L’IA générative s’est installée dans les réunions professionnelles à une vitesse que peu d’organisations avaient anticipée. Transcription automatique, résumés de réunion, traduction en temps réel : les usages sont immédiats et les gains de productivité de plus en plus mesurables. Mais chaque conversation traitée par un assistant IA constitue aussi une donnée, souvent sensible, qui quitte le périmètre maîtrisé de l’organisation.
Pour les entreprises évoluant dans des secteurs critiques, l’enjeu est de pouvoir maîtriser les conditions dans lesquelles l’IA est utilisée, afin de ne pas exposer d’informations stratégiques, confidentielles ou réglementées.
Cet article analyse les vecteurs d’exposition réels liés à l’IA en visioconférence (vulnérabilités des modules intégrés, Shadow AI…), face aux exigences de conformité réglementaire à l’échelle européenne, ainsi que les critères qui permettent d’évaluer la sécurité de ces nouveaux outils.
L’intelligence artificielle s’invite dans vos réunions en ligne
Des assistants virtuels communiquent à votre place
L’essor des technologies d’intelligence artificielle bouleverse les normes établies. Dans les plateformes collaboratives et de visioconférence, l’IA transforme la façon dont nous échangeons, analysons et exploitons le savoir collectif. Peu à peu, elle s’impose comme un indispensable pour être efficace et gagner du temps.
Certains acteurs de visioconférence proposent aujourd’hui des fonctions d’assistant virtuel, basées sur l’intelligence artificielle générative. Intégré dans la solution, l’assistant virtuel peut transcrire, traduire, sous-titrer les échanges d’une réunion en ligne ou encore en faire des résumés textuels synthétiques.
L’objectif ? Améliorer la productivité des utilisateurs en leur facilitant certaines tâches, comme les comptes-rendus de réunions par exemple. Le collaborateur peut se concentrer davantage sur la teneur des échanges pendant que l’IA fait son travail de synthétisation des communications.
.
Comment ça marche ?
Le « large langage model » est généralement utilisé pour agrémenter les visioconférences d’assistant virtuel. Ce modèle d’intelligence artificielle, bien connu par un large public avec Chat GPT, permet de comprendre et de générer du texte, de façon contextuelle et fluide. Ainsi, il est utilisé pour retranscrire textuellement des échanges en visioconférence ou créer des réponses automatiques.
Son entraînement est basé sur une large variété de données. Cela lui permet de comprendre et de produire du langage humain de façon très précise. Plus ce modèle traitera de la donnée, plus il sera performant et apportera de nouvelles réponses.
Pourquoi utiliser l’IA pour ses réunions ?
L’automatisation des tâches chronophages est l’avantage majeur de l’intelligence artificielle pour les réunions en ligne. C’est le cas pour :
- La prise de notes : l’IA peut retranscrire automatiquement l’ensemble de la conversation, utile pour des besoins de traçabilité.
- Le compte-rendu de réunion : l’IA récolte les points clés et les décisions prises durant la discussion et génère des synthèses claires et exploitables dès la fin de la visioconférence.
- La traduction des échanges : L’IA traduit rapidement, parfois même en temps réel, les conversations pour faciliter la collaboration entre des équipes multisites et internationales.
Selon une étude d’Eurostat, 13,5 % des entreprises de l’Union européenne (ayant au moins 10 salariés) utilisent l’intelligence artificielle, soit une hausse de 5,5 points par rapport à 2023. Ce taux atteint 42 % pour les grandes entreprises de plus de 250 salariés.
D’autres intégrations de l’IA permettent d’améliorer le rendu audio et vidéo en visioconférence ou la reconnaissance des émotions. Pour autant, chaque fonctionnalité intelligente ouvre la porte à des risques multiples, souvent insoupçonnés.
Exploiter le potentiel de l’IA dans les visioconférences sans exposer les données devient alors un véritable défi.
