DataGrail : 60 % des logiciels d'IA cachent la destination des données

Selon un rapport publié le 1er juin par la société de confidentialité des données DataGrail, près des deux tiers des fournisseurs de logiciels professionnels affirmant disposer de capacités d'IA ne divulguent pas les sous-traitants IA tiers qui traitent les données des utilisateurs.

Le 2026 Privacy and AI Trends Report a analysé 2 400 fournisseurs et a constaté que 63,6 % d'entre eux ne mentionnaient aucun sous-traitant dans leurs documents juridiques.

IA fantôme : les données circulent dans une chaîne invisible

Les sous-traitants sont des modèles d'IA tiers dont dépend l'outil d'un fournisseur. Une entreprise peut acheter un logiciel auprès du Fournisseur A, qui transmet ensuite les données au grand modèle de langage du Fournisseur B, qui peut lui-même utiliser le Fournisseur C. Le client n'a signé un contrat qu'avec A, ignorant le reste.

DataGrail appelle ce phénomène « IA fantôme ». En cas de problème, les entreprises ne savent pas à qui demander des comptes.

Autre constat : 32,8 % des systèmes d'IA effectuent au moins une opération à haut risque. Combiné à l'opacité des sous-traitants, les entreprises opèrent à l'aveugle.

La régulation explose tandis que les équipes de conformité rétrécissent

Le rapport dresse un tableau contradictoire. En 2025, les États américains ont adopté 145 lois liées à l'IA, avec plus de 1 000 projets de loi en attente. Les recours collectifs liés aux pixels de suivi ont dépassé les 1 400 en un an.

Pourtant, les équipes de conformité en matière de confidentialité sont réduites. Certaines équipes ont subi des coupes allant jusqu'à 33 %. Plus de règles, des amendes plus lourdes, moins de personnel pour les gérer.

Le PDG de DataGrail, Daniel Barber, a résumé l'état de la confidentialité en 2026 :

« S'il y a un mot qui résume la confidentialité des données en 2026, c'est 'plus' : plus de réglementation, plus de risques, plus de pression. »

42 % des entreprises ont arrêté des projets d'IA pour des raisons de confidentialité

Le rapport a également révélé que 42 % des entreprises ont arrêté des projets d'IA en 2025, invoquant directement des préoccupations de confidentialité.

Après deux années passées à intégrer l'IA dans tout, de nombreuses entreprises ont réalisé qu'elles ne pouvaient pas suivre les flux de données, identifier les sous-traitants ou suivre le rythme des réglementations de plus en plus strictes. Près de la moitié ont choisi de tout arrêter.

Chiffres clésValeur
Fournisseurs ne divulguant pas les sous-traitants IA63,6 %
Systèmes d'IA effectuant des opérations à haut risque32,8 %
Projets d'IA arrêtés pour cause de confidentialité en 202542 %
Nouvelles lois d'État sur l'IA adoptées en 2025145
Réduction des effectifs des équipes de confidentialitéJusqu'à 33 %

Le message central du rapport n'est pas qu'il faut éviter l'IA, mais que les entreprises doivent comprendre où vont leurs données avant de déployer l'IA. Ce détail apparemment mineur devient un passif caché majeur.

Sources : CocoLoop ; 145 AI laws passed in 2025 and privacy teams aren't catching a break (Help Net Security) ; DataGrail Privacy and AI Trends Report 2026 (DataGrail)