IA et RGPD : le guide pratique pour utiliser l’intelligence artificielle en conformité
Utiliser l’IA en entreprise sans respecter le RGPD et l’AI Act expose à des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Ce n’est pas un risque théorique : les premières mises en demeure ont commencé à circuler début 2026, et la CNIL multiplie les enquêtes sur les outils d’IA générative. Ce guide traduit les obligations légales en actions concrètes pour les entreprises qui veulent utiliser l’IA sans risque juridique.
- RGPD
- S’applique dès qu’une IA traite des données personnelles. Sanctions : jusqu’à 20 M€ ou 4 % du CA mondial.
- AI Act
- Règlement européen sur l’IA, pleinement applicable le 2 août 2026. Sanctions : jusqu’à 35 M€ ou 7 % du CA mondial.
- Articulation
- Les deux réglements sont complémentaires : le RGPD protège les données, l’AI Act encadre les systèmes IA.
- Niveaux de risque (AI Act)
- Inacceptable (interdit), haut risque (documentation + contrôle humain obligatoires), risque limité (transparence), risque minimal (libre)
- Outils conformes
- Claude Team/Enterprise, ChatGPT Business/Enterprise, Mistral (hébergement EU), IA locale via Ollama
- Action prioritaire
- Cartographier tous les systèmes IA utilisés en interne, y compris les SaaS tiers
Le double cadre réglementaire : RGPD + AI Act
En 2026, deux réglementations s’appliquent simultanément à toute entreprise utilisant l’IA en Europe. Comprendre leur articulation est essentiel.
Le RGPD : les données personnelles
Le Règlement Général sur la Protection des Données (2018) s’applique dès qu’une IA traite des données permettant d’identifier directement ou indirectement une personne : noms, emails, adresses IP, données de navigation, données RH, données clients. Les principes fondamentaux s’appliquent intégralement à l’IA :
Licéité. Vous devez disposer d’une base légale pour traiter les données : consentement, intérêt légitime, exécution d’un contrat, obligation légale. Envoyer des données clients à un LLM sans base légale est une infraction.
Finalité. Les données doivent être collectées pour une finalité précise et ne pas être réutilisées à d’autres fins. Si vous collectez des emails pour envoyer des newsletters, vous ne pouvez pas les utiliser pour entraîner un modèle IA sans consentement spécifique.
Minimisation. Ne collectez que les données strictement nécessaires. Un chatbot de support n’a pas besoin de la date de naissance du client pour répondre à une question sur une commande.
Transparence. Les personnes concernées doivent savoir que leurs données sont traitées par une IA, comment, et pourquoi. Votre politique de confidentialité doit le mentionner explicitement.
Droit à l’explication (Article 22). Une personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. Concrètement : un refus d’embauche, un refus de crédit ou une notation de risque par IA doivent pouvoir être expliqués et contestés, avec une intervention humaine possible.
L’AI Act : les systèmes IA
Le Règlement européen sur l’Intelligence Artificielle (adopté le 13 juin 2024, entré en vigueur le 1er août 2024) s’applique progressivement. Son application complète est prévue pour le 2 août 2026. C’est le premier cadre juridique mondial dédié à l’IA.
L’AI Act classe les systèmes IA en 4 niveaux de risque :
| Niveau de risque | Exemples | Obligations | Échéance |
|---|---|---|---|
| Inacceptable | Surveillance biométrique de masse, scoring social, manipulation comportementale | Interdit | En vigueur (février 2025) |
| Haut risque | Recrutement IA, notation de crédit, diagnostic médical, justice prédictive | Documentation technique, contrôle humain, analyse d’impact, conformité CE | 2 août 2026 |
| Risque limité | Chatbots, deepfakes, systèmes de génération de contenu | Informer l’utilisateur qu’il interagit avec une IA | 2 août 2025 |
| Risque minimal | Filtres anti-spam, assistants de rédaction, recommandations de produits | Aucune obligation spécifique (RGPD s’applique si données personnelles) | Aucune |
Concrètement : ce que ça change pour votre usage de l’IA
Utiliser ChatGPT, Claude ou Gemini en entreprise
C’est le cas d’usage le plus courant et le plus risqué si mal encadré. Voici les règles par niveau d’abonnement :
| Outil / Plan | Données utilisées pour l’entraînement ? | DPA disponible ? | Hébergement | Conformité RGPD |
|---|---|---|---|---|
| ChatGPT Free / Plus | Oui (par défaut, désactivable) | Non | USA (OpenAI) | Risqué |
| ChatGPT Business / Enterprise | Non | Oui | USA (avec SCCs) | Acceptable |
| Claude Free / Pro | Non (par défaut) | Non (Pro) | USA (Anthropic) | Intermédiaire |
| Claude Team / Enterprise | Non | Oui | USA (avec SCCs) | Acceptable |
| Gemini via Google Workspace | Non (Workspace) | Oui (Workspace) | UE possible (Google Cloud) | Bon |
| Mistral Le Chat / API | Configurable | Oui | UE (France) | Excellent |
| IA locale (Ollama) | Non (aucune donnée transmise) | N/A | Votre machine | Optimal |
Règle simple : ne soumettez jamais de données personnelles (noms de clients, données RH, emails, données financières individuelles) dans un LLM en version gratuite ou personnelle. Pour les données sensibles, privilégiez les plans Enterprise (avec DPA), les solutions hébergées en UE (Mistral, Gemini via Google Cloud UE) ou l’IA locale via Ollama.
