L’entreprise peut-elle être tenue responsable d’une fuite provenant d’un outil IA utilisé sans validation ?
📩 Pour nous contacter: redaction@frenchweb.fr
Oui. En matière de RGPD, c’est toujours l’entreprise qui endosse la responsabilité du traitement des données, même si la fuite provient d’un outil d’IA non validé par la DSI. L’usage « sauvage » d’un notetaker ou d’un générateur de texte gratuit par un salarié n’exonère pas l’organisation de ses obligations. Une violation de données révélée par la CNIL ou une autorité étrangère peut ainsi entraîner sanctions financières, obligation de notification aux personnes concernées et atteinte à la réputation.
À faire : mettre en place une liste blanche d’outils autorisés, bloquer techniquement les applications non validées via un CASB ou un firewall, et former les équipes pour qu’elles comprennent que le Shadow AI expose directement l’entreprise.
Références juridiques : RGPD article 24 (responsabilité du responsable de traitement), article 32 (sécurité du traitement), article 33 (notification des violations de données).
Solutions pratiques : imposer un processus de revue fournisseur (Vendor Risk Assessment), intégrer des clauses contractuelles avec les sous-traitants IA, et documenter toute mesure de sécurité dans le registre de traitement.
- Qui est responsable si un bot enregistre une réunion sans consentement ? - 20/09/2025
- Jusqu’où va la responsabilité du DPO face à un Shadow AI dont il ignore l’existence ? - 20/09/2025
- L’entreprise peut-elle être tenue responsable d’une fuite provenant d’un outil IA utilisé sans validation ? - 20/09/2025