Trois vecteurs d’exposition des données à surveiller
Vulnérabilités et failles de sécurité
Dans les outils de collaboration et de visioconférence traditionnels, les modules d’IA génératives intégrés sont généralement connectés à Internet et gardent en mémoire les informations renseignées par les utilisateurs.
En mars 2025, une faille critique baptisée « EchoLeak » (CVE-2025-32711) dans le plugin IA Copilot, intégré à Microsoft 365, a permis une attaque zero click. Un simple e-mail a pu déclencher, sans aucune action de l’utilisateur, l’exfiltration automatique de données sensibles accessibles par Copilot (chats, documents, SharePoint, Teams…). En injectant des instructions frauduleuses à distance, les cyberattaquants ont voulu exploiter la mémoire contextuelle riche du plugin et exfiltrer des données sensibles. L’utilisateur n’a jamais interagi avec le contenu piégé.
Cela démontre que l’IA est capable d’exécuter aveuglément des prompts et que la mémorisation des informations peut, dans ce type d’attaques, représenter un risque majeur de fuite de données.
Shadow AI
À l’image du shadow IT, phénomène consistant à utiliser des logiciels et applications informatiques non approuvés par la DSI, le shadow AI fait partie des dangers émergents au sein des entreprises. Cette pratique, qui consiste à utiliser des IA génératives gratuites, non vérifiées en interne, crée d’importantes vulnérabilités. De nombreux collaborateurs sont amenés à y copier-coller des informations sensibles, parfois issues de réunions, pour générer des rapports, des présentations ou des traductions.
Dans une étude Gartner en 2024, 73 % des entreprises déclarent que l’IA générative est utilisée en dehors des processus IT officiels (“shadow AI”), principalement via des outils comme ChatGPT, Copilot, ou Gemini.
Par ailleurs, près de neuf chefs d’entreprise sur dix (86 %) ayant des responsabilités en matière de cybersécurité ont signalé au moins un incident lié à l’IA au cours des 12 derniers mois selon le Cisco Cybersecurity Readiness Index 2025.
Ce phénomène de Shadow AI échappe en bonne partie à la surveillance des DSI et RSSI et expose les données stratégiques à de nombreuses menaces :
- Stockage des données hors UE, sans garantir la conformité au RGPD,
- Vulnérabilités aux attaques externes non détectées,
- Multiplication des accès et partage non contrôlés.
Le recours à des applications IA non sécurisées, en complément de la visioconférence, contribue également à multiplier les vecteurs d’attaque.
De plus, lorsque ces outils sont extra-européens, l’organisation a peu de visibilité sur la gestion des données, la sécurité des modèles et la conformité aux standards européens.
Avec l’IA Act appliquée au sein de l’UE, des normes strictes de sécurité, de transparence et de gestion des risques doivent être respectées pour utiliser l’IA. Toutes les organisations, et surtout les plus sensibles, sont concernées.
IA Act et données hors UE : un cadre en cours de construction
Depuis le 1er août 2024, l’IA Act est entré en vigueur dans l’Union européenne. Son application est progressive : les pratiques d’IA jugées inacceptables sont interdites depuis février 2025 et les obligations sur les modèles à usage général (LLM de type ChatGPT, Copilot, Gemini) s’appliquent depuis août 2025.
Suite au Digital Omnibus (accord provisoire conclu entre Conseil européen et le Parlement européen le 7 mai 2026) les obligations pour les systèmes à haut risque de l’annexe III sont désormais attendues pour décembre 2027. Le cadre se construit, mais les organisations n’attendent pas les échéances réglementaires pour être exposées.
Le problème concret pour les DSI est ailleurs puisqu’une entreprise qui utilise un outil d’IA tiers en contexte professionnel est considérée comme déployeur au sens de l’IA Act. Elle doit donc :
- respecter les instructions du fournisseur,
- informer les utilisateurs finaux de l’usage de l’IA,
- et assurer un contrôle humain sur les décisions significatives.
