Pourquoi le RGPD s'applique forcément à vos usages IA
Beaucoup de dirigeants de PME pensent que le RGPD et l'IA sont deux sujets distincts. En réalité, toute utilisation de l'IA avec des données de personnes physiques identifiables tombe sous le champ du RGPD.
Voici une liste non exhaustive des données personnelles que votre IA traite peut-être sans que vous en ayez pris pleinement conscience :
- Emails de clients ou prospects passés dans ChatGPT pour les résumer ou rédiger des réponses
- Transcriptions d'appels clients analysées par un outil IA pour en extraire des insights
- Historiques d'achats utilisés pour générer des recommandations personnalisées
- CV de candidats analysés par un outil IA de tri de candidatures
- Comportements de navigation sur votre site alimentant un chatbot personnalisé
- Données de votre CRM enrichies ou segmentées par un outil IA
Bon à savoir : Être "responsable de traitement" au sens RGPD signifie que c'est vous, en tant qu'entreprise, qui décidez des finalités et des moyens du traitement — même quand vous utilisez un outil IA tiers. OpenAI, Anthropic ou Google ne sont que des sous-traitants. La responsabilité juridique vis-à-vis de vos clients reste la vôtre.
La bonne nouvelle : le RGPD n'interdit pas l'utilisation de l'IA. Il la conditionne. Avec les bonnes pratiques, vous pouvez déployer des outils IA puissants tout en restant parfaitement conforme.
Étape 1 — Cartographier les traitements IA impliquant des données personnelles
La première étape est un inventaire honnête de tous les outils IA que votre entreprise utilise, même de façon informelle. Incluez :
Méthode d'inventaire — questionnaire par service
Envoyez ce questionnaire à chaque responsable de service (commercial, marketing, RH, support) :
- Quels outils IA utilisez-vous au quotidien ? (ChatGPT, Copilot, Gemini, Notion IA, CRM avec IA…)
- Quelles données y entrez-vous ? (emails clients, données CRM, transcriptions, candidatures…)
- Ces données permettent-elles d'identifier des personnes physiques ?
- Avez-vous connecté un outil IA à une base de données contenant des données personnelles ?
Attention : L'utilisation informelle de l'IA par les collaborateurs (Shadow IT) est l'un des principaux risques RGPD. Un commercial qui copie-colle des emails clients dans ChatGPT sans politique d'entreprise constitue un traitement non documenté et potentiellement non conforme. La sensibilisation des équipes est indispensable.
Mise à jour du registre des traitements
Pour chaque traitement IA identifié, ajoutez une entrée dans votre registre RGPD (obligatoire pour les entreprises de plus de 250 salariés, recommandé pour toutes) avec :
| Champ du registre | Exemple pour un traitement IA |
|---|---|
| Nom du traitement | Analyse et résumé d'emails clients par IA |
| Finalité | Améliorer la productivité du service client, réduire le temps de traitement |
| Base légale | Intérêt légitime (à documenter par test de mise en balance) |
| Catégories de données | Données d'identité, coordonnées, contenu des échanges commerciaux |
| Durée de conservation | Non conservé par l'outil (traitement en temps réel) / ou X jours dans les logs |
| Destinataires / Sous-traitants | Anthropic (Claude API) — DPA signé, données traitées dans l'UE ou encadrées par CCS |
| Transferts hors UE | Oui — USA — encadrés par les Clauses Contractuelles Types (CCT) EU 2021 |
Astuce AutomateIA : Le modèle de registre des traitements de la CNIL est disponible gratuitement sur cnil.fr. Il existe en version tableur et en version logiciel (outil en ligne CNIL). Utilisez-le comme base plutôt que de créer le vôtre de zéro.
Étape 2 — Choisir la bonne base légale pour chaque traitement IA
Le RGPD prévoit 6 bases légales. Pour les traitements IA en PME, 3 sont couramment applicables :
| Base légale | Quand l'utiliser | Contraintes |
|---|---|---|
| Intérêt légitime (Art. 6.1.f) | Amélioration de service, personnalisation B2B, analyses internes | Test de mise en balance obligatoire. Non applicable aux catégories spéciales de données. |
| Exécution d'un contrat (Art. 6.1.b) | IA nécessaire pour délivrer le service contractuellement prévu | Le traitement doit être strictement nécessaire à l'exécution du contrat, pas juste utile. |
| Consentement (Art. 6.1.a) | Personnalisation marketing, profilage commercial, usages B2C sensibles | Doit être libre, éclairé, spécifique et révocable. Lourd à gérer en pratique. |
Le test de mise en balance pour l'intérêt légitime
L'intérêt légitime est la base légale la plus flexible mais elle exige de documenter un test de mise en balance en 3 étapes :
- Quel est votre intérêt légitime ? Soyez précis : "améliorer la réactivité du support client de 40% via l'analyse IA des tickets"
- Le traitement est-il nécessaire ? Pourrait-on atteindre le même résultat sans traiter ces données personnelles ?
