Mi-janvier 2026, la CNIL sanctionne lourdement Free et Free Mobile pour manquements au RGPD. Dans le même temps, Gemini de Google fait polémique pour ses pratiques de collecte de données. Ces décisions illustrent le renforcement du cadre réglementaire européen, dont l’AI Act constitue la pièce maîtresse : il entre progressivement en application tout au long de 2026, imposant l’étiquetage des contenus IA, la transparence sur les données d’entraînement des modèles à usage général, et des obligations d’audit pour les systèmes IA à «haut risque» (recrutement, crédit, justice, médecine).
Parallèlement, une étude de janvier 2026 révèle que près de la moitié des salariés français utilisent des outils IA sans en informer leur employeur — phénomène dit «Shadow IA». Plus grave : en interrogeant ChatGPT, Gemini ou Claude avec des données professionnelles depuis un compte personnel, les employés envoient des informations confidentielles (codes sources, contrats, données clients) sur des serveurs tiers, hors de tout contrôle RGPD.
Shadow IA = nouvelle surface d’attaque : Les DSI identifient désormais la Shadow IA comme l’une des principales menaces de sécurité de 2026. Des données sensibles peuvent se retrouver dans les jeux d’entraînement de modèles tiers, être exposées lors d’une violation de ces fournisseurs, ou accessibles à des concurrents utilisant les mêmes outils. L’ANSSI recommande d’établir des politiques claires d’usage IA en entreprise et de proposer des alternatives approuvées aux salariés, plutôt que d’interdire sans alternative.