Dans la pratique, rares sont les organisations qui ont formalisé ce statut pour leurs outils collaboratifs qui intègrent de l’IA, notamment pour les comptes-rendus de réunion.
Par ailleurs, la question de la localisation des données est tout aussi critique. Un assistant IA intégré à une plateforme américaine traite les transcriptions de réunion sur des serveurs soumis à la juridiction américaine, et potentiellement au Cloud Act. Le RGPD s’applique aux données personnelles contenues dans ces échanges (noms, voix, contenus des discussions), mais son application effective suppose que l’organisation soit en mesure d’identifier où ses données sont traitées, par quel modèle, et si elles servent à l’entraînement futur. Un niveau de traçabilité rarement garanti par les conditions générales des outils grand public.
Ce que doit garantir un outil IA pour les organisations sensibles
Pour les organisations évoluant dans des secteurs sensibles (défense, industries, finance…) et répondant à des réglementations strictes comme NIS 2 ou DORA, l’adoption de solutions collaboratives intégrant de l’IA ne peut se faire uniquement sur la base de critères de productivité. Trois garanties sont non négociables.
Hébergement et localisation des données
Les données traitées par un assistant IA en réunion (transcriptions, résumés, échanges en temps réel) doivent rester sous juridiction européenne.
Cela implique un hébergement en Europe, mais aussi un engagement contractuel explicite sur la non-utilisation de ces données pour entraîner les modèles du fournisseur. Sans cette clause, l’organisation transfère de fait des informations stratégiques à un tiers dont elle ne maîtrise ni les pratiques ni l’évolution.
Pour les secteurs réglementés, la localisation des données est une condition indispensable de conformité. Certaines réglementations sectorielles vont plus loin que le RGPD et imposent une traçabilité complète des flux de données, y compris ceux générés par les outils IA.
Absence de mémorisation des échanges
Un assistant IA qui conserve le contexte des réunions passées pour « améliorer la pertinence de ses réponses futures » introduit un risque structurel.
La mémoire contextuelle est précisément ce qu’a exploité l’attaque EchoLeak décrite plus haut : plus un outil mémorise, plus sa surface d’attaque est large. Pour les échanges sensibles, l’IA doit traiter les données en temps réel et ne pas les persister au-delà de la session.
Ce point est souvent mal compris lors des évaluations d’outils. Les fonctions de mémorisation sont présentées comme des avantages utilisateur, et elles le sont dans un contexte grand public. Dans un contexte sensible, elles représentent un vecteur d’exposition supplémentaire à évaluer explicitement.
Conformité aux référentiels de sécurité européens
Un outil IA intégré à une plateforme collaborative ou un outil de visioconférence doit pouvoir être audité.
Pour les organisations critiques, cela suppose que le fournisseur dispose de certifications ou qualifications reconnues, et qu’il soit en mesure de documenter ses pratiques de sécurité de façon vérifiable.
La certification CSPN, délivrée par l’ANSSI après analyse du code source et des mécanismes de sécurité, est le référentiel qui apporte ce niveau de garantie sur le marché français.
L’IA dans la collaboration en ligne n’est pas inutilisable dans les secteurs sensibles, à condition que les organisations puissent garder la maîtrise de leurs données. Les outils grand public ont été conçus pour maximiser l’adoption, pas pour répondre aux exigences de traçabilité, de souveraineté et d’audit qu’imposent les environnements critiques.
Choisir un assistant IA pour ses réunions, c’est aussi choisir où vont les données qui en sont issues, et qui peut y accéder.
Pour aller plus loin : quel outil IA de réunion choisir pour des réunions sensibles ?
Certification CSPN ANSSI
Depuis plus de 8 ans, Tixeo a obtenu à trois reprises le renouvellement de sa certification CSPN de l’ANSSI, gage de sa fiabilité et son engagement pour la cybersécurité. Découvrez son approche Secure By Design et sa technologie de chiffrement de bout en bout.