- Les intérêts des personnes priment-ils ? Les personnes s'attendent-elles à ce traitement ? Peut-il leur causer un préjudice ?
Bon à savoir : Pour les clients professionnels (B2B), l'intérêt légitime est généralement plus facilement établi que pour les consommateurs (B2C). Un client d'une PME s'attend à ce que ses échanges servent à améliorer le service. Un consommateur peut être plus surpris d'apprendre que ses achats alimentent un modèle IA de personnalisation.
Étape 3 — Mettre à jour vos mentions d'information
Le droit à l'information (Articles 13 et 14 du RGPD) exige que vous informiez les personnes dont vous traitez les données — y compris via l'IA. Cette information doit être fournie au moment de la collecte des données.
Ce que vos mentions légales doivent désormais inclure (si vous utilisez l'IA)
- L'utilisation d'outils IA et leur finalité ("nous utilisons des outils d'IA pour analyser vos demandes et améliorer la qualité de nos réponses")
- Les catégories de données transmises aux outils IA (identité, contenu des échanges…)
- L'identité des sous-traitants IA (ou a minima leur catégorie : "fournisseurs de services IA basés aux États-Unis")
- L'encadrement des transferts hors UE (clauses contractuelles types)
- L'absence d'utilisation des données pour l'entraînement des modèles (si tel est le cas)
- Le droit d'opposition au traitement IA et comment l'exercer
Exemple de clause à intégrer dans votre politique de confidentialité
Utilisation de l'intelligence artificielle
Dans le cadre de nos services, nous utilisons des outils d'intelligence artificielle (IA) pour améliorer la qualité et la réactivité de notre service client. Ces outils peuvent traiter le contenu de vos demandes, vos coordonnées et l'historique de vos interactions avec notre service.
Ces traitements reposent sur notre intérêt légitime à améliorer la qualité de nos services. Les outils IA utilisés agissent en qualité de sous-traitants au sens du RGPD et sont liés à nous par des accords de traitement de données conformes au RGPD. Les données transmises ne sont pas utilisées pour entraîner les modèles d'IA des fournisseurs.
Certains de ces fournisseurs sont établis hors de l'Union européenne. Ces transferts sont encadrés par les Clauses Contractuelles Types approuvées par la Commission européenne (décision d'exécution UE 2021/914).
Vous disposez d'un droit d'opposition à ce traitement. Pour l'exercer, contactez-nous à l'adresse : [email DPO ou contact RGPD].
Attention : La politique de confidentialité n'est pas le seul point de contact. Si vous collectez des données via un formulaire, le bandeau RGPD de votre site doit mentionner l'utilisation de l'IA. Si vos CGV encadrent votre relation commerciale, elles doivent aussi refléter ces traitements. Faites l'inventaire de tous vos points de collecte de données.
Étape 4 — AIPD : quand est-elle obligatoire avec l'IA ?
L'Analyse d'Impact relative à la Protection des Données (AIPD), aussi appelée DPIA (Data Protection Impact Assessment), est obligatoire pour les traitements présentant des risques élevés pour les droits et libertés des personnes.
Les critères déclencheurs d'une AIPD (Article 35 RGPD)
Une AIPD est obligatoire si votre traitement IA cumule au moins 2 des critères suivants :
| Critère | Exemple concret en IA |
|---|---|
| Évaluation ou notation de personnes | Scoring de leads, notation de candidats, évaluation de solvabilité par IA |
| Décision automatisée avec effets significatifs | Refus automatique de crédit, sélection ou exclusion automatique de candidats |
| Surveillance systématique | Analyse en temps réel du comportement des visiteurs sur votre site |
| Données sensibles ou à caractère très personnel | Données de santé, opinions politiques, biométrie analysées par IA |
| Traitement à grande échelle | Analyse IA portant sur des milliers de clients ou plus |
| Croisement de données | Enrichissement de profils clients par combinaison de plusieurs sources |
| Personnes vulnérables | Traitement de données de mineurs, patients, personnes âgées |
| Usage innovant ou nouvelles technologies | Déploiement d'agents IA autonomes avec accès aux données clients |
Bon à savoir : La CNIL a publié une liste des types d'opérations de traitement pour lesquels une AIPD est requise. Cette liste est disponible sur cnil.fr. Elle inclut explicitement les systèmes de notation de personnes physiques et les traitements impliquant des décisions automatisées. Les agents IA autonomes avec accès à des données personnelles sont clairement dans cette catégorie.
