Aller au contenu principal
FORTEMENT EXPOSÉ · SCORE 79.0%MARKETING / COMMUNICATION

Governance Risk Compliance Analyst

Verdict CRISTAL-10 v14.0 : Augment — l’IA assiste, le métier se transforme

Governance Risk Compliance Analyst - métier face à l’IA en 2026
79.0% exposition IAScore CRISTAL-10 v14.0

Chiffres clés 2026

50 000 €Salaire médian / an
320Offres live FT
8 072Intentions BMO 2026

Tension marché : 2.42% postes vacants (39 688 postes secteur DARES).

Source : France Travail / DARES BMO 2026 / INSEE TIC 2025. Données pack mises à jour 15 mars 2026.

Le métier de Governance Risk & Compliance (GRC) Analyst consiste à piloter les dispositifs de conformité réglementaire, de gestion des risques et de contrôle interne au sein des entreprises, notamment sous l’impulsion des directives NIS2, DORA et RGPD.

L’effectif en France se chiffre en milliers de professionnels, avec une tension de marché haute et un volume d’offres actives soutenu en 2026. La rémunération se situe nettement au-dessus de la moyenne des fonctions supports, portée par la demande de profils techniques GRC IT capables de couvrir les exigences de cybersécurité et de protection des données. Le code ROME M1844 (« Conseil en organisation et management du risque ») est le rattachement officiel. Le BMO France Travail 2026 confirme une tension très élevée sur ce segment en forte croissance post-réglementaire.

Impact IA sur le métier

Automatisable par l’IA

  • Analyser, exploiter, structurer des données
  • Respecter la confidentialité des informations
  • Concevoir et maintenir un système de cybersécurité
  • Gérer les risques de cybersécurité
  • Proposer des pistes d’amélioration des solutions

Reste humain

  • Travail en journée
  • Clientèle d’affaires
  • Station assise prolongée
  • Salarié secteur privé (CDI, CDD)
  • Travail en mode projet

Impact de l’IA sur ce metier

Plusieurs tâches sont automatisables en 2026 : la collecte et la vérification documentaire via des bots intégrés aux principales solutions GRC du marché, la génération de rapports de conformité standardisés (notamment via les plateformes de risk intelligence qui détectent les anomalies) et la surveillance en continu des indicateurs de risque grâce à des outils spécialisés analysant les transactions en temps réel.

Trois activités restent humaines : l’interprétation des textes réglementaires dans des contextes métier spécifiques, la décision de mise en conformité nécessitant un jugement éthique et juridique, et la relation avec les autorités de contrôle (ACPR, CNIL) lors d’inspections ou de dialogues. Ces tâches requièrent une expertise juridique et une capacité de négociation que l’IA ne remplace pas.

Plusieurs outils d’IA sont déjà déployés en France dans les grandes entreprises : plateformes de risk intelligence comportementale et solutions de détection de fraude et de blanchiment. Ces outils automatisent la surveillance mais la validation finale reste humaine.

Compétences clés

FiscalitéComptabilité généraleDroit des sociétésEtude prospectiveComptabilité analytiqueGestion de projetGestion des risques projetStratégie de développementDéterminer des mesures correctivesMettre en place des solutions d’amélioration de la performanceDéfinir la stratégie des systèmes d’informationsRéaliser un auditElaborer des tableaux de bordIdentifier les risques liés à une gestion d’entrepriseConcevoir un plan prévisionnel d’activitéCalculer les marges, la rentabilité d’un produit ou d’une activité

18 compétences ROME. Source : France Travail.

Carrière et formation

Formations RNCP

5 fiches disponibles. Top 4 :

  • RNCP35353 — Qualité, Logistique Industrielle et Organisation : Management de la tr (Niveau 6)
  • RNCP35401 — Science des données : exploration et modélisation statistique (Niveau 6)
  • RNCP35402 — Science des données : visualisation, conception d’outils décisionnels (Niveau 6)
  • RNCP35408 — Génie Électrique et Informatique Industrielle : Automatisme et Informa (Niveau 6)

Reconversion & CPF

Grille salarialeFormations 2026ReconversionGuide IA

Carriere et formation

La trajectoire débute comme Analyste GRC junior (0-2 ans) en charge du suivi des plans de conformité et de la collecte de preuves pour les audits NIS2 et DORA.

Après 3 à 7 ans, le profil confirmé pilote des campagnes d’évaluation des risques et encadre des stagiaires. À partir de 8 ans, le senior coordonne des projets transverses, forme les métiers et conçoit le dispositif de contrôle interne.

