90 jours. C'est ce qu'il reste avant que l'IA Act ne devienne pleinement opposable. Quelques semaines avant cela, un opérateur historique européen a perdu douze millions d'euros pour avoir mal documenté un outil antifraude. Et pendant ce temps, l'ANSSI publie un référentiel qui va structurer la cybersécurité française pour la décennie à venir.
Trois actualités, trois échelles, mais une même conclusion qui s'impose à votre fonction. Le périmètre du DPO vient de s'élargir d'un cran, et les recommandations que vous formulerez ce trimestre vont peser longtemps. Tour d'horizon de ce qui mérite votre attention immédiate, et de ce qu'il faut en faire concrètement.
IA Act, l'échéance que vos métiers n'ont pas encore intégrée
Ce que le calendrier impose
Le 2 août 2026, le règlement européen sur l'IA bascule dans sa phase d'application principale. Les obligations qui entrent en vigueur ce jour-là touchent les systèmes à haut risque, la gouvernance et les sanctions, bref le cœur du dispositif. Seul l'article 6(1) bénéficie d'un report supplémentaire jusqu'en août 2027, et le Parlement européen a confirmé en avril que les autres aménagements resteraient marginaux (Holland & Knight, 28 avril 2026).
Évaluations de conformité, documentation technique, marquage CE, enregistrement dans la base européenne : tout cela devra être tenu (Orrick, novembre 2025). En complément, l'EDPB a adopté le 14 avril un modèle européen d'AIPD harmonisé, en consultation publique jusqu'au 9 juin (EDPB, 14 avril 2026). La trame n'est pas encore opposable, mais elle s'imposera de fait comme la référence pour analyser les systèmes IA dans les mois à venir.
Ce qui change vraiment pour le DPO
Pour la première fois, un texte européen consacre un cadre technique complet à l'IA, alors même que la plupart des organisations en utilisent déjà sans en avoir pleinement conscience. C'est là que se joue la vraie difficulté.
Les directions générales que nous accompagnons commencent souvent par nous dire : « nous ne faisons pas d'IA ». Une fois l'inventaire réalisé, on découvre pourtant un scoring RH en place depuis dix-huit mois, un chatbot client, un module de détection de fraude fourni par un SaaS, et plusieurs briques de personnalisation marketing déjà en production. Plusieurs de ces cas relèvent potentiellement du haut risque au sens du règlement.
Le DPO externalisé se retrouve donc en première ligne sur un chantier qui dépasse le registre des traitements traditionnel. Il faut cartographier des systèmes que personne dans l'organisation ne qualifie spontanément d'« IA », confronter cette cartographie à la grille de classification réglementaire, puis traduire le tout en obligations contractuelles vis-à-vis des fournisseurs. C'est moins un sujet juridique qu'un sujet de pilotage transverse et le calendrier ne pardonne pas. 90 jours, c'est trop tard pour démarrer de zéro, mais largement suffisant pour finaliser un dispositif déjà engagé.
Trois priorités à mettre en mouvement cette semaine
- Piloter le recensement des systèmes d'IA dans les quinze jours qui viennent. Réunissez DSI, RH, marketing et achats autour d'une même table, et balayez chaque outil utilisant un modèle, qu'il soit interne ou SaaS. Classez ensuite par niveau de risque : interdit, haut risque, risque limité, risque minimal.
- Auditer les contrats fournisseurs IA dans la foulée. Notamment Microsoft Copilot, OpenAI, briques HR tech ou solutions antifraude. Réclamez la documentation technique, les fiches de modèle, les preuves de conformité et les clauses de réversibilité. Sans ces éléments, votre conformité dépend entièrement de la bonne foi de tiers que vous ne maîtrisez pas.
- Tester le DPIA template EDPB sur un cas pilote à haut risque avant le 9 juin. Choisissez un traitement emblématique, déroulez la trame officielle de bout en bout, et capitalisez sur l'exercice. Notre outil DPO @ssist intègre une évaluation des risques qui facilite cette démarche. Vous serez en avance sur l'écrasante majorité du marché lorsque le 2 août arrivera.
Poste Italiane, pourquoi 12,5 millions d'euros redéfinissent le KYC
Les faits et les violations retenues
Le 17 avril, le Garante italien a frappé fort. Poste Italiane et sa filiale Postepay écopent d'une amende de 12,5 millions d'euros, assortie d'un ordre de cessation du traitement (Digital Policy Alert, 17 avril 2026).
En cause, l'intégration dans les applications BancoPosta et PostePay de LexisNexis ThreatMetrix, un outil antifraude qui scannait le terminal de l'utilisateur, capteurs, métadonnées, comportements, sans information claire, sans alternative possible, et sans base légale solide (Reuters via Global Banking & Finance, 20 avril 2026 ; Zyphe, 27 avril 2026).
La décision retient des violations des articles 5, 6, 13, 25, 28, 32 et 35 du RGPD, plus l'article 122 du Code italien. Sept articles, autant de fondamentaux du règlement passés au tamis.
Le message envoyé à toute la chaîne sécurité
Pendant des années, les directions sécurité ont déployé des outils antifraude « par défaut » au nom de la lutte contre le risque, sans toujours associer le DPO aux choix techniques. Le Garante rappelle ici une règle simple : la légitimité d'un objectif; lutter contre la fraude est évidemment légitime ne suffit jamais à justifier l'intrusion.
Le privacy by design de l'article 25 prend le pas sur le réflexe security at all costs.
