L'AI Act, ou le Règlement sur l'intelligence artificielle (Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024) a fait naître un marché entier d'outils dédiés à la gouvernance de l'IA. Mais les organisations les plus avancées ne partent pas de zéro, elles s'appuient plutôt sur ce qu'elles ont déjà construit.
Les équipes Privacy, Conformité et Gestion des risques sont en train de devenir, de facto, les premières équipes AI Governance des entreprises. Ce n'est pas un choix délibéré de stratégie organisationnelle : c'est une conséquence directe du fait que les questions posées par l'IA sont, pour l'essentiel, des questions que ces équipes savent déjà traiter.
Pour documenter cette évolution, nous avons croisé les données publiées par l'IAPP, Cisco, IBM, Microsoft et McKinsey, ainsi que plusieurs sources institutionnelles européennes. Ce que ces études révèlent ensemble est plus significatif que ce qu'elles disent séparément : RGPD, gouvernance des données et gouvernance IA convergent, et cette convergence est déjà en cours.
Les équipes Privacy deviennent progressivement les équipes AI Governance
L'un des enseignements les plus frappants des études récentes tient moins aux chiffres eux-mêmes qu'à ce qu'ils révèlent sur la recomposition silencieuse des organisations : la gouvernance IA ne se construit pas à partir d'une feuille blanche. Elle s'adosse, presque partout, aux équipes déjà en charge de la protection des données, de la gouvernance des données ou de la conformité.
Cette tendance n'est pas un hasard. Les premières questions posées lors du déploiement d'un système d'IA concernent invariablement les données : leur provenance, leur qualité, les personnes concernées, les risques liés à leur traitement. Ce sont précisément les questions que les équipes Privacy ont appris à poser depuis des années.
Statistiques clés
- 69 % des Chief Privacy Officers ont désormais des responsabilités en AI Governance.
- Plus de 80 % des équipes Privacy ont aujourd'hui des responsabilités dépassant le seul cadre réglementaire du RGPD.
- 55 % des professionnels Privacy travaillent dans des organisations où la fonction Privacy participe à la gouvernance IA.
- 22 % des organisations confient la responsabilité principale de la gouvernance IA à la fonction Privacy, contre 22 % aux équipes Juridique et Compliance, 17 % à l'IT, et 10 % aux équipes Data Governance
- 67 % des organisations dont la gouvernance IA est portée par la fonction Privacy se déclarent confiantes dans leur capacité à respecter les exigences de l'AI Act.
L'adoption de l'IA progresse beaucoup plus vite que les dispositifs de gouvernance
L'adoption de l'intelligence artificielle en entreprise est désormais massive et documentée. Ce qui est moins visible, et plus préoccupant, c'est l'écart structurel qui se creuse entre la vitesse de déploiement des outils IA et la capacité des organisations à les encadrer.
Le phénomène du Shadow AI (collaborateurs utilisant des outils IA sans validation préalable, souvent par peur d'être perçus comme en retard) est en train de devenir le premier risque de gouvernance IA en entreprise.
Statistiques clés
- 75 % des travailleurs du savoir utilisent déjà l'IA au travail
- 78 % des utilisateurs apportent leurs propres outils IA au travail
- 52 % des utilisateurs hésitent à déclarer leur utilisation de l'IA et 53 % craignent d'être perçus comme remplaçables s'ils y recourent
- 79 % des dirigeants considèrent l'IA comme nécessaire à leur compétitivité, mais 60 % reconnaissent ne pas disposer d'une stratégie IA claire
- 77 % des organisations estiment que l'adoption de l'IA progresse plus vite que leurs capacités de gouvernance
- Seulement 11 % se considèrent pleinement préparées à un déploiement IA à grande échelle
Sources : Microsoft Work Trend Index 2024 / IBM Institute for Business Value (CEO & CTO Generative AI Study
Les incidents liés à l'IA ressemblent davantage à des problèmes de gouvernance qu'à des problèmes algorithmiques
Les débats autour de l'intelligence artificielle se concentrent souvent sur les modèles, leurs performances ou leurs biais.
Pourtant, les études les plus récentes montrent que les incidents observés dans les entreprises trouvent souvent leur origine ailleurs : absence de gouvernance, contrôle des accès insuffisant, mauvaise gestion des fournisseurs tiers, manque de visibilité sur les usages réels : les causes profondes des incidents IA sont des problèmes de gouvernance des données, pas des problèmes de paramétrage des modèles.