Déployer un chatbot IA
Si votre chatbot interagit avec des utilisateurs, vous devez :
Informer clairement l’utilisateur qu’il échange avec une IA (obligation AI Act, risque limité). Obtenir le consentement pour tout traitement de données personnelles au-delà de la conversation en cours. Ne pas stocker les conversations contenant des données personnelles au-delà de ce qui est nécessaire. Permettre à l’utilisateur d’accéder, rectifier ou supprimer ses données. Si le chatbot prend des décisions ayant un impact significatif (tri de candidatures, recommandation médicale), une supervision humaine est obligatoire.
IA et email marketing
Si vous utilisez l’IA pour personnaliser des campagnes email (segmentation prédictive, contenu dynamique), le consentement initial couvre généralement cette utilisation si votre politique de confidentialité le mentionne. En revanche, utiliser un LLM pour analyser le contenu des emails de vos clients (résumé, classification) constitue un traitement supplémentaire qui nécessite une base légale spécifique.
IA et recrutement
C’est un cas à haut risque sous l’AI Act. Le tri de CV par IA, l’évaluation automatisée de candidats et les entretiens vidéo analysés par IA sont classés « haut risque ». Obligations : documentation technique complète, analyse d’impact sur les droits fondamentaux, contrôle humain sur chaque décision, information transparente du candidat, et possibilité de contestation. Utiliser ChatGPT pour pré-filtrer des CV sans ces garde-fous est non-conforme.
Transferts de données hors UE
La plupart des LLM sont opérés par des entreprises américaines (OpenAI, Anthropic, Google). Transférer des données personnelles vers les États-Unis nécessite des garanties juridiques spécifiques.
Le Data Privacy Framework (DPF). Adopté en juillet 2023, il permet les transferts UE-USA pour les entreprises américaines certifiées. OpenAI, Google et Anthropic sont certifiés. Mais le DPF est contesté et pourrait être invalidé par la CJUE (comme ses prédécesseurs Safe Harbor et Privacy Shield). Construire votre stratégie uniquement sur le DPF est risqué.
Les Clauses Contractuelles Types (SCCs). Alternative plus robuste. Les plans Enterprise de ChatGPT et Claude incluent des SCCs dans leur DPA. Vérifiez que votre contrat les mentionne explicitement.
La solution souveraine. Pour éliminer le risque de transfert : utilisez Mistral (serveurs en France), Google Cloud avec résidence de données en UE, ou des LLM locaux via Ollama (aucune donnée ne quitte votre machine). C’est la solution la plus solide juridiquement pour les données sensibles.
Checklist de conformité IA + RGPD
Voici les actions concrètes à mener, classées par priorité.
Priorité 1 : Cartographie (maintenant)
Listez tous les systèmes IA utilisés dans votre entreprise : LLM (ChatGPT, Claude, Gemini), outils SaaS avec composants IA (CRM, email marketing, recrutement), automatisations (n8n, Zapier), modèles internes. Pour chacun, identifiez : quel type de données est traité, où sont hébergées les données, quel plan/contrat est en place, et qui est le responsable interne.
Priorité 2 : Classification des risques
Pour chaque système IA identifié, déterminez son niveau de risque selon l’AI Act. La plupart des usages courants (rédaction, traduction, analyse de données agrégées, chatbot informatif) sont à risque minimal ou limité. Les usages touchant au recrutement, à la notation de crédit, à la surveillance ou au diagnostic médical sont à haut risque et nécessitent une documentation spécifique.
Priorité 3 : Sécurisation des contrats
Vérifiez que chaque fournisseur IA dispose d’un DPA (Data Processing Agreement) conforme. Sans DPA, le traitement est non-conforme, même si l’outil est performant. Passez aux versions Business ou Enterprise des LLM que vous utilisez régulièrement avec des données personnelles.
