● Journal du Net 📅 13/05/2026 à 19:32

Data Science 👤 Julie Navarro

🏷️ Tags : llm anthropic chatgpt openai orange pm rag rte sanctions

73 % des PME françaises hébergent leurs données client aux US sans le savoir. Voici une méthode pour reprendre la main. En auditant les stacks SaaS d'une centaine de petites et moyennes entreprises françaises au cours du premier semestre 2026, j'ai relevé une statistique qui m'a fait sursauter : 73 % d'entre elles utilisent au quotidien au moins un outil dit "AI-powered" qui transfère des données nominatives client vers des serveurs américains, sans Standard Contractual Clauses à jour, sans Transfer Impact Assessment réalisé, et sans information explicite des personnes concernées. Cinq ans après l'arrêt Schrems II, ces transferts restent juridiquement fragiles. Personne n'en parle vraiment, et ce n'est pas par mauvaise foi. La réalité est plus prosaïque. Les outils américains restent par défaut dans les comparatifs "best of" des sites tech français. Les éditeurs européens conformes existent, mais leur visibilité reste résiduelle dans les premiers résultats Google. Et la CNIL, faute de moyens et de volonté politique, n'a sanctionné que quelques cas médiatisés — Clearview AI, quelques opérateurs publicitaires — sans toucher massivement aux usages diffus dans les TPE et PME. Le résultat : un consensus silencieux où chacun fait semblant de ne pas voir, en attendant que la prochaine décision européenne, le prochain règlement, ou le prochain incident, force la main de tout le monde. Les trois couches de risque que peu de DPO distinguent Lorsque j'aborde le sujet avec des dirigeants ou des DPO, je me rends compte que la plupart confondent trois niveaux de risque très différents, et donc trois familles de réponses très différentes. Le premier niveau, ce sont les fournisseurs SaaS principaux : Gmail, HubSpot, Notion, Salesforce, Slack. Sur cette couche-là, les DPA sont à jour, les SCC sont signées, les TIA sont faisables dans la plupart des cas. Le risque juridique existe mais il est faible et bien identifié, et les juristes savent l'évaluer. Disons que c'est la couche "visible". Le deuxième niveau, ce sont les sous-traitants embarqués : les fonctions IA ajoutées récemment dans des outils que vous utilisiez déjà — la suggestion de mail dans Gmail, l'auto-complétion HubSpot, le résumé de réunion Zoom AI Companion. Là, beaucoup d'éditeurs n'ont pas mis à jour leur DPA quand ils ont ajouté un sous-traitant IA (souvent un nouveau modèle d'OpenAI ou d'Anthropic intégré via API). Le risque juridique est moyen à fort, et beaucoup de DPO ne savent pas qu'ils doivent rechecker leurs DPA tous les six mois sur ce sujet. Le troisième niveau, c'est l'angle mort intégral : les outils que vos employés ajoutent eux-mêmes, sans vous prévenir. ChatGPT en version gratuite pour reformuler un email. DeepL pour traduire un contrat de prestation. Otter pour transcrire une réunion commerciale. Suno pour générer un jingle marketing. Sur cette couche-là, les CGU disent explicitement que les saisies utilisateurs servent à entraîner le modèle. Aucun DPA possible, aucune SCC, aucune Transfer Impact Assessment. Et c'est la couche où la responsabilité personnelle du DPO se joue, parce que c'est lui qui doit cartographier les usages réels, pas les usages officiels. Cette troisième couche, je l'appelle la "shadow IA". Elle représente l'écrasante majorité du risque de non-conformité en 2026, et elle est invisible dans 73 % des audits internes que j'ai vus. Pourquoi le sujet est inconfortable, et pourquoi il faut quand même le traiter Beaucoup de dirigeants me demandent : "Pourquoi se compliquer la vie maintenant ? La CNIL ne sanctionne pas, le contrôle des transferts US n'est pas une priorité affichée, mes concurrents font tous pareil." C'est une question légitime, et la réponse honnête est en trois temps. D'abord, la responsabilité civile et pénale du DPO et du dirigeant ne se limite pas à la probabilité d'un contrôle CNIL. Elle se déclenche aussi en cas de plainte d'un client, d'un partenaire B2B exigeant, d'un ancien employé, ou d'un journaliste qui creuse. Et chaque mois qui passe alimente la jurisprudence européenne sur les transferts illicites. Ensuite, le marché commence à pénaliser économiquement. Les appels d'offres