Le Manager GRC supervise une équipe de 5 à 10 analystes et dialogue avec les régulateurs (ACPR, CNIL). Les certifications CISA et CISM accélèrent la progression vers les postes de direction.

Salaire détaillé

Voir grille junior/médiane/senior + méthodologie
NiveauMédian estiméP90 estiméBase
Junior (0-2 ans)35 000 €40 250 €0.70 × médian
Médian (3-7 ans)50 000 €57 499 €DARES+INSEE
Senior (8+ ans)62 500 €67 500 €1.25 × médian

Méthodologie : Médian = données DARES/INSEE salaires bruts annuels 2024-2025 pour le code ROME associé. Junior/Senior = extrapolations ratios standards (0.70x / 1.25x). P90 = niveau atteint par 10 % des supérieurs de la catégorie. Pour précision par expérience/secteur/région : consulter Michael Page, Robert Half, Talent.com.

Tendances 2026-2030

2026
8 072 intentions de recrutement (BMO France Travail).
2027
Eurobarometer : 21% des Français utilisent l’IA au travail, 49% craignent pour leur emploi.
2028
BPI France : 20% des PME adoptent IA générative, 35% planifient sous 12 mois.
2029
INSEE TIC : 13% du secteur adopte IA (vs 8% moyenne France).
2030
Les outils d’IA automatisent la surveillance réglementaire et la détection des anomalies, mais l’analyste GRC reste indispensable pour interpréter les risques émergents et conseiller les dirigeants sur les arbitrages de conformité.

Freins adoption IA (BPI France 2024) : 42% citent le manque de compétences, 38% citent les coûts.

Pourquoi envisager une reconversion

Avec un score Cristal10 de 87.1 %, le métier de GRC Analyst est fortement exposé à l’automatisation des tâches documentaires et de surveillance.

Bien que la demande reste élevée, les profils qui ne souhaitent pas évoluer vers des postes de management stratégique ou de consulting spécialisé peuvent envisager une reconversion pour valoriser leur expertise risques et conformité dans des rôles moins automatisables.

Les réglementations NIS2 et DORA créent des opportunités dans des métiers adjacents où le jugement humain et l’interprétation contextuelle restent centraux.

5 metiers cibles pour se reconvertir

Quatre cibles de reconversion ressortent pour un GRC Analyst : Auditeur interne (ROME M1804, salaire médian 55 000-70 000 EUR), Risk Manager spécialisé en cybersécurité (ROME M1402, 65 000-90 000 EUR), Consultant en conformité réglementaire (ROME M1708, 60 000-85 000 EUR en cabinet) et Data Protection Officer (DPO) (ROME M1805, 50 000-80 000 EUR).

Les certifications CISA, CISM et CIPM (IAPP) facilitent la transition.

Les modules CPF pertinents incluent les parcours de Risk Management de la CNIL et les formations ISO 27001 lead auditor, accessibles via MonCompteFormation.

Questions fréquentes & sources

L’IA va-t-elle remplacer ce métier ?
Non. Avec environ 79.0% des tâches exposées, le métier se réorganise autour de ce que la machine ne couvre pas : le jugement, la validation et la relation humaine.
Quel salaire pour Governance Risk Compliance Analyst en 2026 ?
Médian estimé : 50 000 €/an brut. Source : France Travail (DARES et INSEE).
Quelle formation pour devenir governance risk compliance analyst ?
5 fiches RNCP disponibles (code ROME M1844). CPF + Pôle Emploi finançables. Voir la section Carrière ci-dessus.

Sources officielles

France Travail (BMO 2026)
DARES (salaires)
INSEE TIC (emploi)
France Compétences (RNCP)
CPF
Méthodologie CRISTAL-10

Metiers proches face a l IA

Analyse approfondie

Governance Risk Compliance Analyst : fiche complète 2026

Face à l’accumulation de réglementations comme l’AI Act, le RGPD et la CSRD, les entreprises cherchent des professionnels capables de coordonner la gestion des risques et la conformité. Le métier de governance risk compliance analyst a émergé comme un pivot entre les directions juridiques, financières et IT. En 2026, ce poste combine une veille réglementaire intense et l’usage d’outils d’IA générative pour automatiser les contrôles. Ce professionnel ne se limite pas au contrôle : il conçoit des processus intégrés de maîtrise des risques.

