Employés divulguant des données via ChatGPT | 77 % | eSecurity Planet |
| Organisations sans contrôles IA basiques | 83 % | eSecurity Planet |
Source : IBM Cost of Data Breach Report 2025
« Qui est responsable en cas de problème avec un outil d'IA ? »
Définir une chaîne de responsabilité claire entre DSI, DPO et métiers
L'absence de gouvernance claire est la première cause de blocage des projets d'intelligence artificielle au COMEX. Chaque acteur a un périmètre défini : le DSI sur l'infrastructure et la sécurité, le DPO sur la conformité réglementaire, le RSSI (responsable de la sécurité des systèmes d'information) sur la cybersécurité, les directions métier sur les usages.
Sans cette répartition, chaque incident déclenche un jeu de responsabilités qui paralyse la décision. Si vous devez présenter ce cadre à votre COMEX, préparez une cartographie des rôles avant la réunion.
La charte d'usage IA : votre meilleur outil pour cadrer sans brider
Les guides de référence sur la charte IA recommandent d'y inclure : le périmètre des outils autorisés, les types de données interdites en entrée, les obligations de traçabilité, le processus de validation pour tout nouveau cas d'usage. La charte rassure le DSI et libère les équipes. Ce n'est pas une contrainte — c'est un accélérateur.
Au CMO Studio, nous accompagnons nos clients dans la rédaction de cette charte comme première étape de tout déploiement IA marketing — parce qu'un cadre clair débloque plus de projets qu'il n'en freine.
« Comment auditer et tracer ce que fait l'IA avec nos données ? »
Mettre en place un registre des usages et un suivi des traitements IA
Documenter les usages IA dans votre entreprise commence par un registre étendu : quels outils, quelles données transmises, quel niveau de risque par cas d'usage, quels résultats. La gouvernance IA responsable en 5 étapes proposée par Docaposte structure cette démarche de la cartographie initiale au monitoring continu.
Cette traçabilité est aussi un atout pour piloter la valeur : elle permet de mesurer le ROI (retour sur investissement) de chaque projet IA, pas seulement sa conformité. Les 5 cas d'usage IA que nous avons détaillés pour la direction générale démontrent que le cadrage sécurité conditionne le succès de chaque pilote.
Transformer votre DSI en sponsor du projet IA
Répondre de manière structurée à ces cinq questions change la dynamique. Votre DSI ne bloque pas par mauvaise volonté — il bloque par manque de cadre. Impliquez-le dès la phase de cadrage, co-construisez les garde-fous, montrez-lui que vous prenez la sécurité au sérieux. Il deviendra votre meilleur allié pour débloquer les budgets et accélérer le déploiement.
Piloter en interne ou se faire accompagner
Structurer ce cadre sécurité en interne a du sens si vous disposez d'un RSSI ou d'un DPO dédié, si votre DSI peut allouer deux à quatre semaines au cadrage, et si votre COMEX a déjà validé au moins un pilote IA.
L'accompagnement externe s'impose quand vous visez un cadre opérationnel sous trois mois, que vos équipes n'ont pas l'expertise réglementaire IA, ou que vous devez rassurer plusieurs directions simultanément — DSI, juridique, métiers — avec un discours cohérent.
Le vrai risque n'est pas de déployer l'IA avec un cadre. C'est de laisser le shadow AI prospérer sans aucun contrôle — ce qui arrive déjà dans 98 % des entreprises.
Structurez vos réponses, embarquez votre DSI, et passez du blocage au pilote en moins de 90 jours.
Au CMO Studio, nous structurons le cadre sécurité et conformité comme première étape de chaque feuille de route IA. Pas en théorie — en pratique, avec vos contraintes, vos outils et vos équipes.
Former vos équipes aux usages sécurisés de l'IA. Pas un cours théorique sur la cybersécurité — des sessions pratiques, sur vos cas métier, avec vos outils. Le but : que chaque collaborateur sache quelles données partager, lesquelles protéger, et comment utiliser l'IA sans exposer l'entreprise.
Construire votre charte et vos outils sur mesure. Charte d'usage IA, workflows sécurisés, politique d'hébergement, DPIA structurée... Nous concevons et déployons le cadre qui rassure votre DSI et libère vos équipes.
Piloter la mise en conformité dans votre organisation. De l'audit initial à la validation RGPD/AI Act, nous structurons le déploiement pour que la sécurité devienne un accélérateur, pas un frein.
Quelle que soit votre maturité sur le sujet — vous démarrez, votre DSI bloque, ou vous voulez structurer — nous intervenons à chaque étape.
Prenons 30 minutes pour en parler
FAQ
Comment démarrer un projet d'IA quand le DSI exige des garanties de sécurité des données ?
Commencez par un cas d'usage à faible risque — des données non sensibles, un périmètre limité. Co-construisez le cadre de sécurité avec le DSI plutôt que de le mettre devant le fait accompli. Le pilote est votre meilleur argument : il prouve que le cadre fonctionne avant d'élargir.
Quels sont les prérequis pour utiliser l'IA générative en conformité avec le RGPD ?
Quatre points : réaliser une DPIA si des données personnelles sont impliquées, choisir un fournisseur avec des garanties contractuelles claires, former les équipes aux bonnes pratiques, et mettre en place un processus de validation avant tout nouveau cas d'usage. La plupart des entreprises ont déjà les bases. Elles ne le savent pas toujours.
Comment identifier et réduire le shadow AI dans son entreprise ?
Auditez les outils utilisés par les équipes — enquête interne, analyse des flux réseau. Proposez des alternatives officielles et sécurisées. Communiquez sur les risques sans culpabiliser. Et formalisez les règles dans une charte d'usage IA accessible à tous. L'interdiction pure pousse les usages dans l'ombre.
Quels critères évaluer pour choisir un hébergement IA sécurisé ?
Localisation des datacenters, certifications de sécurité (SecNumCloud, ISO 27001), clauses contractuelles sur la rétention et le réentraînement des données, politique de chiffrement, et garanties de réversibilité. Le plus simple : exigez un hébergement qualifié SecNumCloud pour vos données les plus sensibles.
Olivier Geyer — CEO & Founder chez CMO Studio | Fractional CMO
Stratège croissance & marque propulsé par l'IA avec +20 ans d'expérience, dont 17 ans chez Coca-Cola et Nestlé. Aujourd'hui à la tête de CMO Studio, un collectif d'experts marketing accompagnant les dirigeants vers leur prochain niveau de croissance.
Demander un devis pour structurer le cadre sécurité de vos projets IA et transformer votre DSI en allié.
