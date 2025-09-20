Jusqu’où va la responsabilité du DPO face à un Shadow AI dont il ignore l’existence ?

Le DPO n’est pas tenu d’être omniscient, mais il doit démontrer qu’il a mis en place des mécanismes raisonnables pour détecter et encadrer les traitements de données. En cas d’usage non déclaré d’un outil d’IA par un salarié ou une équipe, la responsabilité formelle reste celle de l’entreprise, en tant que responsable de traitement. Toutefois, un DPO qui n’aurait pas instauré de procédures de veille, d’audit ou de sensibilisation pourrait être mis en cause pour manquement à ses obligations de conseil et de contrôle.

À faire : instaurer des audits réguliers de l’usage des applications SaaS et IA, mettre en place un canal de signalement interne pour les employés, et sensibiliser les managers à déclarer tout nouvel outil utilisé.

Références juridiques : RGPD article 39 (missions du DPO : information, conseil, contrôle), article 24 (responsabilité du responsable de traitement).

Solutions pratiques : mettre en œuvre des outils de détection (SSO logs, CASB, audits navigateurs), organiser des campagnes de sensibilisation trimestrielles, et intégrer un point « usages IA » dans le registre de traitement.