La CNIL le rappelle : avant de déployer une IA, il faut d'abord maîtriser l'hygiène de base. Données clients, infos financières, secrets industriels — tout ce qu'une entreprise détient doit être chiffré, sauvegardé, cloisonné. L'IA amplifie les risques (accès à plus de données, apprentissage sur du sensible), mais les fondamentaux restent inchangés : authentification forte, contrôle d'accès, audit régulier.
Le piège courant : croire qu'adopter une IA cloud magique résout le problème. Faux. Vous transférez juste le risque chez un tiers — qui doit être audité, contractualisé, responsabilisé. La parade : inventaire précis de ce que vous stockez, évaluation des outils (qui y accède, comment, où c'est hébergé), et plan de secours.
Pour les PME surtout, c'est moins excitant qu'un chatbot maison, mais c'est la différence entre continuer à opérer et subir une rançongiciel. La CNIL ne dit rien de révolutionnaire — juste que les bases restent le chemin le plus court vers la tranquillité.
En pratique : pas besoin d'un RSSI à temps plein, mais un responsable qui audite trimestriellement, teste la restauration des sauvegardes, et traîne les collaborateurs en formation. Chiant ? Oui. Obligatoire ? Aussi.