Ces problématiques sont déjà bien connues des équipes Privacy, Sécurité et Conformité.
Statistiques clés
- 51 % des organisations utilisant l'IA ont déjà subi au moins une conséquence négative liée à l'IA
- Les organisations gèrent en moyenne deux fois plus de risques IA qu'en 2022
- 20 % des entreprises ont déjà subi une violation liée au Shadow AI, dont 63 % ne disposaient pas de politique formelle de gouvernance IA, et 97 % n'avaient pas de contrôles d'accès IA adéquats
- Les violations impliquant du Shadow AI coûtent en moyenne 670 000 dollars supplémentaires
- Le coût moyen mondial d'une violation de données atteint 4,4 millions de dollars
Sources : McKinsey – The State of AI 2025 / IBM Cost of a Data Breach Report 2025 / Cybersecurity Dive – Analysis of IBM Cost of a Data Breach Report
Les investissements Privacy produisent déjà les bénéfices recherchés dans les programmes AI Governance
Les responsables AI Governance cherchent généralement à améliorer la confiance, la transparence, la maîtrise des risques et la conformité.
Or ce sont précisément les bénéfices que les entreprises attribuent depuis plusieurs années à leurs programmes Privacy.
Les résultats publiés par Cisco montrent que les investissements réalisés dans ce domaine sont aujourd'hui largement perçus comme créateurs de valeur.
Statistiques clés
- 96 % des organisations considèrent que les bénéfices de leurs investissements Privacy dépassent leurs coûts.
- Le ROI médian déclaré est de 1,6x, avec 53 % des entreprises observant un retour entre 1x et 2x
- 86 % estiment que les réglementations relatives à la protection des données ont un impact positif sur leur organisation.
- 99 % considèrent les mécanismes indépendants d'assurance et de certification comme importants dans le choix de leurs fournisseurs.
- Les organisations dépensent en moyenne 2,7 millions de dollars par an dans leurs programmes Privacy.
Sources : Cisco Data Privacy Benchmark Study 2025
L'AI Act repose largement sur des mécanismes déjà présents dans les programmes RGPD
Lorsqu'on examine les obligations imposées par l'AI Act, une partie importante des exigences concerne les données, la documentation, la gestion des risques et la traçabilité.
Ces mécanismes sont déjà familiers aux organisations ayant structuré leur conformité RGPD.
L'AI Act n'est pas le RGPD. Ses périmètres, ses logiques et ses acteurs ne sont pas identiques. Mais il partage avec lui une architecture de gouvernance fondée sur les données, la documentation et la responsabilité.
Exemples de convergences
| AI Act | Programmes Privacy |
|---|---|
| Inventaire des systèmes IA | Registre des traitements |
| Gouvernance des données | Cartographie des données |
| Gestion des risques | Analyse d'impact (DPIA) |
| Documentation technique | Accountability |
| Gestion des fournisseurs IA | Gestion des sous-traitants |
| Monitoring post-déploiement | Contrôles continus de conformité |
Références réglementaires : European Data Protection Board (EDPB) – AI Act and Data Protection Authorities Position Paper / EU AI Act – Article 10 (Data and Data Governance)
Ce que ces chiffres révèlent
Pris isolément, chacun de ces chiffres est intéressant, mais pris ensemble, ils dessinent une évolution beaucoup plus profonde : les équipes Privacy deviennent progressivement des acteurs centraux de la gouvernance IA.
Les organisations investissent dans des mécanismes de confiance qui profitent à la fois au RGPD et à l'AI Act. Les incidents observés sont souvent liés à des problématiques de gouvernance des données, de contrôle des accès ou de gestion des fournisseurs. Enfin, les exigences réglementaires reposent largement sur des actifs déjà présents dans les programmes Privacy : inventaires, cartographies, analyses d'impact, contrôles et documentation.
L'enjeu n'est donc pas de déterminer si le RGPD et l'AI Act sont identiques. Ils ne le sont pas. La question est plutôt de savoir s'il est pertinent de maintenir deux référentiels de gouvernance distincts pour piloter les mêmes données, les mêmes risques, les mêmes fournisseurs et, de plus en plus souvent, les mêmes équipes.
Les chiffres suggèrent que les organisations les plus avancées ont déjà tranché.
Séparer les outils, c’est fragmenter la responsabilité. Unifier, c’est maîtriser.
Dastra centralise votre gouvernance Privacy et AI sur une seule plateforme. Découvrez-la par ici.