1. Périmètre du métier et différences vs métiers proches

Le GRC analyst pilote le cadre de gouvernance, évalue les risques opérationnels, réglementaires et stratégiques, et s’assure de la conformité aux normes internes et externes. Contrairement au compliance officer, son champ est plus large : il intègre le risque dans la stratégie. Il se distingue du risk manager, qui se concentre sur les modèles quantitatifs, et de l’auditeur interne, qui intervient a posteriori. Le GRC analyst travaille en amont, en concevant des dispositifs préventifs. Il collabore avec la DSI, le juridique et les opérationnels.

2. Cadre réglementaire 2026

En 2026, les réglementations structurantes incluent l’AI Act (entré en application complète pour les systèmes à haut risque), le RGPD (protection des données), la CSRD (reporting extra-financier) et le Code du travail (sécurité des données des salariés, devoir de vigilance). Les analystes GRC doivent maîtriser leurs articulations : par exemple, l’AI Act impose des analyses d’impact sur les droits fondamentaux, en complément du RGPD. La convention collective la plus fréquemment appliquée est celle des bureaux d’études (Syntec) ou de la métallurgie, selon le secteur d’activité.

3. Spécialités et sous-métiers

Le métier se décline en plusieurs spécialités sectorielles :

  • GRC en banque et assurance : intégration des normes Bâle III, Solvabilité II, et lutte anti-blanchiment (LCB-FT). Forte exigence de reporting réglementaire.
  • GRC en industrie : gestion des risques QHSE (qualité, hygiène, sécurité, environnement), conformité des chaînes d’approvisionnement, devoir de vigilance.
  • GRC en technologie : conformité RGPD, AI Act pour les algorithmes, cybersécurité (NIS 2), gestion des fournisseurs cloud.
  • GRC en santé : respect du secret médical, homologation des dispositifs médicaux, gestion des données de santé.
  • GRC secteur public : conformité des marchés publics, open data, protection des données des citoyens.

4. Outils et environnement technique

L’environnement technique du GRC analyst repose sur des suites spécialisées et des outils généralistes :

  • Plateformes GRC intégrées (ServiceNow GRC, RSA Archer, SAP GRC)
  • ERP (SAP, Oracle) pour l’extraction de données financières et opérationnelles
  • Outils de gestion documentaire et de workflow (SharePoint, solutions métier)
  • Logiciels de cartographie des risques et d’analyse d’impact (génériques ou intégrés aux GRC)
  • Solutions de conformité RGPD (OneTrust, TrustArc) et de gestion des consentements
  • Outils de cybersécurité (SIEM, EDR) pour le volet risque IT
  • Suites IA générative (Microsoft Copilot, ChatGPT Enterprise) utilisées pour rédiger des rapports ou analyser des textes réglementaires
  • Tableurs avancés (Excel, Google Sheets) pour les matrices de risques et le suivi d’indicateurs

5. Grille salariale 2026

Salaires bruts annuels en France (2026)
Niveau d’expérience Paris (€ brut/an) Régions (€ brut/an)
Junior (0-2 ans) 32 000 – 38 000 28 000 – 34 000
Confirmé (3-5 ans) 40 000 – 50 000 35 000 – 45 000
Senior (6+ ans) 52 000 – 65 000 45 000 – 55 000

Le salaire médian national de 35 000 € correspond à un profil junior ou confirmé hors secteur bancaire. Les primes (intéressement, participation) et avantages (télétravail, mutuelle) viennent s’ajouter.

6. Formations et diplômes

L’accès au métier se fait majoritairement avec un bac+5. Les cursus les plus adaptés :

  • Master en droit des affaires ou droit numérique (universités, Facultés de droit)
  • Master en gestion des risques ou en compliance (écoles de commerce, IAE)
  • Master en systèmes d’information et cybersécurité (écoles d’ingénieurs)
  • Diplômes d’Instituts d’Études Politiques (Sciences Po) mention affaires publiques ou finance
  • Mastères spécialisés (type HEC, ESSEC) en gouvernance des risques et conformité

Un bac+3/4 (licence professionnelle management des risques) peut permettre d’accéder à des postes junior, sous réserve d’une première expérience en audit ou contrôle interne. La formation continue (AFPA, CNAM) propose des certificats de compétences en conformité.

7. Reconversion vers ce métier

Trois profils sources se dirigent fréquemment vers le GRC :

  • Juriste d’entreprise : la maîtrise du droit des contrats et de la réglementation constitue un socle solide. Passerelle via une formation certifiante en gestion des risques (ex : certificat AMF, CIPP/E). De nombreuses écoles de commerce proposent des mastères en compliance en un an.
  • Auditeur interne : l’expérience des processus et des contrôles permet de monter en compétence sur le volet gouvernance. Un complément en analyse de risques (CRISC) facilite la transition.
  • Chef de projet IT : la connaissance des systèmes d’information et de la cybersécurité offre une passerelle rapide vers le GRC tech. Formation courte en réglementation (RGPD, LPM) et certification ISO 27001 sont recommandées.

