AI Data Defence.com

← Blog

AI Data Defence

L'exfiltration cognitive : la frontière que personne ne garde

7 juillet 2026

souverainetéshadow AICNDPDGSSI

Vos équipes utilisent déjà l’IA. Pas dans un projet piloté par la DSI — dans le navigateur, entre deux tâches, pour résumer un contrat, traduire un courrier, déboguer un script. C’est le Shadow AI, et il déplace, chaque jour, des données que vous êtes tenu de protéger.

Le problème n’est pas l’IA. C’est la frontière.

Quand un collaborateur colle un dossier client dans ChatGPT, un IBAN dans DeepSeek ou un plan d’architecture dans Mistral, la donnée quitte le Royaume. Aux États-Unis, elle tombe sous le CLOUD Act. En Chine, sous les lois de sécurité nationale. En Europe, sous le RGPD. Jamais sous la loi marocaine — et jamais réversible.

Ce n’est pas une fuite technique. C’est un transfert de juridiction, silencieux et volontaire.

Pourquoi les DLP classiques sont aveugles

Les outils de Data Loss Prevention historiques ont été conçus pour les pièces jointes et les partages de fichiers. Ils ne lisent pas :

  • le texte tapé dans une interface web d’IA ;
  • le contenu au cœur des fichiers (PDF, Word, Excel, PowerPoint, code, logs) ;
  • les captures d’écran et les copier-coller ;
  • l’arabe — que la plupart des moteurs étrangers ne savent pas reconnaître comme donnée sensible.

Résultat : la surface la plus active de fuite est aussi la moins surveillée.

Ce que la loi marocaine exige déjà

La souveraineté des données n’est pas un slogan, c’est un cadre :

  • Loi 09-08 / CNDP — le transfert de données personnelles hors du Maroc est encadré ;
  • Loi 05-20 / DGSSI — les infrastructures d’importance vitale (banques, télécoms, énergie, santé) doivent protéger leurs systèmes sur le territoire ;
  • Loi 43-20 — la preuve électronique signée a une valeur légale opposable ;
  • Directive Bank Al-Maghrib (art. 8.d) — maîtrise des transferts vers des juridictions tierces.

Gouverner la frontière IA n’est donc pas un supplément d’âme : c’est la mise en conformité d’un usage déjà répandu.

La bonne réponse : gouverner à la source

La seule frontière qui compte est celle qui se tient avant le départ, sur le sol marocain. Détecter, puis anonymiser ou bloquer le sensible — quel que soit le canal, quelle que soit la langue — et prouver chaque décision par une piste d’audit signée.

C’est exactement ce que fait AI Data Defence.


Envie de le voir gouverner votre propre requête, en français comme en arabe ? Demander une démonstration.


Vous voulez voir AI Data Defence gouverner votre propre requête ? Demander une démonstration →