ExpertiseAccelerate my business
Find out if AI can help meBuild my AI roadmapFund my diagnosisGet my executive team on boardPrepare my teams for changeTest my eligibilityAll about strategy
Understand AI challengesMaster everyday AI toolsBuild AI agentsTransform a role with AICertify your skillsSupport change managementFull catalogue
AI NewsContactFrançaisLet's talk

This article is available in French only.

Stratégie & gouvernance

RGPD et IA : comment rester conforme quand vos modèles traitent des données personnelles

Guide pratique pour concilier RGPD et intelligence artificielle en entreprise : base légale, minimisation, droits des personnes, sous-traitance LLM et registre AIPD.

Jonathan Foureur9 min read
RGPD et IA : comment rester conforme quand vos modèles traitent des données personnelles

Ce qu'il faut retenir

  • Le RGPD s'applique dès qu'un modèle IA traite une donnée personnelle, y compris un prompt utilisateur, un email client ou un nom dans un PDF.
  • La base légale n'est jamais l'IA elle-même : il faut s'appuyer sur le contrat, l'intérêt légitime ou le consentement, et le justifier au cas par cas.
  • Une AIPD (analyse d'impact) est obligatoire dès qu'un traitement IA présente un risque élevé pour les personnes -- ce qui est la règle plutôt que l'exception.
  • Le choix du fournisseur LLM engage votre responsabilité : transferts hors UE, conservation des prompts, réutilisation pour l'entraînement -- tout doit être documenté.
  • L'AI Act renforce le RGPD sur les systèmes à haut risque, mais ne le remplace pas. Les deux règlements s'appliquent en parallèle.

Pourquoi le RGPD est-il un sujet critique dès qu'on parle d'IA ?

Le Règlement Général sur la Protection des Données s'applique à tout traitement de données personnelles, quel que soit l'outil utilisé. Quand vous intégrez un LLM (ChatGPT, Claude, Mistral, Gemini) dans un workflow d'entreprise, vous déclenchez quasi systématiquement un traitement de données personnelles : un nom dans un email, une adresse dans un contrat, une appréciation sur un collaborateur dans un compte-rendu.

La CNIL a publié en 2024 et 2025 plusieurs recommandations explicites sur l'IA, qui forment aujourd'hui la doctrine française. Elles s'articulent autour de quatre principes : finalité, minimisation, transparence, sécurité. Aucun n'est nouveau, mais leur application à l'IA générative pose des questions concrètes que peu d'entreprises maîtrisent.

Quelle base légale pour entraîner ou utiliser un modèle IA ?

Le RGPD impose une base légale parmi six possibles (consentement, contrat, obligation légale, sauvegarde, mission d'intérêt public, intérêt légitime). Pour l'IA en entreprise, trois bases dominent :

  • Le contrat : justifie le traitement quand l'IA est nécessaire à l'exécution d'un service (ex : un agent vocal qui prend un rendez-vous).
  • L'intérêt légitime : valable pour des usages internes (analyse de feedback, classification de tickets), sous réserve d'un test de mise en balance documenté.
  • Le consentement : requis pour la prospection commerciale, certains usages marketing, et tout traitement particulièrement sensible.

L'erreur fréquente consiste à invoquer "l'amélioration du service" ou "l'innovation" comme base légale -- ce qui n'est pas reconnu par la CNIL. Chaque cas d'usage IA doit être rattaché à une base légale précise et tracée dans le registre des traitements.

Comment minimiser les données envoyées aux modèles ?

Le principe de minimisation impose de ne traiter que les données strictement nécessaires. Concrètement, cela implique :

  • Pseudonymiser avant l'envoi : remplacer les noms, emails, identifiants par des tokens réversibles avant d'appeler l'API LLM.
  • Filtrer les prompts : détecter les données sensibles (numéro de sécurité sociale, données de santé, opinions politiques) et bloquer leur envoi.
  • Limiter le contexte : ne pas charger un dossier client complet quand seuls trois champs sont nécessaires.
  • Éviter le fine-tuning sur données brutes : préférer le RAG (récupération contextuelle) qui ne stocke pas les données dans les poids du modèle.

Cette discipline change radicalement l'architecture des cas d'usage. Un assistant client qui répond avec le nom de l'utilisateur n'a pas besoin d'envoyer son historique médical au LLM -- même si techniquement, cela "améliorerait" la réponse.

Quels droits des personnes faut-il prévoir ?

Les personnes dont les données sont traitées par votre IA conservent l'ensemble de leurs droits RGPD : accès, rectification, effacement, opposition, portabilité, limitation. Trois sont particulièrement complexes à opérationnaliser :

  • Le droit à l'effacement : impossible à garantir sur un modèle déjà entraîné sur la donnée. La parade consiste à ne jamais entraîner sur données personnelles non pseudonymisées.
  • Le droit d'opposition au profilage automatisé (article 22) : si une décision affecte significativement la personne (crédit, embauche, tarification), l'IA ne peut être seule décisionnaire. Une revue humaine doit être prévue.
  • Le droit à l'information : l'utilisateur doit savoir qu'il interagit avec une IA, comprendre la logique générale, et connaître les conséquences.

Ces obligations doivent être intégrées dès la conception du système. Les ajouter après coup est souvent impossible techniquement, et toujours coûteux.

