- Tout traitement de données personnelles via un outil IA doit figurer dans votre registre RGPD
- Un DPA (accord de sous-traitance) est obligatoire avec chaque éditeur IA avant usage avec des données clients
- Les transferts de données hors UE (OpenAI, Google) sont encadrés par les clauses contractuelles types (CCT) — vérifiez leur présence dans vos contrats
- L'EU AI Act s'applique en parallèle du RGPD depuis 2025 — les deux sont complémentaires
Pourquoi l'IA pose un problème RGPD spécifique
Le RGPD s'applique à tout traitement de données personnelles, quelle que soit la technologie utilisée. Mais l'IA crée des situations inédites :
- Opacité du traitement : le modèle peut extraire, inférer ou combiner des données de façon non anticipée
- Rétention et apprentissage : certains éditeurs utilisent vos données pour entraîner leurs modèles (sauf opt-out)
- Transferts automatiques hors UE : la plupart des modèles cloud sont hébergés aux États-Unis
- Décisions automatisées : si l'IA influence des décisions qui affectent des personnes (scoring, sélection…), l'article 22 RGPD s'applique
- Droits des personnes : effacement, portabilité, accès sont difficiles à exercer sur des modèles IA
Les 5 bases légales RGPD applicables à l'IA
Avant tout traitement de données personnelles via l'IA, vous devez identifier votre base légale (article 6 RGPD) :
| Base légale | Conditions | Usage IA typique |
|---|---|---|
| Consentement | Libre, éclairé, spécifique, révocable | Chatbot IA sur site, personnalisation marketing |
| Contrat | Nécessaire à l'exécution d'un contrat avec la personne | Assistant IA pour traiter les commandes clients |
| Obligation légale | Exigé par la loi | Analyse IA pour conformité réglementaire |
| Intérêt légitime | Test d'équilibre requis, droits des personnes ne prévalent pas | Analyse IA des emails professionnels internes |
| Mission d'intérêt public | Organismes publics uniquement | Non applicable aux PME privées |
L'utilisation d'outils IA pour surveiller, évaluer ou analyser les salariés (emails, productivité, communications) nécessite une information préalable des salariés et, souvent, une consultation du CSE. Le consentement n'est généralement pas valide dans ce contexte (déséquilibre employeur/salarié).
Les DPA : indispensables avec les éditeurs IA
L'article 28 RGPD impose qu'un contrat de sous-traitance (DPA — Data Processing Agreement) soit signé avec tout prestataire qui traite des données personnelles pour votre compte.
Chaque éditeur IA majeur propose son DPA :
| Éditeur | DPA disponible | Données exclues du training | Hébergement EU possible |
|---|---|---|---|
| OpenAI (ChatGPT Ent.) | ✅ Oui | ✅ Par défaut (Enterprise) | ⚠️ Partiel (Azure) |
| Microsoft (Copilot) | ✅ Oui | ✅ Par défaut | ✅ Option EU Data Boundary |
| Anthropic (Claude) | ✅ Oui | ✅ Par défaut (API) | ⚠️ AWS us-east/eu-west |
| Google (Gemini Workspace) | ✅ Oui | ✅ Par défaut | ✅ Option EU |
| Mistral (La Plateforme) | ✅ Oui | ✅ Par défaut | ✅ Hébergement France |
Ce que doit contenir un DPA conforme RGPD :
- Objet et durée du traitement
- Nature et finalité du traitement
- Types de données et catégories de personnes concernées
- Obligations et droits du responsable de traitement (vous)
- Engagement de traiter uniquement sur instruction documentée
- Mesures de sécurité techniques et organisationnelles
- Conditions de recours à des sous-traitants ultérieurs
- Assistance pour l'exercice des droits des personnes
Transferts hors UE : ce que dit la CNIL
La plupart des grands modèles IA (GPT-4, Gemini, Claude) sont hébergés aux États-Unis. Le transfert de données personnelles vers des pays tiers n'offrant pas un niveau de protection adéquat est encadré strictement.
Mécanismes légaux de transfert :
- Clauses contractuelles types (CCT) : approuvées par la Commission européenne, incluses dans la plupart des DPA des éditeurs US
- Décision d'adéquation : le Data Privacy Framework EU-US (2023) couvre les entreprises américaines certifiées — OpenAI, Google, Microsoft sont certifiées
- Règles d'entreprise contraignantes (BCR) : pour les groupes multinationaux
Pour les données sensibles (santé, données judiciaires, données d'enfants), la CNIL recommande d'utiliser des outils IA hébergés en Europe ou des modèles open source auto-hébergés. Mistral AI (français), OVHcloud AI, ou des solutions self-hosted (Ollama + Llama) sont des alternatives conformes.
Droits des personnes et IA : ce que vous devez garantir
Droit d'accès (art. 15)
Si une personne demande quelles données la concernant ont été traitées, vous devez pouvoir documenter les données soumises à des outils IA. Tenez un journal des traitements IA avec les dates et types de données.