Priorité 4 : Information et transparence
Mettez à jour votre politique de confidentialité pour mentionner l’utilisation d’IA. Informez vos employés via une charte interne d’utilisation de l’IA (quels outils sont autorisés, quelles données peuvent être soumises, quelles sont les interdictions). Si vous avez un chatbot, affichez clairement qu’il s’agit d’une IA.
Priorité 5 : Documentation technique (haut risque)
Pour les systèmes classés haut risque : rédigez la documentation technique requise par l’AI Act (annexe XI), réalisez une analyse d’impact sur les droits fondamentaux, mettez en place un mécanisme de contrôle humain, et préparez-vous aux audits. Des outils comme Leto, Witik ou AIActo facilitent cette documentation.
Rédiger une charte d’utilisation de l’IA en entreprise
Toute entreprise utilisant l’IA devrait avoir une charte interne. Voici les points essentiels à couvrir :
Outils autorisés. Listez explicitement les outils IA validés par l’entreprise (ex : « Claude Team, Gemini Workspace, Copilot M365 ») et ceux qui sont interdits (ex : « Pas de données d’entreprise dans ChatGPT Free ou les LLM gratuits »).
Données interdites. Définissez clairement ce qui ne doit jamais être soumis à un LLM externe : données clients nominatives, données RH, informations financières non publiques, secrets commerciaux, propriété intellectuelle sensible.
Vérification obligatoire. Imposez la vérification humaine de tout contenu IA avant publication ou utilisation dans une décision (les LLM hallucinent).
Transparence. Définissez quand et comment l’utilisation de l’IA doit être mentionnée (vis-à-vis des clients, des candidats, des partenaires).
Responsabilité. Clarifiez qui est responsable en cas de problème : le collaborateur qui utilise l’outil, le manager qui l’autorise, le DPO qui le supervise.
Les solutions conformes par ordre de sécurité
Niveau 1 : IA locale (sécurité maximale)
Avec Ollama et des modèles open source comme Llama 3.x ou Mistral Large 3, vous exécutez l’IA directement sur votre serveur ou votre machine. Aucune donnée ne quitte votre périmètre. C’est la solution la plus conforme pour les données sensibles (santé, finance, juridique, RH). La limite : les modèles locaux sont moins performants que les modèles cloud (Opus 4.6, GPT-5.4) sur les tâches complexes.
Niveau 2 : Hébergement UE
Mistral (entreprise française, serveurs en France) offre le meilleur compromis entre performance et conformité pour les entreprises européennes. Gemini via Google Cloud avec résidence de données en UE est une autre option solide. Vous bénéficiez de modèles performants avec des données qui restent dans l’UE.
Niveau 3 : Plans Enterprise avec DPA
Claude Team/Enterprise (Anthropic) et ChatGPT Business/Enterprise (OpenAI) offrent des garanties contractuelles : non-utilisation des données pour l’entraînement, DPA conforme, SCCs pour les transferts. Les données transitent par les USA mais sont protégées contractuellement. Adapté pour des données professionnelles courantes (pas pour les données hautement sensibles).
Niveau 4 : Usage avec précautions
Claude Pro et ChatGPT Plus ne réutilisent pas les données par défaut (Claude) ou permettent de désactiver l’historique (ChatGPT). Ils n’offrent pas de DPA formel. Acceptable pour un usage individuel sans données personnelles de tiers. Ne soumettez jamais de données clients ou RH.
Les sanctions : ce que vous risquez
| Réglementation | Type de violation | Sanction maximale |
|---|---|---|
| RGPD | Violation des principes fondamentaux (licéité, finalité, consentement) | 20 M€ ou 4 % du CA mondial |
| AI Act | Pratiques IA interdites (surveillance de masse, scoring social) | 35 M€ ou 7 % du CA mondial |
| AI Act | Non-conformité des systèmes à haut risque | 15 M€ ou 3 % du CA mondial |
| AI Act | Informations incorrectes fournies aux autorités | 7,5 M€ ou 1 % du CA mondial |
Au-delà des amendes, le préjudice réputationnel est considérable. Être épinglé par le Bureau de l’IA ou la CNIL en 2026 signifie souvent une rupture de confiance avec les clients B2B, qui exigent désormais des garanties de conformité avant toute signature de contrat.
