L’apparition de l’IA dans les processus des entreprises

Grant Thornton a publié récemment le troisième opus de son enquête européenne sur la fonction de DPO. Les résultats montrent que le RGPD a atteint un palier de conformité, certes perfectible mais malgré tout assez satisfaisant, qui plus est dans un contexte marqué par un manque général de moyens dont souffrent les DPO.

Les dispositifs de conformité reposent sur une gouvernance mature, avec notamment un positionnement hiérarchique du DPO qui a trouvé sa place dans les grands groupes autour de la direction juridique ou de la fonction risque/compliance, et dans les plus petites structures, auprès de la direction générale. Les DPO sont par ailleurs très satisfaits de l’écoute que leur direction accorde aux problématiques de données personnelles.

Les procédures sont bien en place et déployées, il en va de même des clauses contractuelles. Le tandem RSSI/CISO et DPO fonctionne également très bien.

Un critère de maturité fait son apparition cette année dans les résultats : les directions opérationnelles sont désormais bien plus impliquées dans la conformité au quotidien que par le passé. Il s’agit d’une excellente nouvelle, qui montre bien que la conformité au RGPD est devenue une conformité du quotidien des processus métier.

Toutes les briques d’un système de management des risques de conformité sont ainsi en place : gouvernance, procédures, outil, dispositif de contrôle interne et de reporting.

Il reste néanmoins quelques irritants à traiter, dont deux notamment : la mise à jour du registre et la mise en œuvre de la privacy by design, qui demeure un chantier encore en cours pour les DPO.

Dans ce contexte somme toute assez positif, l’IA vient rebattre les cartes en «stressant» ce dispositif et en créant un environnement plus risqué en matière de conformité.

Il n’est pas ici question de l’enjeu de la mise en conformité à l’IA Act, mais bien de l’impact des intelligences artificielles qui se multiplient dans les usages des entreprises, dans les outils qu’elles utilisent et qui sont amenées à traiter des données personnelles.

L’IA constitue d’ailleurs la principale préoccupation des DPO pour 2026 selon notre enquête.

Ce cocktail d’algorithmes nombreux et complexes, de données personnelles en masse et de menaces cyber toujours aussi élevées crée un environnement de risques beaucoup plus critique pour les DPO, et qui va continuer à croître en 2026.

Dans ce contexte d’augmentation du risque brut, marqué par le développement de l’IA, l’élément de mitigation le plus pertinent reste le processus de privacy by design. Or les résultats de l’enquête montrent que celui-ci demeure fragile, avec des difficultés récurrentes de déploiement opérationnel.

Cette situation invite à réévaluer les dispositifs à l’aune de ce nouveau contexte afin de prendre les mesures de mitigation adéquates. Mais elle est aussi porteuse d’opportunités pour les DPO : étendre leur périmètre de responsabilité à la conformité à l’IA Act et devenir ainsi de véritables Data Compliance Officer, occupant un positionnement encore plus incontournable dans le paysage de la compliance des entreprises est devenu une réalité.