Droit à l'effacement (art. 17)
Vérifiez que vous pouvez demander la suppression de l'historique chez l'éditeur IA. Pour les modèles fine-tunés sur vos données, l'effacement est plus complexe — prévoyez une procédure spécifique.
Droit à la portabilité (art. 20)
Les données soumises à l'IA doivent pouvoir être fournies dans un format structuré. Documentez les entrées/sorties de vos systèmes IA en production.
Décisions automatisées (art. 22)
Si l'IA produit des décisions qui ont un "effet juridique" ou "affecte de manière significative" une personne (refus de crédit, sélection de candidature, segmentation de prix), vous devez :
- En informer la personne
- Garantir une intervention humaine possible
- Permettre à la personne de contester la décision
Mettre à jour votre registre RGPD pour l'IA
Chaque traitement IA doit être documenté dans votre registre (article 30). Voici un exemple de fiche :
| Champ | Exemple — Assistant IA service client |
|---|---|
| Nom du traitement | Réponse automatique aux emails clients via ChatGPT |
| Responsable | [Votre entreprise] — contact@votreentreprise.fr |
| Finalité | Réponse rapide aux demandes courantes, réduction du délai de traitement |
| Base légale | Intérêt légitime (test d'équilibre réalisé le 28/05/2026) |
| Données traitées | Nom, email, contenu de la demande client |
| Destinataires | OpenAI (sous-traitant — DPA signé le 28/05/2026) |
| Transfert hors UE | Oui — États-Unis, couvert par Data Privacy Framework + CCT |
| Durée de conservation | Historique désactivé côté OpenAI, données locales conservées 6 mois |
| Mesures de sécurité | TLS en transit, accès limité à 2 collaborateurs, DPA, opt-out training |
Checklist de conformité IA × RGPD
Avant de déployer un outil IA
- ☐ Identifier la base légale du traitement
- ☐ Signer le DPA avec l'éditeur IA
- ☐ Vérifier le mécanisme de transfert hors UE (CCT, adéquation)
- ☐ Désactiver l'utilisation de vos données pour le training (si option disponible)
- ☐ Mettre à jour votre registre des traitements
- ☐ Mettre à jour votre politique de confidentialité (mentionner l'usage d'IA)
- ☐ Former les collaborateurs sur ce qu'ils peuvent/ne peuvent pas soumettre
Pour les traitements sensibles
- ☐ Réaliser une AIPD (Analyse d'Impact relative à la Protection des Données) si le traitement est à risque élevé
- ☐ Consulter la CNIL si l'AIPD révèle des risques résiduels élevés
- ☐ Envisager un hébergement EU ou un modèle self-hosted
- ☐ Prévoir un mécanisme d'intervention humaine si décisions automatisées
En continu
- ☐ Vérifier les mises à jour des conditions d'utilisation des éditeurs IA
- ☐ Revoir le registre au moins une fois par an
- ☐ Documenter les incidents (violations de données) et les signaler à la CNIL dans les 72h si nécessaire
L'EU AI Act en parallèle du RGPD
Depuis août 2024, l'EU AI Act (règlement européen sur l'IA) est entré en vigueur. Il s'applique en parallèle du RGPD et crée des obligations supplémentaires. Voir notre article dédié : EU AI Act 2026 : ce que les PME doivent savoir.
Les principales interactions RGPD / AI Act :
- L'AI Act classe les systèmes IA par niveau de risque — les systèmes à "haut risque" ont des exigences de transparence et de documentation qui recoupent le RGPD
- Les chatbots IA doivent s'identifier comme tels (AI Act) — ce qui s'aligne avec l'obligation d'information du RGPD
- La CNIL est l'autorité nationale de contrôle pour les deux textes en France
FAQ — IA et RGPD
Peut-on utiliser des données anonymisées avec des outils IA sans contrainte RGPD ?
L'anonymisation réelle (irréversible) échappe au RGPD. Mais la pseudonymisation (données remplacées par des identifiants) reste dans le périmètre RGPD. L'anonymisation dans le contexte IA est difficile à garantir — les modèles peuvent parfois ré-identifier des personnes à partir de données combinées. La CNIL recommande la prudence.
Faut-il une AIPD pour utiliser un LLM en entreprise ?
Une AIPD est obligatoire si le traitement est "susceptible d'engendrer un risque élevé" (art. 35 RGPD). C'est le cas pour : la surveillance des salariés, le profilage à grande échelle, le traitement de données sensibles. Pour un usage basique de LLM (rédaction d'emails génériques sans données personnelles), l'AIPD n'est généralement pas requise. En cas de doute, consultez un DPO.
Quelles sanctions risque-t-on en cas de non-conformité IA/RGPD ?
Les sanctions RGPD peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros. La CNIL a déjà sanctionné des entreprises utilisant des outils IA sans DPA valide. Pour les PME, une mise en demeure suivie d'un délai de mise en conformité est généralement la première étape avant sanction.