Audit cybersécurité et IA : ce que vos grands comptes vont vérifier en 2026

Votre client vous envoie un questionnaire cybersécurité. Question 7 : "Listez les outils d'intelligence artificielle utilisés par vos équipes, précisez leur pays d'hébergement et indiquez si un contrat de sous-traitance RGPD (DPA) est en place." Vous avez la réponse ?

Si vos équipes utilisent ChatGPT en version gratuite, Notion AI sur un compte personnel, ou n'importe quel outil IA sans contrat signé avec l'éditeur, la réponse est non. Et dans un nombre croissant de secteurs, cette réponse peut vous coûter un contrat.

Ce n'est pas une menace théorique. C'est ce qui arrive aujourd'hui aux prestataires de services, aux agences, aux cabinets de conseil et aux sous-traitants industriels qui travaillent avec des grands comptes français. Pourquoi les clients principaux ont changé de posture Jusqu'en 2023, la cybersécurité des fournisseurs était un sujet de DSI. Le directeur commercial signait le contrat, la conformité numérique était vérifiée (ou pas) par une équipe technique en arrière-plan.

Deux événements ont changé la donne. Le premier : la directive NIS2, entrée en vigueur en octobre 2024, qui oblige les entreprises critiques européennes à s'assurer que leurs fournisseurs et sous-traitants respectent des standards de cybersécurité. Les grands comptes sont désormais légalement responsables de la chaîne de valeur numérique de leurs prestataires.

Le second : la montée en puissance du Shadow AI. Selon Cyberhaven, 11 % des données collées dans ChatGPT par des salariés en entreprise contiennent des informations confidentielles. Quand un prestataire travaille sur des données clients d'un grand groupe, c'est le grand groupe qui est exposé.

Le troisième : l'IA Act. En application complète depuis août 2026, il impose aux entreprises de classifier les systèmes IA qu'elles utilisent selon leur niveau de risque. Les grands comptes commencent à intégrer cette classification dans leurs audits fournisseurs : ils veulent savoir si les outils IA de leurs prestataires sont à "risque limité" ou à "haut risque" selon la nomenclature européenne.

Un outil de recrutement assisté par IA, par exemple, entre dans la catégorie haut risque et déclenche des obligations de transparence renforcées.

Ce n'est plus une option, c'est devenu standard chez L'Oréal, Total, BNP Paribas, et la plupart des ETI industrielles avec une politique de conformité active. Ce que le questionnaire demande concrètement Les questionnaires varient d'un client principal à l'autre, mais les questions reviennent toujours autour de quatre axes.

L'inventaire des outils IA utilisés par vos équipes. Pas seulement les outils officiels, mais aussi les usages informels. Un grand compte sait très bien que ses prestataires utilisent ChatGPT. Il veut savoir si vous avez une politique interne qui encadre cet usage. L'existence d'un contrat de sous-traitance (DPA) avec chaque éditeur d'IA. Sans DPA, l'éditeur peut légalement utiliser vos données pour améliorer son modèle. Si ces données incluent des informations sur les projets de votre client, votre client est directement exposé. La localisation des données. Un outil IA américain soumis au Cloud Act peut théoriquement donner accès aux autorités américaines à vos données, même si elles sont stockées en Europe. Pour un cabinet qui travaille sur une acquisition ou un bilan confidentiel, c'est inacceptable.

La politique interne d'usage de l'IA. Avez-vous une charte IA ? Vos collaborateurs sont-ils formés à ce qu'ils peuvent et ne peuvent pas partager avec un outil IA ? Les trois scénarios où vous perdez le contrat Scénario 1 : l'appel d'offres.

Vous répondez à un appel d'offres pour une mission de conseil. Dans les critères de sélection, une clause cybersécurité stipule que tous les outils numériques utilisés sur la mission doivent être conformes RGPD avec DPA disponible. Vous utilisez Notion AI, Otter.ai et ChatGPT Plus.

Aucun des trois n'est couvert par un DPA sur votre compte. Vous êtes éliminé avant même que vos honoraires soient regardés. Scénario 2 : l'audit annuel.