La VAE (validation des acquis de l’expérience) peut également reconnaître un parcours hétérogène, notamment dans les banques et assurances.

8. Exposition au risque IA

Avec un score CRISTAL-10 de 79 %, l’exposition à l’automatisation par l’IA est élevée mais non totale. Les outils d’IA générative peuvent déjà rédiger des notes de conformité, extraire des obligations réglementaires de textes longs, ou détecter des incohérences dans des flux de données. La veille juridique automatisée et la génération de rapports de risques sont partiellement remplaçables. En revanche, les décisions stratégiques, l’interprétation contextuelle des normes et l’appréciation des risques émergents restent du ressort humain. L’analyste GRC devra acquérir des compétences en supervision d’IA et en validation des résultats automatisés. Les tâches les plus répétitives (collecte de données, mise en forme) seront transformées, non supprimées.

9. Marché de l’emploi

Le marché reste dynamique porté par l’empilement des réglementations. L’AI Act et la CSRD génèrent une demande forte de profils capables de piloter des dispositifs de conformité intégrée. Les secteurs les plus recruteurs sont la banque-assurance, le conseil (cabinets d’audit et de conseil en risque), l’industrie pharmaceutique, la tech et l’énergie. La tension sur le recrutement est modérée à forte, particulièrement pour les profils seniors maîtrisant plusieurs cadres réglementaires. Les offres proviennent majoritairement de grandes entreprises et de cabinets de conseil ; les PME commencent à internaliser ces fonctions. Les postes sont concentrés en Île-de-France, mais les grandes métropoles régionales (Lyon, Toulouse, Lille, Aix-Marseille) offrent des opportunités croissantes.

10. Certifications et labels reconnus

Certifications valorisées pour un GRC analyst
Certification Organisme Domaine
CRISC (Certified in Risk and Information Systems Control) ISACA Gestion des risques IT et contrôles
CIPP/E (Certified Information Privacy Professional – Europe) IAPP Protection des données (RGPD)
ISO 27001 Lead Implementer PECB / BSI / IRCA Sécurité de l’information et SMSI
PMP (Project Management Professional) PMI Gestion de projets conformité/risques
ITIL Foundation AXELOS Gestion des services IT et risques associés
Certificat AMF Autorité des Marchés Financiers Conformité financière
Qualiopi (pour les prestataires de formation) Ministère du Travail (auditeurs accrédités) Système qualité formation continue

11. Évolution de carrière

Les trajectoires types sur 3, 5 et 10 ans :

  • À 3 ans : l’analyste GRC junior monte en autonomie sur un périmètre réglementaire (RGPD ou AI Act), peut piloter des audits de conformité simples ou des cartographies de risques sous supervision.
  • À 5 ans : passage à un poste de consultant GRC senior ou de responsable conformité (COO compliance). Pilotage de projets transverses, management d’un petit bureau dédié.
  • À 10 ans : accès aux fonctions de directeur des risques (CRO), directeur de la conformité (DCO) ou Chief Governance Officer. Possibilité de rejoindre un comité exécutif dans les grandes structures, ou de fonder un cabinet conseil spécialisé.

Les passerelles vers le métier de DPO (délégué à la protection des données) sont fréquentes, tout comme l’évolution vers le conseil en transformation réglementaire.

12. Tendances 2026-2030

Plusieurs tendances dessinent l’avenir du métier :

  • Intégration des risques ESG : la CSRD impose des dispositifs de double matérialité, élargissant le périmètre du GRC au climat et aux droits humains.
  • Gouvernance de l’IA : l’AI Act crée un besoin d’analystes capables d’auditer les modèles et de rédiger des analyses d’impact pour les systèmes à haut risque.
  • Automatisation du reporting : les plateformes GRC intègrent des modules d’IA pour générer des tableaux de bord en temps réel, réduisant le travail manuel.
  • Convergence compliance et cybersécurité : les réglementations NIS 2 et DORA rapprochent les équipes risque et sécurité ; le GRC analyst devient un profil hybride.
  • Essor du regtech : les startups proposent des solutions spécialisées (veille, mapping de réglementations) qui transforment la boîte à outils du métier.
  • Internationalisation : la coopération européenne sur la conformité (directive sur le devoir de vigilance, AI Act) renforce la dimension transfrontalière du poste.