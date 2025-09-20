Oui. En matière de RGPD, c’est toujours l’entreprise qui endosse la responsabilité du traitement des données, même si la fuite provient d’un outil d’IA non validé par la DSI. L’usage « sauvage » d’un notetaker ou d’un générateur de texte gratuit par un salarié n’exonère pas l’organisation de ses obligations. Une violation de données révélée par la CNIL ou une autorité étrangère peut ainsi entraîner sanctions financières, obligation de notification aux personnes concernées et atteinte à la réputation.

À faire : mettre en place une liste blanche d’outils autorisés, bloquer techniquement les applications non validées via un CASB ou un firewall, et former les équipes pour qu’elles comprennent que le Shadow AI expose directement l’entreprise.

Références juridiques : RGPD article 24 (responsabilité du responsable de traitement), article 32 (sécurité du traitement), article 33 (notification des violations de données).

Solutions pratiques : imposer un processus de revue fournisseur (Vendor Risk Assessment), intégrer des clauses contractuelles avec les sous-traitants IA, et documenter toute mesure de sécurité dans le registre de traitement.