Comment choisir un fournisseur LLM conforme ?

Le choix du modèle engage votre responsabilité de responsable de traitement. Pour chaque fournisseur, vérifiez :

  • La localisation des serveurs : un transfert hors UE nécessite un mécanisme de garantie (clauses contractuelles types, décision d'adéquation). Les US ne bénéficient plus d'une décision d'adéquation pleine depuis Schrems II.
  • La durée de conservation des prompts : OpenAI conserve 30 jours par défaut (sauf opt-out enterprise), Anthropic 30 jours, Mistral varie selon l'offre.
  • La réutilisation pour l'entraînement : à désactiver impérativement sur les offres entreprise. Les offres gratuites ou consumer réutilisent généralement les conversations.
  • Le contrat de sous-traitance (article 28) : doit être signé avec le fournisseur, lister les sous-traitants ultérieurs, encadrer les transferts.

Les solutions souveraines (Mistral, LightOn, hébergement chez Scaleway ou OVH) présentent un avantage clair sur ces critères -- même si leurs performances brutes sont parfois inférieures aux modèles US.

Quand faut-il réaliser une AIPD ?

L'analyse d'impact sur la protection des données (AIPD ou DPIA) est obligatoire dès qu'un traitement présente un risque élevé. La CNIL considère que les systèmes IA cochent généralement plusieurs critères de la liste : évaluation, décision automatisée, traitement à grande échelle, croisement de données, données vulnérables.

En pratique, presque tous les cas d'usage IA en entreprise nécessitent une AIPD. Elle doit décrire :

  • Les finalités et la base légale
  • Les catégories de données et de personnes concernées
  • Les mesures de minimisation et de sécurité
  • L'évaluation des risques et leur traitement
  • La consultation du DPO

L'AIPD n'est pas un document à archiver : elle doit être maintenue à jour à chaque évolution significative du système.

Que change l'AI Act par rapport au RGPD ?

L'AI Act européen, entré en application progressivement depuis 2025, ne remplace pas le RGPD : il s'y ajoute. Pour les entreprises, cela signifie deux conformités parallèles :

  • RGPD : centré sur la donnée personnelle, applicable à tout traitement.
  • AI Act : centré sur le système IA et ses risques, avec des obligations renforcées pour les usages classés "haut risque" (RH, éducation, infrastructures critiques, justice).

Un système de tri de CV déployé en entreprise sera soumis aux deux : RGPD pour les données des candidats, AI Act pour le caractère haut-risque du traitement. Les obligations se cumulent : registre, AIPD, documentation technique, supervision humaine, journalisation.

Quel impact concret pour les entreprises ?

La conformité RGPD-IA n'est pas un sujet juridique isolé : c'est une contrainte d'architecture. Les choix techniques pris en début de projet (modèle, hébergement, pipeline de données) déterminent la possibilité même d'être conforme. Reprendre un système déjà en production pour y ajouter une couche RGPD est généralement plus coûteux que de le refaire.

Nos accompagnements intègrent systématiquement la dimension RGPD dans la stratégie IA et dans la phase de prototype. L'objectif n'est pas la conformité pour la conformité, mais de construire des systèmes qui ne nécessiteront pas d'être démantelés lors du premier contrôle ou de la première réclamation.

Conclusion : la conformité est un atout commercial, pas un frein

Les entreprises qui maîtrisent leur conformité RGPD-IA gagnent un avantage commercial concret : elles peuvent vendre à des clients exigeants (santé, finance, secteur public) sans renégocier chaque clause contractuelle. La conformité n'est ni un coût ni un frein -- c'est un actif qui se construit projet par projet.

L'erreur la plus coûteuse reste de traiter le sujet en fin de projet, juste avant la mise en production. Anticiper dès le cadrage permet de choisir les bonnes architectures, les bons fournisseurs, et d'éviter les refontes.

Lire aussi : AI Act : ce que les entreprises doivent faire avant février 2026

Vous traitez des données personnelles avec un LLM et vous voulez sécuriser votre conformité ? Vous lancez un projet IA et vous voulez intégrer le RGPD dès le départ ? Parlons-en -- nous vous aidons à définir votre stratégie IA et à prototyper vos cas d'usage en intégrant la conformité dès la conception.

Related topics

Stratégie & gouvernance
Formation IA en entreprise : comment former ses équipes à l'intelligence artificielle en PME

Previous article

Formation IA en entreprise : comment former ses équipes à l'intelligence artificielle en PME

Pump.fun GO : marché de bounties à l'ère des agents IA autonomes

Next article

Pump.fun GO : marché de bounties à l'ère des agents IA autonomes

Related

Similar content

Formation IA en entreprise : comment former ses équipes à l'intelligence artificielle en PME
Stratégie & gouvernance

Formation IA en entreprise : comment former ses équipes à l'intelligence artificielle en PME

10 min read
IA souveraine en France : Mistral, cloud souverain et alternatives, la réalité derrière le récit
Stratégie & gouvernance

IA souveraine en France : Mistral, cloud souverain et alternatives, la réalité derrière le récit

12 min read
Simplification de l'AI Act : ce que change la pré-validation européenne pour les PME
Stratégie & gouvernance

Simplification de l'AI Act : ce que change la pré-validation européenne pour les PME

10 min read
All news →