Cette décision change la position du DPO dans l'organisation. Refuser un outil intrusif, ce n'est plus jouer le rôle du frein conformiste face à la sécurité ; c'est désormais protéger l'entreprise contre une sanction qui peut grimper jusqu'à 4% du chiffre d'affaires mondial.
Le Garant envoie ce signal au moment précis où DORA impose au secteur financier de renforcer son dispositif antifraude. L'équilibre entre les deux exigences devient le cœur de métier du DPO en 2026 et l'occasion de repositionner votre fonction comme un partenaire stratégique du RSSI, pas comme son arbitre tatillon.
Ce qu'il faut faire dans les jours qui viennent
- Cartographiez l'ensemble des SDK et outils tiers embarqués dans vos applications mobiles et vos sites web. Antifraude, analytics, KYC, attribution marketing : si vous ne savez pas exactement ce que collectent ThreatMetrix, AppsFlyer, Sift Science ou leurs équivalents chez vous, vous avez un angle mort qui peut coûter cher. La fonctionnalité d'audit des sites web et applications de DPO @ssist vous permet d'identifier ces traceurs sans solliciter chaque équipe.
- Reprenez chaque traitement antifraude pour vérifier sa base légale et son parcours d'information utilisateur. L'intérêt légitime ne tient pas en justice si l'utilisateur n'a aucune alternative pour accéder au service. C'est exactement le raisonnement du Garante.
- Co-construisez avec la DSI et le RSSI un cahier des charges DPO pour tout achat futur d'outil de sécurité. Minimisation, finalités explicites, durées de conservation, encadrement de la sous-traitance au titre de l'article 28 du RGPD, AIPD obligatoire avant déploiement : ces critères doivent être posés en amont du processus d'achat, pas découverts au moment du déploiement.
ReCyF et Loi Résilience, la souveraineté cyber française prend corps
Un référentiel structurant pour la décennie
Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF) lors d'un événement au Campus Cyber. C'est un cadre de vingt objectifs de sécurité opposables qui matérialisent les exigences NIS 2, accompagné d'un outil de comparaison avec les référentiels existants tels que : ISO 27001, HDS, et autres (cyber.gouv.fr, 18 mars 2026 ; lab.cyber.gouv.fr, 24 mars 2026).
Pendant ce temps, le projet de loi Résilience qui transpose NIS 2, CER et complète DORA reste en navette parlementaire, freiné par un blocage politique autour du chiffrement (Banque des Territoires, 18 mars 2026).
La Commission supérieure du numérique et des postes presse l'adoption, l'ANSSI annonce les décrets techniques pour le second trimestre et l'auto-enregistrement des entités pour le troisième (Adevweb, 24 avril 2026). Environ dix mille entités françaises sont concernées, dont une grande partie de PME et de collectivités qui s'ignorent encore dans le périmètre.
Une grille française qui change la donne
Le ReCyF tient autant du document de souveraineté que de l'outil de conformité. La France se dote d'une grille d'évaluation qui s'articule avec les standards européens tout en restant ancrée dans les realities opérationnelles du tissu économique national. C'est précisément le pont que DPO et RSSI attendaient depuis des mois pour structurer leur dialogue avec les directions générales.
Pour les PME et les collectivités, c'est une vraie opportunité : un référentiel clair, lisible, accessible permet enfin de structurer une démarche de conformité cyber sans engager le coût d'un audit ISO 27001 complet. Pour vous, DPO, c'est surtout le moment de reprendre la main sur le pilotage cyber avant que la loi ne soit promulguée. Les organisations qui auront pré-cartographié leur statut, structuré leur gouvernance et qualifié leurs prestataires TIC critiques arriveront en position de force. Les autres découvriront leurs lacunes sous la pression réglementaire et probablement sous la pression médiatique d'un incident.
Trois mouvements à enclencher maintenant
- Déterminez le statut NIS 2 de votre entité. Croisez les dix-huit secteurs visés avec les seuils d'effectif et de chiffre d'affaires. Sans ce diagnostic, aucun chantier ne peut être priorisé correctement. La cartographie dynamique de DPO @ssist peut vous aider à structurer ce premier état des lieux.
- Téléchargez le ReCyF et conduisez un gap assessment sur les vingt objectifs de sécurité. Identifiez les cinq chantiers les plus en retard, et inscrivez-les noir sur blanc dans votre plan d'action 2026, avec budget, responsable et jalons.
- Listez vos prestataires TIC critiques : cloud, hébergeurs, éditeurs SaaS métier. Auditez leurs clauses contractuelles sur la notification d'incident, le droit d'audit, la localisation des données et le plan de réversibilité. C'est le point de jonction concret entre NIS 2, DORA et le RGPD et c'est souvent là que se logent les angles morts les plus coûteux.
Le moment de bascule du métier
Ces trois actualités racontent finalement la même histoire, vue sous trois angles complémentaires.
- L'IA Act vous projette dans un rôle de cartographe transverse.
- La sanction Poste Italiane vous installe en arbitre légitime des choix de sécurité.
- Le ReCyF vous donne enfin une grille opposable pour dialoguer avec les directions générales et les RSSI.
La question qui se pose à votre fonction n'est plus de savoir si vous saurez répondre aux contrôles. C'est de savoir si vous accepterez d'occuper l'espace stratégique que la maturité du marché vous tend désormais. Les DPO qui prendront cette place dans les six prochains mois ne géreront plus de la conformité; ils piloteront un actif de confiance. Les autres continueront à courir derrière les échéances.
À ce stade du calendrier, l'écart entre les deux trajectoires se creuse semaine après semaine.