Structure d'une AIPD pour un traitement IA
Une AIPD doit contenir :
- Description du traitement : quelles données, quelle finalité, quels outils IA
- Évaluation de la nécessité et de la proportionnalité : le traitement est-il limité au strict nécessaire ?
- Évaluation des risques : accès non autorisé, modification incorrecte, discrimination algorithmique, perte de données
- Mesures d'atténuation : chiffrement, contrôle d'accès, supervision humaine, droit d'opposition
- Consultation du DPO (si vous en avez un)
- Consultation de la CNIL si les risques résiduels restent élevés après mesures
Étape 5 — Encadrer vos fournisseurs IA (sous-traitants RGPD)
Dès qu'un fournisseur IA traite des données personnelles pour votre compte, il est un sous-traitant au sens RGPD. Vous devez avoir un Data Processing Agreement (DPA), aussi appelé accord de traitement de données, avec chacun d'eux.
Vérifications obligatoires pour chaque fournisseur IA
- DPA signé : disponible dans les conditions d'utilisation API ou sur demande. OpenAI, Anthropic, Google et Microsoft proposent tous des DPA conformes RGPD pour leurs clients API.
- Opt-out entraînement : vérifiez que vos données ne sont pas utilisées pour entraîner les modèles futurs. Cette option est généralement activable dans les paramètres du compte ou automatique pour les clients API.
- Localisation des données : où vos données sont-elles physiquement traitées et stockées ? UE, USA, autre ?
- Encadrement des transferts hors UE : si les données sont traitées aux USA, les Clauses Contractuelles Types (CCT) doivent être en place.
- Délai de suppression : combien de temps le fournisseur conserve-t-il vos données après traitement ? Ce délai doit être compatible avec votre politique de conservation.
| Fournisseur IA | DPA disponible | Opt-out entraînement API | Localisation données UE |
|---|---|---|---|
| Anthropic (Claude) | Oui (conditions d'utilisation API) | Oui (API par défaut) | Traitement USA — encadré CCT |
| OpenAI (ChatGPT API) | Oui (Data Processing Addendum) | Oui (API par défaut) | Traitement USA — encadré CCT |
| Microsoft Azure OpenAI | Oui (RGPD inclus dans accord Enterprise) | Oui (option disponible) | Régions UE disponibles (West Europe, North Europe) |
| Google (Vertex AI / Gemini) | Oui (Google Cloud DPA) | Oui (paramètres compte) | Régions UE disponibles |
| Mistral AI (API) | Oui (entreprise française, RGPD natif) | Oui (API par défaut) | Traitement en France / UE |
Astuce AutomateIA : Pour des données très sensibles (données médicales, données financières, données de mineurs), envisagez des solutions IA entièrement hébergées en France ou dans l'UE. Mistral AI (entreprise française) propose des modèles performants via API avec traitement sur infrastructure européenne. Des solutions on-premise comme Ollama permettent d'héberger des modèles open source sur votre propre serveur, sans aucun transfert de données.
Besoin d'un audit RGPD de vos outils IA ?
AutomateIA vous aide à cartographier vos traitements IA, identifier les failles de conformité et mettre en place les mesures correctives — avec un regard opérationnel adapté aux PME.
🚀 Obtenir mon audit gratuitÉtape 6 — Droits des personnes et IA : comment les gérer
Les personnes dont les données sont traitées par vos outils IA disposent de droits spécifiques que vous devez être en mesure d'exercer dans un délai d'un mois.
