Ressources · Conformité

RGPD et IA : comment rester conforme ?

Oui, l'IA et le RGPD sont compatibles. Le RGPD n'interdit pas l'intelligence artificielle : il encadre l'usage des données personnelles. Pour rester conforme, une PME s'appuie sur quelques principes — minimisation des données, base légale claire, information des personnes, sous-traitance encadrée, hébergement maîtrisé et sécurité. En 2025, la CNIL a d'ailleurs publié des fiches pratiques dédiées à l'IA pour aider les organisations à avancer dans les règles.

Les fondamentaux

Les principes à respecter

La conformité ne tient pas à un document magique, mais à une poignée de réflexes. Les voici, tels que les rappellent le RGPD et les recommandations de la CNIL.

Minimisation des données

Ne confiez à l'IA que les données réellement utiles à la tâche. La CNIL invite à une méthode rigoureuse de sélection : pas de fichier client entier collé dans un outil « pour voir ».

Base légale

Chaque traitement repose sur un fondement : consentement, contrat, obligation légale ou intérêt légitime. La CNIL admet l'intérêt légitime, y compris commercial, à condition qu'il soit nécessaire, proportionné et assorti de garanties.

Information des personnes

Vos clients, prospects et salariés doivent savoir qu'un traitement par IA a lieu, dans quel but, et comment exercer leurs droits. La transparence n'est pas optionnelle, elle conditionne la conformité.

Sous-traitance encadrée

Un fournisseur d'IA qui traite vos données pour votre compte est un sous-traitant (article 28). Il faut un contrat écrit (DPA) précisant finalités, sécurité, et le sort des données envoyées.

Hébergement & transferts

Où sont stockées et traitées les données ? Un fournisseur hors UE, ou soumis au droit américain même avec des serveurs européens, expose à des transferts à encadrer. À regarder avant de choisir l'outil.

Sécurité

Accès restreints, journalisation, chiffrement, durées de conservation définies. La sécurité est une obligation du RGPD, pas une amélioration à ajouter plus tard.

Vigilance

Les pièges courants

La plupart des incidents ne viennent pas d'une faille technique, mais d'un usage non cadré. Les écueils les plus fréquents, et comment les lire.

Coller des données perso dans un outil grand public

La version gratuite d'un assistant grand public n'offre en général ni contrat de sous-traitance, ni garantie sur la réutilisation des saisies. Vos données peuvent nourrir l'entraînement du modèle.

Aucun cadrage de l'usage

Sans règle écrite, chaque collaborateur improvise : données sensibles exposées, outils non validés. Un cadre simple (ce qu'on peut faire, avec quel outil) évite l'essentiel des dérapages.

Confondre version gratuite et version professionnelle

Un même éditeur propose souvent une offre grand public et une offre entreprise : seule la seconde s'accompagne d'un DPA et d'une option de non-réutilisation des données. La nuance est décisive.

Oublier l'information des personnes

Utiliser l'IA pour trier des CV, qualifier des prospects ou analyser des messages clients sans en informer les intéressés fragilise toute la démarche, même si l'outil est par ailleurs bien choisi.

Négliger la littératie IA

Depuis février 2025, l'AI Act demande aux organisations qui utilisent l'IA d'assurer un niveau suffisant de compréhension à leurs équipes. Un usage non encadré est aussi un risque humain.

En pratique

Une checklist simple

Six étapes pour mettre une PME sur de bons rails, sans transformer la conformité en chantier sans fin. À adapter à votre contexte.

  1. 01

    Recenser

    Quels outils d'IA sont utilisés, par qui, sur quelles données ? On ne protège bien que ce qu'on a d'abord cartographié.

  2. 02

    Trier les données

    Distinguer données personnelles, sensibles et anonymes. Tout ne doit pas aller dans un outil d'IA, surtout les données sensibles.

  3. 03

    Choisir des outils adaptés

    Privilégier les offres professionnelles avec contrat de sous-traitance, option de non-réutilisation des données et hébergement clair.

