Agents IA
Prompt engineering pour entreprises : les bases qui font la différence
Maîtrisez le prompt engineering pour obtenir des résultats professionnels avec GPT-4 et Claude. Techniques, templates et exemples concrets pour les équipes métier.
Utiliser ChatGPT sur des données clients, automatiser des emails avec des infos personnelles, connecter un LLM à votre CRM… Tout cela est potentiellement en infraction avec le RGPD. Et pourtant, la quasi-totalité des PME françaises le font sans filet. Voici ce que vous devez savoir — et faire — en 2026.
RGPD et IA : pourquoi c’est plus complexe qu’avant
Le RGPD existe depuis 2018. Mais l’IA générative crée des situations inédites :
- Entraînement sur données personnelles : les LLM ont été entraînés sur d’immenses corpus, potentiellement avec des données personnelles
- Traitement en dehors de l’UE : OpenAI, Anthropic et Google sont américains — vos données transitent aux USA
- Opacité des modèles : impossible de savoir exactement ce qu’un LLM “retient” ou “génère” à partir de vos données
- Droit à l’oubli : comment effacer une donnée personnelle d’un modèle entraîné dessus ?
La CNIL a publié ses premières recommandations IA en 2024, et le contrôle se renforce en 2026 avec l’AI Act.
Les 5 erreurs RGPD les plus fréquentes avec l’IA
1. Envoyer des données clients à ChatGPT
Le scénario classique : un commercial copie-colle une fiche client dans ChatGPT pour rédiger un email personnalisé. C’est une violation de données si le client n’a pas consenti au traitement par OpenAI.
OpenAI déclare ne pas utiliser les données des requêtes API pour entraîner ses modèles — mais les données transitent quand même sur ses serveurs américains.
2. Utiliser un chatbot sans politique de confidentialité adaptée
Si votre chatbot collecte des données (nom, email, demandes), vous devez :
- Informer l’utilisateur de la collecte
- Mentionner le sous-traitant IA utilisé
- Prévoir une durée de conservation
- Mettre à jour votre politique de confidentialité
3. Connecter un LLM directement à votre base de données clients
Sans filtrage, un LLM connecté à votre CRM peut “voir” et potentiellement exposer des données personnelles dans ses réponses.
4. Ignorer les droits des personnes
Le RGPD garantit le droit d’accès, de rectification et d’effacement. Si vous utilisez des données personnelles pour alimenter un système IA, vous devez pouvoir répondre à ces demandes — y compris dans les systèmes IA.
5. Pas de DPA (Data Processing Agreement) avec vos prestataires IA
Tout sous-traitant qui traite des données personnelles pour vous doit signer un DPA. OpenAI, Anthropic, Google — tous proposent ces accords, mais encore faut-il les signer.
Ce que dit l’AI Act (en vigueur août 2026)
L’AI Act européen classe les systèmes IA par niveau de risque :
| Niveau | Exemples | Obligations |
|---|---|---|
| Inacceptable | Notation sociale, manipulation subliminale | Interdit |
| Haut risque | RH, crédit, santé, justice | Audit, transparence, registre |
| Limité | Chatbots, deepfakes | Information obligatoire |
| Minimal | Filtres spam, recommandations | Aucune obligation spécifique |
Pour la majorité des PME, les usages IA courants (chatbot, automatisation, contenu) tombent en risque limité ou minimal. Mais si vous utilisez l’IA pour des décisions RH ou de crédit, attention.
Les solutions concrètes pour rester conforme
Solution 1 : LLM en local (zéro transfert de données)
Déployer un modèle comme Mistral 7B ou Llama 3 sur votre propre serveur avec Ollama. Les données ne quittent jamais votre infrastructure.
Avantage : conformité totale, aucun risque de fuite Inconvénient : performances légèrement inférieures aux GPT-4 et nécessite un serveur dédié
Solution 2 : Utiliser Mistral AI (souveraineté française)
Mistral AI est une entreprise française, hébergée en Europe, avec des garanties RGPD natives. Ses modèles sont disponibles via API sur sa plateforme La Plateforme.
Idéal pour : les PME qui veulent la puissance d’un LLM cloud sans transférer de données hors UE.
Solution 3 : Anonymiser les données avant traitement
Avant d’envoyer des données à un LLM externe, remplacer les données personnelles par des pseudonymes ou des placeholders.
Exemple : "Le client Jean Dupont (jean.dupont@exemple.fr) demande..." devient "Le client [CLIENT_A] ([EMAIL_A]) demande..."
Cette technique, combinée à un workflow N8N, permet d’utiliser les LLM cloud tout en protégeant les données personnelles.
Solution 4 : Mettre en place une politique d’usage de l’IA
Rédiger une charte interne d’utilisation de l’IA qui liste :
- Les outils IA autorisés et interdits
- Les types de données pouvant être traités par chaque outil
- Les règles de vérification des outputs IA
- Le référent IA en cas de question
Solution 5 : Mettre à jour vos mentions légales et politique de confidentialité
Ajouter une section “IA et traitement des données” qui mentionne :
- Les systèmes IA utilisés sur le site (chatbot, recommandations)
- Les sous-traitants IA (OpenAI, Anthropic, Mistral…)
- Les données traitées et leur finalité
- Les droits des utilisateurs
Checklist conformité RGPD + IA pour PME
- Inventaire des outils IA utilisés en interne
- Vérification des DPA signés avec chaque fournisseur IA
- Politique d’usage IA interne rédigée et diffusée
- Politique de confidentialité mise à jour (mention IA)
- Données personnelles anonymisées avant envoi à des LLM externes
- Évaluation du niveau de risque AI Act pour chaque usage
- Registre de traitement mis à jour (article 30 RGPD)
Le mot de la CNIL
La CNIL recommande de mener une Analyse d’Impact relative à la Protection des Données (AIPD) pour tout projet IA traitant des données sensibles ou à grande échelle. Pour les PME avec des usages courants (chatbot FAQ, automatisation emails), une analyse simplifiée suffit généralement.
En cas de doute, la CNIL propose un outil gratuit d’auto-évaluation et des guides sectoriels téléchargeables sur son site.
La conformité RGPD n’est pas un obstacle à l’automatisation IA — c’est un cadre qui sécurise votre démarche et renforce la confiance de vos clients. Les PME qui l’intègrent dès le départ évitent des refontes coûteuses plus tard.