Vous êtes référencé fournisseur depuis 3 ans. Le service achats vous envoie le nouveau questionnaire de renouvellement. La section cybersécurité est nouvelle.

Vous ne pouvez pas répondre "conforme" sur les outils IA parce que vous n'avez jamais vérifié. Le renouvellement est suspendu le temps de régulariser. Scénario 3 : l'incident.

Un de vos collaborateurs colle un extrait de compte-rendu de réunion confidentielle dans ChatGPT pour rédiger un résumé. L'information remonte. Votre client peut activer la clause de résiliation pour manquement à la confidentialité, indépendamment de tout préjudice réel.

Ce que vous devez mettre en place avant le prochain audit

La bonne nouvelle : régulariser n'est pas aussi long que ça en a l'air. Voici les quatre étapes dans l'ordre.

1.Faire l'inventaire

Demandez à chaque membre de votre équipe quels outils IA il utilise, même sur compte personnel, même de façon occasionnelle. Vous serez surpris par la liste. Otter.ai, Grammarly, Canva IA, Midjourney, Perplexity...

Ces outils traitent souvent des données professionnelles sans que personne n'y ait pensé.

2.Vérifier le statut DPA de chaque outil

Pour chaque outil de votre liste, allez sur le site de l'éditeur, cherchez les pages "Legal", "Privacy" ou "Trust Center", et vérifiez si un DPA est disponible. Attention à un piège fréquent : avoir un logo "RGPD compliant" sur le site d'un éditeur ne signifie pas que vous avez un contrat. Chez OpenAI, Anthropic ou Google, le DPA n'est activé par défaut que sur les versions Business ou Enterprise.

Avec un abonnement Plus individuel, vous n'êtes pas couvert. C'est l'erreur que font 90 % des PME. Sur trouver-ia.fr, chaque fiche outil indique clairement ce statut : DPA disponible publiquement, disponible sur demande, ou non identifié.

Nous avons lu les CGU pour vous.

3.Remplacer ou encadrer les outils non conformes

Pour chaque outil sans DPA disponible, vous avez deux options. Soit vous le remplacez par un équivalent conforme (Mistral Le Chat à la place de ChatGPT gratuit, Pennylane à la place d'un outil comptable non audité). Soit vous mettez en place un contrat Business ou Enterprise avec l'éditeur, qui inclut généralement un DPA.

4.Rédiger une charte IA interne

Une page suffit.

Ce qu'on peut partager avec un outil IA (contenu public, brouillons sans données client, reformulations génériques). Ce qu'on ne partage jamais (noms de clients, données financières, codes sources, comptes-rendus confidentiels). Quel outil est autorisé, lequel ne l'est pas.

Cette charte vous protège en cas d'incident et vous permet de répondre "oui" à la question du questionnaire. Le bon angle pour en parler à vos clients Ne présentez pas cette démarche comme une contrainte de conformité. Présentez-la comme un avantage concurrentiel.

Les PME qui peuvent répondre "oui, nos outils IA sont tous conformes, voici notre inventaire et nos DPA" lors d'un appel d'offres se différencient immédiatement des concurrents qui n'ont pas fait ce travail. Dans un contexte où les grands comptes cherchent à réduire le nombre de fournisseurs et à travailler avec des partenaires de confiance sur le long terme, c'est un argument qui pèse. Ce n'est pas du RGPD. C'est de la protection de votre patrimoine numérique et de celui de vos clients. Et c'est exactement ce que vos clients principaux sont en train de vérifier.

Vous voulez vérifier le statut RGPD de vos outils IA actuels ? Chaque fiche sur trouver-ia.fr indique le statut DPA, la localisation des données et le score Label Vigie. Le diagnostic prend 10 minutes. Articles liés : DPA et IA : le contrat que 80 % des PME oublient de signer

RGPD et IA : ce que tout dirigeant de PME doit savoir en 2026 ChatGPT en entreprise : 5 erreurs qui coûtent cher aux PME