80 % des entreprises françaises sans vision claire des risques liés à l'IA

Le 7ᵉ Baromètre Privacy d'EQS Group alerte sur un déficit de gouvernance : adoption massive de l'IA mais visibilité limitée sur les systèmes et les risques.

Chiffres clés

EQS Group, dans sa septième édition du Baromètre Privacy réalisée auprès de 206 professionnels en France, dresse un constat préoccupant. 62 % des organisations déploient aujourd'hui des projets impliquant l'intelligence artificielle, mais 80 % n'ont pas une vision claire des risques liés à ces systèmes.

Adrien Naeem résume la situation avec réalisme :

« EQS Group révèle que quatre-vingt pour cent des entreprises françaises n'ont pas une vision claire des risques liés à l'IA. J'ai envie de dire même quatre-vingt-dix-neuf pour cent, mais bon apparemment, c'est quatre-vingt pour cent. »

Le baromètre précise d'autres données structurantes : 48 % des entreprises n'ont pas inventorié les systèmes d'IA utilisés, 32 % n'ont qu'une visibilité partielle, et 57 % gèrent leurs registres de traitement et processus de conformité à l'aide d'outils dédiés.

Shadow AI : un angle mort qui grandit

La combinaison d'une adoption rapide de l'IA — notamment générative — et d'une gouvernance incomplète nourrit le phénomène dit de Shadow AI, soit des usages d'IA en dehors des parcours formels de contrôle. Cela complique la conformité au RGPD et aux exigences émergentes de l'AI Act, qui demandent des inventaires précis, des évaluations de risques documentées et une supervision humaine.

Adrien Naeem relève l'ampleur de ce décalage :

« …n'ont pas inventorié leur système et trente-deux pour cent n'ont qu'une visibilité partielle. Euh, et ça alimente le phénomène […] de Shadow AI. »

Laetitia Lamari insiste pour sa part sur la nécessité d'une cartographie exhaustive des systèmes : sans visibilité, « il est impossible de gouverner ou de réglementer ce que l'on ne peut pas voir » — un principe qui sous-tend l'urgence d'un inventaire systématique.

Gouvernance et responsabilités : le DPO en première ligne

Le baromètre montre une évolution des responsabilités internes : 31 % des organisations identifient aujourd'hui le Délégué à la protection des données (DPO) comme responsable de la conformité à l'AI Act, un chiffre en hausse qui traduit le repositionnement du rôle face aux enjeux IA.

Pour Laetitia Lamari, le DPO doit évoluer vers un rôle transverse, « à la croisée de l'éthique, de la réglementation, de la data et des affaires », capable d'orchestrer une gouvernance intégrée IA–données.

Mesures prises… mais lacunes persistantes

Les entreprises commencent à agir, principalement sur le plan politique et organisationnel : 44 % ont mis en place des chartes d'utilisation de l'IA et 42 % ont lancé des initiatives de sensibilisation. En revanche, seulement 14 % disposent d'une documentation structurée (registres des systèmes d'IA, cadres de gestion de la qualité).

Ce décalage entre politiques internes et conformité technique laisse un large terrain de risques opérationnels et réglementaires. Adrien Naeem note que la maturité perçue en matière de protection des données (76 % des répondants estiment avoir progressé) peut créer un faux sentiment de sécurité face aux défis spécifiques de l'IA.

Enjeux business et perspectives 2026

À l'approche d'exigences renforcées par l'AI Act, les organisations qui investiront tôt dans une gouvernance intégrée — inventaires, évaluations de risques, documentation technique et coordination interfonctionnelle — seront mieux positionnées pour transformer la conformité en avantage concurrentiel.

Laetitia Lamari rappelle que la transition ne passera pas seulement par des politiques, mais par des ressources dédiées et des outils : la digitalisation des registres et des processus reste une condition pour piloter les risques de façon continue.

Conclusion

Le Baromètre Privacy 7 met en lumière un paradoxe clair : l'IA se diffuse rapidement dans les entreprises françaises, mais la majorité d'entre elles n'ont pas encore la visibilité nécessaire pour gouverner ces usages en conformité avec le RGPD et l'AI Act. Les recommandations convergent vers trois priorités opérationnelles : inventorier les systèmes, documenter les risques et donner au DPO (ou à une fonction équivalente) les moyens d'une gouvernance transversale.

Références : 7ᵉ Baromètre Privacy, EQS Group (206 professionnels).