Les droits spécifiques à l'IA à anticiper
| Droit | Ce que la personne peut demander | Ce que vous devez faire |
|---|---|---|
| Droit d'accès (Art. 15) | "Quelles données avez-vous sur moi ? Sont-elles traitées par IA ?" | Fournir une copie des données et informer des traitements IA appliqués |
| Droit à l'effacement (Art. 17) | "Supprimez mes données de tous vos systèmes, y compris vos outils IA" | Demander la suppression auprès des sous-traitants IA concernés dans les délais |
| Droit d'opposition (Art. 21) | "Je m'oppose à l'utilisation de mes données par l'IA" | Cesser le traitement IA pour cette personne (sauf intérêt légitime impérieux) |
| Droit à la limitation (Art. 18) | "Suspendez le traitement de mes données pendant que vous vérifiez leur exactitude" | Suspendre tous les traitements IA sur ces données pendant la vérification |
| Droit à ne pas faire l'objet d'une décision automatisée (Art. 22) | "Je refuse d'être évalué uniquement par votre IA" | Garantir une révision humaine de toute décision ayant des effets juridiques ou significatifs |
Attention : L'exercice du droit d'effacement chez vos fournisseurs IA peut être complexe. Anthropic et OpenAI permettent de demander la suppression des données via leur interface ou par email. Mais si vos données ont été utilisées dans le contexte d'une conversation, elles peuvent être difficiles à isoler. Documentez votre processus de gestion de ces demandes pour pouvoir prouver vos démarches en cas de contrôle CNIL.
Processus interne recommandé pour les demandes de droits
- Point de contact unique : Désignez une personne responsable des demandes RGPD (même sans DPO formel)
- Enregistrement de la demande : Date de réception, identité du demandeur, nature de la demande
- Vérification de l'identité : Demandez une pièce d'identité si vous avez un doute sur l'identité du demandeur
- Cartographie des données à traiter : Identifiez tous les systèmes (CRM, outils IA, archives) contenant des données de cette personne
- Exécution de la demande : Suppression, fourniture de copie, cessation du traitement IA
- Réponse dans le délai : 1 mois maximum (extensible à 3 mois pour les demandes complexes, avec notification dans le premier mois)
Transferts hors UE : le point le plus sensible avec l'IA
La majorité des LLMs performants (GPT, Claude, Gemini) sont opérés par des entreprises américaines. Quand vous leur transmettez des données personnelles de clients européens, ces données transitent hors de l'Union européenne — ce qui déclenche les règles sur les transferts internationaux du RGPD.
Les mécanismes de transfert valides
- Décision d'adéquation : la Commission européenne reconnaît que le pays tiers offre un niveau de protection équivalent. Le Data Privacy Framework (DPF) UE-USA, adopté en juillet 2023, permet les transferts vers les entreprises américaines certifiées (OpenAI, Google, Microsoft, Anthropic sont certifiées DPF). C'est le mécanisme le plus simple.
- Clauses Contractuelles Types (CCT) : contrat type approuvé par la Commission européenne (décision 2021/914). Incluses dans les DPA des principaux fournisseurs IA. Valable même si le DPF venait à être remis en cause.
- Règles d'entreprise contraignantes (BCR) : pour les groupes multinationaux uniquement, peu pertinent pour les PME.
Bon à savoir : Le Data Privacy Framework UE-USA a été contesté deux fois (Schrems I et II). Un Schrems III est possible. Pour vous protéger des évolutions juridiques, combinez toujours le DPF avec les CCT dans votre DPA — c'est ce que font les bons fournisseurs. Ainsi, même si le DPF tombait, les CCT maintiendraient la légalité du transfert.
Alternative souveraine : les LLMs hébergés en France
Pour les données les plus sensibles, des solutions évitant tout transfert hors UE existent :
- Mistral AI : LLM français, infrastructure en France et dans l'UE
- OVHcloud + modèles open source : hébergement de modèles Llama, Mistral sur infrastructure française
- Azure France Central + Azure OpenAI : traitement des données sur les datacenters Microsoft en France
- Ollama sur VPS français : modèles open source (Mistral, Llama) hébergés sur votre propre infrastructure
Décisions automatisées et profilage : les règles spécifiques
L'Article 22 du RGPD encadre strictement les décisions basées uniquement sur un traitement automatisé, y compris le profilage, quand elles produisent des effets juridiques ou significatifs sur les personnes.