  4. 04

    Documenter la base légale

    Pour chaque usage, savoir dire pourquoi le traitement est licite et l'inscrire dans votre registre des traitements.

  5. 05

    Informer & encadrer

    Mettre à jour vos mentions d'information, poser une règle d'usage interne, et sensibiliser les équipes aux bons réflexes.

  6. 06

    Sécuriser & tracer

    Accès limités au nécessaire, journalisation des actions, durées de conservation définies. La sécurité se conçoit en amont.

Et concrètement, avec Almathis

Cadrer la conformité dès le départ

Quand nous concevons un usage d'IA pour une PME, la question des données fait partie du cadrage initial, pas d'un correctif de dernière minute : quels outils, où vont les données, sur quelle base légale, avec quelles garanties. Nous restons factuels et prudents — sur les points juridiques fins, nous vous orientons vers votre conseil ou votre délégué à la protection des données, sans nous substituer à lui.

FAQ

RGPD & IA — questions fréquentes

L'IA est-elle compatible avec le RGPD ?
Oui. Le RGPD n'interdit pas l'IA : il encadre l'usage des données personnelles. La CNIL l'a confirmé en publiant en 2025 une série de fiches pratiques et des recommandations sur l'intérêt légitime, précisément pour aider les organisations à développer et utiliser l'IA dans les règles. La conformité tient à quelques principes : minimisation, base légale, information des personnes, sous-traitance encadrée, hébergement maîtrisé et sécurité.
Puis-je utiliser ChatGPT avec des données clients ?
Avec prudence. Les versions grand public d'un assistant n'offrent généralement pas de contrat de sous-traitance (DPA) conforme à l'article 28, et les saisies peuvent servir à entraîner le modèle. Pour traiter des données personnelles, on s'oriente vers une offre professionnelle ou par API, avec DPA signé et option de non-réutilisation des données, et on évite par principe d'y déposer des données sensibles.
Quelle base légale pour un projet d'IA ?
Cela dépend du contexte : consentement, exécution d'un contrat, obligation légale ou intérêt légitime. Début 2026, l'intérêt légitime est la base la plus courante pour le développement de systèmes d'IA selon la CNIL, y compris pour un intérêt commercial, à condition qu'il soit nécessaire, proportionné et assorti de garanties (transparence, exclusion de certaines données, facilitation des droits). Le bon réflexe est de documenter ce choix dès le départ.
Mon fournisseur d'IA est-il un sous-traitant ?
En général, oui. Un éditeur qui traite vos données pour votre compte et sur vos instructions est un sous-traitant au sens de l'article 28 du RGPD : un contrat écrit (DPA) est alors obligatoire. Attention : si le fournisseur réutilise vos données pour entraîner ses propres modèles sans votre accord, il agit comme responsable de traitement distinct, ce qui change la nature de vos obligations.
Faut-il héberger l'IA en Europe ?
Ce n'est pas une obligation absolue, mais c'est un point de vigilance. Un fournisseur soumis au droit américain peut être tenu de communiquer des données aux autorités, même si ses serveurs sont en Europe. Début 2026, des options existent pour réduire ce risque : acteurs européens comme Mistral AI, ou hébergement européen proposé par certains éditeurs. Le bon arbitrage dépend de la sensibilité de vos données.
Dois-je former mes équipes à l'IA pour être en règle ?
C'est désormais attendu. Depuis le 2 février 2025, l'article 4 de l'AI Act demande aux organisations qui déploient ou utilisent l'IA d'assurer un niveau suffisant de littératie IA à leur personnel, proportionné à son rôle. Les contrôles nationaux sont prévus à partir d'août 2026. Sensibiliser vos équipes aux bons réflexes relève donc autant de la conformité que de la sécurité.

Un usage d'IA conforme, dès le départ ?

On regarde vos outils et vos données ensemble, diagnostic offert et sans engagement : on repère les points de vigilance et les garde-fous à poser, sans jargon.