publics français exigent de plus en plus une attestation d'hébergement EU. Les grands comptes B2B européens posent désormais la question dès la première réunion commerciale. Les administrations publiques basculent vers SecNumCloud, et excluent par effet domino les sous-traitants non conformes. Pour une PME qui vend du B2B, ne pas pouvoir cocher la case "données hébergées en France" devient un handicap commercial concret en 2026, plus seulement un risque juridique abstrait. Enfin, la souveraineté numérique cesse d'être un sujet idéologique pour devenir un sujet de continuité d'activité. Le précédent de TikTok aux États-Unis, les tensions transatlantiques sur l'AI Act, les sanctions américaines extra-territoriales — tout cela compose un paysage où dépendre à 80 % d'outils américains pour ses opérations quotidiennes devient simplement une mauvaise gestion du risque, indépendamment de toute considération idéologique. Une grille pratique pour reprendre la main, sans tout casser Aux dirigeants qui veulent traiter le sujet sans paralyser leur activité, je propose une méthode en quatre temps, qui tient en quatre à huit semaines selon la taille de l'entreprise. La première étape, c'est un sondage interne de trente minutes auprès de cinq à dix employés représentatifs : "Quels outils IA tu utilises au quotidien, payés ou gratuits, officiels ou pas ?" L'expérience montre que ce sondage révèle huit à douze outils que la direction ne connaissait pas. C'est le point de départ. Sans cette cartographie, toute politique de conformité est de la cosmétique. La deuxième étape, c'est la classification par risque. Pour chaque outil identifié, trois questions : quelles données y entrent, où sont les serveurs, le DPA est-il à jour et signé. Sur ces trois critères, vous obtenez une matrice simple : rouge (à remplacer en priorité), orange (à mettre en conformité), vert (acceptable). En général, sur dix outils, vous avez deux ou trois rouges, quatre ou cinq orange, et deux ou trois verts. La troisième étape, c'est le plan de remplacement étalé. Pour les outils rouges, identifier une alternative européenne crédible : Outlook for Business (souvent suffisant pour les usages basiques), Anthropic ou Mistral pour les LLM via API européenne, un CRM français ou européen, un outil de transcription self-hosted ou EU. L'erreur classique est de vouloir tout migrer en un mois ; la bonne pratique est d'étaler sur six à neuf mois, en commençant par les usages où le coût de bascule est le plus faible. La quatrième étape, c'est la gouvernance pérenne. Un comité interne trimestriel qui recheck les nouveaux outils déployés, un canal de signalement pour les employés qui veulent utiliser un nouvel outil, et une mise à jour annuelle de la matrice. Sans gouvernance, la shadow IA revient en six mois. La responsabilité partagée Ce qui me frappe en discutant avec des DPO français, c'est leur impression d'être seuls sur ce sujet. La CNIL communique peu sur les bonnes pratiques opérationnelles. Bercy n'a pas relayé d'impulsion claire vers les PME pour préférer les outils européens. Les éditeurs européens conformes peinent à se faire connaître. Les dirigeants considèrent le sujet comme "technique" et le délèguent aux RSSI et DPO, qui n'ont pas les leviers de décision. Il y a là un sujet de gouvernance collective qui dépasse la responsabilité individuelle des entreprises. Tant que l'écosystème français n'organisera pas une véritable visibilité aux alternatives européennes — par les achats publics, par les obligations sectorielles, par la commande publique — la dépendance par défaut aux outils américains continuera à s'aggraver. Pour autant, attendre une impulsion politique pour agir serait une erreur. Chaque dirigeant et chaque DPO a la possibilité, dès aujourd'hui, de cartographier sa shadow IA, de classer ses outils, et d'engager un plan de bascule progressif. Le coût est faible — quatre à huit semaines de travail réparties sur un trimestre. Le bénéfice est triple : conformité juridique, avantage commercial, et indépendance opérationnelle. Cinq ans après Schrems II, le silence sur les transferts US n'est plus tenable. Il est temps que les entreprises françaises se réapproprient leurs données — sans drame, sans idéologie, mais avec méthode.

🔗 Lire l'article original 👁️ 0 lecture