Ce qu'interdit l'Article 22 par défaut
Sans consentement explicite ou base légale spécifique, vous ne pouvez pas prendre des décisions entièrement automatisées qui :
- Affectent les droits d'une personne (refus de crédit, refus d'assurance)
- Ont un impact significatif sur sa vie professionnelle (refus automatique d'embauche)
- L'excluent d'un service ou d'une offre
Ce que vous pouvez faire légalement
- Décisions avec intervention humaine significative : l'IA peut pré-analyser et recommander, mais un humain valide la décision finale
- Profilage avec droit d'opposition : segmentation clients par IA, recommandations personnalisées — à condition d'informer et d'offrir un droit d'opposition
- Décisions automatisées avec consentement explicite : si la personne a expressément accepté
Astuce AutomateIA : Pour rester dans les clous, appliquez ce principe simple : l'IA recommande, l'humain décide. Votre agent IA peut qualifier automatiquement des leads, trier des candidatures ou évaluer des demandes — mais un humain doit valider toute décision ayant un impact sur la personne concernée. Documentez cette supervision humaine dans vos procédures internes.
Checklist de conformité RGPD pour vos usages IA
Utilisez cette liste pour évaluer rapidement votre niveau de conformité actuel.
Gouvernance et documentation
- J'ai inventorié tous les outils IA utilisés dans mon entreprise (y compris les usages informels des équipes)
- Mon registre des traitements inclut tous les traitements IA avec données personnelles
- J'ai documenté la base légale pour chaque traitement IA
- J'ai réalisé un test de mise en balance pour les traitements basés sur l'intérêt légitime
- J'ai réalisé une AIPD pour les traitements IA à risque élevé (si applicable)
Fournisseurs IA
- J'ai signé un DPA avec chaque fournisseur IA traitant des données personnelles pour mon compte
- J'ai vérifié que mes données ne sont pas utilisées pour entraîner les modèles (opt-out activé)
- Les transferts hors UE sont encadrés (DPF + CCT ou hébergement EU)
- J'ai documenté les délais de conservation/suppression des données chez chaque fournisseur
Information des personnes
- Ma politique de confidentialité mentionne l'utilisation de l'IA et les fournisseurs impliqués
- Les formulaires de collecte mentionnent les traitements IA si applicable
- Les personnes peuvent exercer leur droit d'opposition aux traitements IA
Processus opérationnels
- J'ai un processus pour répondre aux demandes d'exercice de droits dans le délai d'1 mois
- J'ai une politique interne sur l'utilisation autorisée des outils IA par les collaborateurs
- Les décisions automatisées IA incluent une supervision humaine pour les décisions significatives
- J'ai des logs des traitements IA pour les besoins d'audit
Vous avez identifié des lacunes dans cette checklist ?
AutomateIA vous accompagne pour mettre en conformité vos usages IA avec le RGPD — sans ralentir votre transformation digitale.
🚀 Découvrir nos formations IAPosition de la CNIL sur l'IA : ce qu'il faut retenir
La CNIL a publié plusieurs prises de position et recommandations sur l'IA. Voici les points clés pour les PME françaises.
Les publications CNIL à connaître
- Recommandations sur les systèmes d'IA (2023-2024) : la CNIL a analysé les principaux LLMs et chatbots grand public. Elle confirme que les règles RGPD s'appliquent pleinement.
- Guide sur les cookies et traceurs IA : si votre IA utilise des cookies pour personnaliser l'expérience, les règles de consentement aux cookies s'appliquent en plus du RGPD.
- Position sur les bases légales pour l'IA générative : la CNIL a précisé que l'intérêt légitime peut être une base valide pour certains usages d'IA générative en entreprise, sous conditions.
Bon à savoir : La CNIL dispose d'un service de conseil aux professionnels accessible via son site cnil.fr. Pour les questions complexes sur un traitement IA spécifique, vous pouvez leur soumettre une demande. Ce service est gratuit et la réponse peut constituer une preuve de bonne foi en cas de contrôle ultérieur.
L'articulation RGPD — AI Act
L'AI Act européen, pleinement applicable depuis août 2026, ajoute une couche réglementaire complémentaire au RGPD :
- Systèmes IA à haut risque (RH, crédit, éducation) : documentation technique, registre EU, supervision humaine obligatoire, transparence accrue
- Systèmes IA à risque limité (chatbots) : obligation de transparence — informer que l'utilisateur parle à une IA
- Systèmes IA à risque minimal (recommandations de contenu, filtres anti-spam) : aucune obligation AI Act spécifique
Pour la quasi-totalité des usages IA d'une PME, l'AI Act ajoute principalement une obligation de transparence et, pour certains usages RH, une obligation de supervision humaine — ce que le RGPD exigeait déjà via l'Article 22. Voir notre guide dédié à l'AI Act pour les PME pour un traitement complet.