Pourquoi la cybersécurité liée à l’IA est désormais un enjeu de conformité au RGPD

Lorsque l’on évoque le RGPD, beaucoup pensent immédiatement aux mentions relatives aux cookies, aux formulaires de consentement et aux politiques de confidentialité. La cybersécurité peut sembler être une préoccupation distincte, relevant davantage du service informatique que de l’équipe chargée de la conformité. Or, ces deux domaines sont plus étroitement liés que ne le pensent de nombreuses entreprises, et un avertissement publié par l’Information Commissioner’s Office en mai 2026 vient nous rappeler à point nommé pourquoi.

L’ICO a averti que les cybercriminels recourent de plus en plus à l’intelligence artificielle pour mener des attaques plus rapides, plus sophistiquées et plus difficiles à détecter qu’il y a encore quelques années. Les e-mails de phishing (ou hameçonnage) générés par l’IA peuvent désormais imiter de manière convaincante le ton et le format des communications légitimes. Des outils automatisés peuvent analyser les vulnérabilités à une échelle et à une vitesse que les humains ne peuvent égaler. Pour les entreprises qui détiennent des données à caractère personnel, c’est-à-dire pratiquement toutes les entreprises, ces évolutions constituent un risque en matière de protection des données.

Quelles sont les exigences du RGPD en matière de sécurité ?

En vertu du RGPD britannique, les entreprises qui traitent des données à caractère personnel sont tenues de mettre en œuvre des mesures techniques et organisationnelles appropriées pour les protéger. Cela couvre la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée et l’accès non autorisé. Ce principe, appelé « principe de sécurité », s’applique à toute entreprise traitant des données à caractère personnel, quelle que soit sa taille ou son secteur d’activité.

Le terme « approprié » revêt ici une importance particulière. Il ne signifie pas « parfait » et n’exige pas le même niveau d’investissement de la part d’une petite association caritative que de celle d’une grande banque. Cela signifie plutôt que les mesures mises en place doivent être proportionnées à la nature des données que vous détenez, aux risques encourus et à l’environnement de menaces actuel. À mesure que cet environnement évolue – et l’IA le modifie de manière significative –, ce qui est considéré comme « approprié » doit être réévalué régulièrement.

Pourquoi les menaces basées sur l’IA changent la donne

Le phishing a toujours été l’une des méthodes les plus efficaces pour obtenir un accès non autorisé aux systèmes et aux données, mais l’IA l’a rendu nettement plus dangereux. Les e-mails de phishing traditionnels étaient souvent faciles à repérer, car ils comportaient généralement des formules de politesse génériques, des tournures de phrases étranges et des demandes peu plausibles. Le phishing généré par l’IA peut désormais être personnalisé, fluide et adapté spécifiquement à l’entreprise ou à la personne ciblée, ce qui rend sa détection et sa neutralisation beaucoup plus difficiles pour le personnel.

Parallèlement, l’analyse automatisée des vulnérabilités permet d’identifier et d’exploiter les failles des systèmes bien plus rapidement qu’auparavant. Une entreprise qui disposait auparavant de plusieurs jours, voire de plusieurs semaines, pour identifier et corriger une vulnérabilité peut désormais constater que ce délai s’est considérablement réduit.

Les recommandations de l’ICO identifient cinq mesures concrètes que les entreprises peuvent prendre pour se protéger contre les menaces basées sur l’IA, couvrant à la fois les contrôles techniques qui réduisent le risque de réussite d’une attaque et les mesures procédurales qui limitent les dégâts en cas d’attaque.

Quelles mesures concrètes les entreprises doivent-elles prendre ?

L’authentification multifactorielle, ou MFA, est l’un des dispositifs de contrôle les plus efficaces qui soient, mais elle reste sous-utilisée dans de nombreuses entreprises. Exiger une deuxième forme de vérification avant d’accorder l’accès au système signifie que les mots de passe volés ou devinés ne suffisent pas à eux seuls à un pirate pour s’introduire dans le système. Le Centre national de cybersécurité n’a cessé de mettre en avant la MFA comme une mesure de sécurité fondamentale, en particulier pour les systèmes contenant des données à caractère personnel.

La sensibilisation du personnel est tout aussi importante. Si les employés ne sont pas en mesure d’identifier un e-mail de phishing ou ne savent pas comment réagir face à un élément suspect, même les contrôles techniques les plus robustes peuvent être contournés. Les formations doivent être régulières, pratiques et mises à jour pour refléter les méthodes actuelles des attaquants. En 2026, cela impliquera d’inclure les menaces générées par l’IA parmi les éléments que le personnel doit apprendre à reconnaître.

Les contrôles d’accès sont également essentiels. Limiter l’accès aux systèmes et aux données à certaines personnes permet de circonscrire les dégâts si un compte est compromis. Réviser régulièrement les droits d’accès et les supprimer lorsqu’ils ne sont plus nécessaires est une mesure simple, mais souvent négligée.

Il est également essentiel de disposer d’un plan de réponse aux incidents documenté et testé. L’ICO exige des entreprises qu’elles signalent toute violation soumise à obligation de déclaration dans les 72 heures suivant sa découverte. Ce délai est très court. Savoir à l’avance qui est chargé d’évaluer un incident, qui prend la décision de notifier l’autorité de contrôle et quelles informations doivent être recueillies fait toute la différence entre une réponse maîtrisée et une réponse chaotique.

Que se passe-t-il si une entreprise ne prend pas cela au sérieux ?

L’ICO prend très au sérieux les défaillances en matière de sécurité. Les entreprises victimes d’une violation parce qu’elles n’ont pas mis en œuvre les mesures de sécurité adéquates s’exposent à une enquête réglementaire et, dans les cas graves, à des mesures coercitives et à des amendes. Le lien entre la cybersécurité et la conformité au RGPD est direct : une violation résultant de défaillances de sécurité prévisibles constitue, dans de nombreux cas, également un manquement à la protection des données.

Cela ne signifie pas pour autant que toute entreprise victime d’une attaque fera l’objet de mesures coercitives. Les autorités de contrôle reconnaissent qu’aucun système n’est totalement à l’abri d’attaquants déterminés. Ce qu’elles examinent, c’est si l’entreprise a pris des mesures raisonnables pour protéger les données à caractère personnel qu’elle détient, et si elle a réagi de manière appropriée lorsqu’un incident s’est produit.

Si votre entreprise n’a pas récemment revu ses mesures de cybersécurité à la lumière de l’utilisation croissante de l’IA dans les attaques, les recommandations de l’ICO de mai 2026 constituent un point de départ pratique. Si vous avez des questions concernant vos obligations en matière de sécurité au titre du RGPD dans votre situation spécifique, solliciter l’avis d’un juriste spécialisé vous aidera à mettre en place le cadre adéquat avant qu’un problème ne survienne, plutôt qu’en réaction à celui-ci.

Comment Gerrish Legal peut vous aider? 

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution. 

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal

Next
Next

Protéger votre marque en ligne : les outils de lutte contre la contrefaçon de l’UE et du Royaume-Uni que les entreprises doivent connaître