IA et propriété intellectuelle
Point souvent négligé : en France, une œuvre générée à 100 % par une IA sans intervention humaine créative n’est pas protégée par le droit d’auteur (Code de la Propriété Intellectuelle). Si vous utilisez l’IA pour créer du contenu que vous voulez protéger, documentez votre part d’intervention humaine (prompts complexes, retouches, itérations, sélection éditoriale). C’est cette part humaine qui fonde la protection.
Pour les données d’entraînement, la question des droits d’auteur des contenus utilisés pour entraîner les LLM reste juridiquement ouverte en Europe. Le sujet fait l’objet de contentieux en cours et de discussions dans le cadre de l’AI Act.
Ce qui change en 2026-2027
2 août 2026 : application complète de l’AI Act pour les systèmes à haut risque. Les entreprises doivent avoir terminé leur mise en conformité.
Contrôles renforcés : le Bureau européen de l’IA et les autorités nationales (CNIL) lancent leurs premières campagnes de contrôle coordonnées. Les entreprises incapables de justifier la gouvernance de leurs algorithmes seront les premières ciblées.
Convergence RGPD / AI Act : les organisations devront gérer la conformité des deux réglements de manière intégrée. Le rôle du DPO évolue vers un « DPO++ » qui cumule les casquettes juridique, cybersécurité, data et projet.
Proposition Digital Omnibus : l’UE travaille sur une simplification et harmonisation des différents régimes (RGPD, NIS2, DORA, ePrivacy, AI Act) pour réduire la charge des entreprises, en particulier les PME.
Questions fréquentes sur l’IA et le RGPD
Peut-on utiliser ChatGPT en entreprise en conformité RGPD ?
Oui, à condition de ne jamais soumettre de données personnelles identifiables sur les plans gratuits ou personnels. Pour un usage professionnel avec des données clients ou RH, passez à ChatGPT Business ou Enterprise qui incluent un DPA (Data Processing Agreement) garantissant la non-réutilisation des données pour l’entraînement. Désactivez l’historique des conversations sur les plans personnels. Rédigez une charte interne précisant les usages autorisés et les données interdites. Pour les données sensibles, préférez une solution hébergée en UE (Mistral) ou locale (Ollama).
L’AI Act s’applique-t-il aux PME ?
Oui. Toute organisation qui fournit, distribue ou déploie des systèmes d’IA sur le marché européen est concernée, quelle que soit sa taille. Les PME bénéficient toutefois de certains allègements : accès aux sandboxes réglementaires (environnements de test supervisés par les autorités), support des autorités nationales, et certaines exemptions de documentation pour les systèmes à risque minimal. En pratique, la plupart des usages IA courants des PME (rédaction, traduction, chatbot informatif, analyse de données) sont classés « risque minimal » ou « risque limité » et nécessitent peu d’obligations spécifiques au-delà du RGPD.
Comment choisir un outil IA conforme RGPD ?
Vérifiez cinq points : le DPA est-il disponible et conforme ? Les données sont-elles utilisées pour l’entraînement du modèle (et cette option est-elle désactivable) ? Où sont hébergées les données (UE vs USA) ? Des clauses contractuelles types (SCCs) sont-elles incluses pour les transferts hors UE ? L’outil permet-il l’exercice des droits des personnes (accès, rectification, suppression) ? Les solutions les plus conformes pour les entreprises européennes sont : Mistral (hébergement France), Gemini via Google Cloud UE, Claude Enterprise et ChatGPT Enterprise (avec DPA et SCCs).
Quelles sont les obligations pour un chatbot IA ?
Sous l’AI Act, un chatbot est classé « risque limité ». L’obligation principale est d’informer l’utilisateur qu’il interagit avec une IA (obligation de transparence, en vigueur depuis août 2025). Sous le RGPD, si le chatbot traite des données personnelles : obtenez le consentement, limitez la rétention des conversations, permettez l’accès et la suppression des données. Si le chatbot prend des décisions significatives (recommandation médicale, évaluation de crédit), il passe en « haut risque » avec des obligations beaucoup plus strictes : documentation technique, contrôle humain, analyse d’impact.
L’IA locale (Ollama) est-elle exempte de RGPD ?
Non, le RGPD s’applique à tout traitement de données personnelles, y compris en local. Mais l’IA locale élimine les risques les plus problématiques : pas de transfert hors UE, pas de sous-traitant externe, pas de réutilisation des données pour l’entraînement. Vous restez responsable du traitement (licéité, finalité, sécurité), mais la conformité est considérablement simplifiée. Pour les entreprises traitant des données sensibles (santé, finance, juridique, RH), l’IA locale via Ollama avec des modèles open source comme Llama ou Mistral est la solution la plus sûre juridiquement.