1. La CNIL durcit le ton sur les assistants IA

Ce matin, la CNIL a annoncé son programme de contrôle pour le Salon des Maires 2025, avec un focus particulier sur l’utilisation des agents conversationnels autonomes par les collectivités locales. Selon l’autorité, * »les assistants IA déployés sans étude d’impact préalable ni mécanisme de traçabilité des décisions seront considérés comme non conformes au RGPD »*, avec des sanctions pouvant aller jusqu’à 2% du budget communal pour les récalcitrants, selon le communiqué officiel.

→ Enjeu clé : Les identités non humaines (comptes techniques des agents IA) doivent désormais être auditables comme les comptes utilisateurs classiques, une mesure qui concerne directement les solutions comme Microsoft Copilot ou Google Vertex AI.

2. AI Act : Les obligations de transparence entrent en vigueur

Hier, le cabinet Haas Avocats a publié une analyse détaillée des premières applications de l’AI Act, révélant que 68% des PME françaises sous-estiment encore les exigences en matière de :

• Explicabilité des décisions (obligation d’un « logbook » pour les agents autonomes)
• Traçabilité des données (conservation des jeux de données d’entraînement pendant 5 ans)
• Évaluation des risques (audits externes obligatoires pour les systèmes classés « à haut risque »)

selon l’étude complète.

→ Conséquence directe : Les entreprises utilisant des agents IA pour des processus critiques (RH, finance, santé) ont jusqu’au 1er mars 2026 pour se mettre en conformité, sous peine de sanctions immédiates.

3. NIST vs RGPD : Deux approches opposées de la régulation IA

Cette semaine, une comparaison inédite entre le cadre américain (NIST AI RMF) et le RGPD européen a été publiée par Orsys, mettant en lumière des divergences majeures :

selon l’analyse comparative.

→ Impact pour les entreprises : Les groupes internationaux devront segmenter leurs déploiements IA selon les juridictions, avec des coûts supplémentaires estimés à +15-20% pour les versions « RGPD-compliant ».

1. Cheops Technology lance un tour de France pour les PME

Aujourd’hui, Cheops Technology a annoncé un programme national pour accompagner 5 000 PME et ETI dans leur migration vers des solutions IA souveraines d’ici 2027. Le projet inclut :

• Un audit gratuit de conformité RGPD/AI Act
• Des ateliers sur la gestion des identités non humaines
• Un fonds d’aide pour la migration vers des clouds SecNumCloud (jusqu’à 10 000€ par entreprise)

selon le communiqué de presse.

→ Chiffre clé : 73% des PME interrogées déclarent ne pas avoir les ressources internes pour gérer seule cette transition.

2. Les identités non humaines : Le nouveau front de la cybersécurité

En début de semaine, InformatiqueNews a révélé que 42% des incidents de sécurité en 2025 sont liés à des comptes techniques non supervisés (agents IA, API, bots). Les experts recommandent :

• Un inventaire centralisé des identités non humaines
• Une rotation automatique des clés API (tous les 30 jours)
• Un principe de moindre privilège (accès strictement nécessaires)

selon l’enquête exclusive.

→ Cas pratique : Un cabinet comptable marseillais a réduit ses incidents de 90% après avoir migré vers une solution IAM souveraine (gérée par ENWO).

3. Retours d’expérience : Migration vers le souverain, un investissement rentable

Cette semaine, les premiers retours sur les migrations vers des solutions IA souveraines confirment :

• Coût initial : Entre 50 000€ et 200 000€ selon la taille de l’entreprise (intégration, formation, audits)
• ROI moyen : 18 mois (gain en sécurité, conformité, et confiance client)
• Bénéfices mesurés :
  • -85% de risques de fuites de données
  • -60% de temps passé en gestion des incidents
  • +30% de contrats signés (argument « souveraineté » décisif pour les appels d’offres publics)

selon les données compilées par Orsys.

1. L’urgence de la conformité RGPD/AI Act

Les annonces de la CNIL ce matin et les premières applications de l’AI Act confirment que 2026 sera l’année de la sanction pour les entreprises non préparées. Les agents IA autonomes (chatbots, assistants décisionnels, outils de recrutement) sont la priorité n°1 des contrôleurs.

→ Action immédiate :

• Auditer tous les agents IA déployés (même en phase pilote)
• Cartographier les flux de données et les identités non humaines
• Former les équipes aux nouvelles obligations de traçabilité

2. Souveraineté = Compétitivité

Contrairement aux idées reçues, les solutions souveraines (comme celles proposées par ENWO) ne sont pas un frein à l’innovation, mais un levier business :

• Argument commercial : 62% des appels d’offres publics exigent désormais un hébergement SecNumCloud ou équivalent.
• Réduction des coûts cachés : Moins de fuites de données = moins de rançons (ransomware) et de sanctions CNIL.
• Agilité réglementaire : Une architecture souveraine facilite la conformité avec l’AI Act, le RGPD, et les futures lois sectorielles (santé, finance).

3. Les 3 pièges à éviter

• Négliger les identités non humaines : Un compte technique non supervisé peut devenir une porte dérobée pour des cyberattaques.
• Sous-estimer les coûts de migration : Prévoir un budget formation + intégration (compter 20-30% du coût logiciel).
• Oublier l’explicabilité : Les agents IA doivent pouvoir justifier leurs décisions (obligation légale dès 2026).