Toutes les réflexions
    Cybersecurite & RGPD

    RGPD et IA : comment rester conforme

    Les bonnes pratiques pour deployer des solutions d’IA tout en respectant la reglementation sur la protection des donnees.

    Philippe Coupez28 décembre 20254 min de lecture
    RGPD et IA : comment rester conforme

    Le contexte reglementaire a profondement evolue

    Le RGPD existe depuis 2018, mais l'arrivee massive de l'IA generative en 2023 et l'entree en vigueur progressive de l'AI Act europeen en 2025-2026 ont change la donne. Pour une PME francaise, les obligations en matiere de traitement des donnees ne se limitent plus aux questions classiques (consentement, droit d'acces, securite). Elles s'etendent desormais a la transparence des modeles, a la classification des risques et a la traçabilite des decisions automatisees.

    Beaucoup de PME que nous accompagnons abordent l'IA en pensant qu'elles sont trop petites pour etre concernees. C'est faux. Le RGPD s'applique des la premiere donnee personnelle traitee, et l'AI Act s'applique meme aux PME qui deploient (pas seulement creent) des systemes d'IA.

    Les 4 risques principaux

    1. Les fuites de donnees vers les modeles publics

    C'est le risque numero un et le plus mal compris. Quand un collaborateur copie-colle un document client dans ChatGPT, ces donnees peuvent etre utilisees pour entrainer le modele (selon les CGV du fournisseur) ou simplement etre stockees plusieurs jours. Si le document contient des donnees personnelles ou strategiques, vous avez possiblement enfreint :

    • Le RGPD (transfert vers un sous-traitant non encadre)
    • Vos engagements contractuels avec vos clients (clauses de confidentialite)
    • Le secret professionnel (juridique, medical)

    2. Les decisions automatisees non transparentes

    Si votre IA prend des decisions concernant des personnes (tri de CV, scoring credit, refus d'un service client), vous etes soumis a l'article 22 du RGPD qui impose :

    • Le droit de savoir qu'une decision est automatisee
    • Le droit a l'intervention humaine
    • Le droit de contester la decision

    Concretement : un agent IA qui ferme un dossier prospect parce qu'il n'a pas le bon profil peut vous valoir un signalement CNIL.

    3. La conservation excessive

    Les outils d'IA conservent souvent les conversations, les documents, les inputs. Si ces donnees ne sont pas nettoyees apres traitement, vous accumulez sans le savoir une masse de donnees personnelles, ce qui contrevient au principe de minimisation du RGPD.

    4. Les biais discriminatoires

    Un modele d'IA peut reproduire ou amplifier des biais sur le genre, l'origine, l'age. Si ces biais affectent des decisions concernant des personnes, vous tombez sous le coup du droit de la non-discrimination, en plus du RGPD.

    Les bonnes pratiques operationnelles

    Choisir des outils enterprise-grade

    Tous les fournisseurs majeurs proposent des versions entreprise avec garanties contractuelles : pas d'utilisation des donnees pour l'entrainement, conservation limitee, hebergement UE :

    • OpenAI : ChatGPT Team / Enterprise (data non-trainee, retention 30j max)
    • Anthropic : Claude for Work (data non-trainee, retention 30j max)
    • Microsoft : Copilot for Microsoft 365 (data dans votre tenant)
    • Google : Gemini for Workspace (idem)

    Le surcout par rapport au grand public est de l'ordre de 20-40 EUR par utilisateur et par mois. C'est l'investissement minimum pour rester conforme.

    Cartographier les traitements

    Avant de deployer un cas d'usage IA, vous devez :

    1. Identifier les categories de donnees impliquees (personnelles ou non, sensibles ou non)
    2. Definir la finalite et la duree de conservation
    3. Identifier les sous-traitants (le fournisseur d'IA en est un)
    4. Mesurer le risque (analyse d'impact AIPD si necessaire)

    Cette cartographie alimente votre registre des traitements, obligatoire des 250 salaries et fortement recommande en-dessous.

    Anonymiser ou pseudonymiser

    Avant d'envoyer un document a un modele d'IA, retirez ou remplacez les donnees identifiantes. Des outils existent pour le faire automatiquement (Microsoft Presidio, AWS Comprehend, ou des regex maison). Une simple regle d'equipe jamais de noms ou de numeros de tel dans ChatGPT couvre 80% du risque.

    Garder l'humain dans la boucle

    Pour toute decision concernant une personne, l'IA doit etre une aide a la decision, pas le decisionnaire. Documenter cette regle, la former, et l'appliquer dans les outils (validation manuelle obligatoire avant action).

    Auditer regulierement

    Une fois par trimestre :

    • Lister les outils d'IA utilises et par qui
    • Verifier les politiques de conservation activees
    • Analyser les logs (qui a envoye quoi)
    • Mettre a jour le registre des traitements

    L'AI Act : ce qui change en 2026

    L'AI Act classe les systemes d'IA en 4 niveaux de risque. Pour une PME, les categories pertinentes sont :

    • Risque inacceptable : interdit (notation sociale, manipulation cognitive). Vous n'etes probablement pas concerne.
    • Risque eleve : obligations fortes (RH, education, services essentiels). Documentation exhaustive, surveillance humaine, traçabilite.
    • Risque limite : obligations de transparence (chatbots, deepfakes). Indiquer a l'utilisateur qu'il interagit avec une IA.
    • Risque minimal : pas d'obligation specifique (la majorite des cas d'usage PME).

    Le calendrier d'entree en vigueur est etale jusqu'a fin 2026. Pas de panique, mais commencez a vous mettre en conformite des maintenant si vous avez des cas d'usage RH ou client.

    En resume

    Le RGPD et l'AI Act ne sont pas des blocages a l'IA. Ce sont des cadres qui, bien appliques, renforcent la confiance de vos clients, partenaires et collaborateurs. Les PME qui anticipent en sortent plus solides : elles ont les bons contrats, les bons outils, les bons reflexes.

    A l'inverse, les PME qui bricolent avec ChatGPT grand public et des donnees clients prennent un risque majeur, dont elles ne mesurent pas l'ampleur tant qu'un incident ne survient pas.

    Notre diagnostic DSIA-Conseil inclut une analyse de conformite IA-RGPD, vous repartez avec un audit clair et une feuille de route de mise en conformite.

    AI Act
    conformite
    donnees personnelles
    RGPD

    Un projet d'IA ou de transformation ?

    Le diagnostic DSIA-Conseil est gratuit et débouche sur une feuille de route exploitable en 15 jours.

    Prendre rendez-vous
    DSIA CONSEIL

    Philippe COUPEZ

    DSIA CONSEIL

    Votre IA opérationnelle en 2 semaines

    Diagnostic offert — 30 min sans engagement.

    juin 2026 — juillet 2026

    🍪

    Gestion des cookies

    Nous utilisons des cookies pour améliorer votre expérience sur notre site, analyser le trafic et personnaliser le contenu. Vous pouvez accepter tous les cookies, les refuser ou personnaliser vos préférences.

    En savoir plus dans notre Politique de Confidentialité