Passer au contenu principal
    🔐 Conformité IA

    RGPD et IA : utiliser l'intelligence artificielle en conformité

    Le RGPD fête ce 25 mai ses huit ans d'application. Et depuis que j'accompagne des TPE/PME sur leurs projets IA, une inquiétude revient à chaque réunion : « Est-ce qu'on a le droit de mettre nos données là-dedans ? ». Bonne nouvelle, le RGPD n'interdit pas l'IA. Il demande juste de réfléchir à ce qu'on y met, et c'est beaucoup plus simple qu'il n'y paraît.

    ✍️ Par Gaëtan Fizero 11 min de lecture
    RGPD et IA : utiliser l'intelligence artificielle en conformité dans une PME

    En résumé (TL;DR)

    • • Le RGPD ne vise pas l'outil d'IA, mais les données personnelles que vous y faites passer : tant qu'elles sont anonymisées ou non personnelles, le risque est faible.
    • • Utiliser une version professionnelle (avec contrat de sous-traitance), pas un compte grand public, dès qu'il y a des données clients ou salariés en jeu.
    • • L'IA ne crée jamais de base légale : si vous n'aviez pas le droit de traiter une donnée à la main, l'IA ne vous l'autorise pas davantage.
    • • Gardez un humain dans la boucle pour toute décision sur une personne (recrutement, crédit, résiliation), c'est l'exigence de l'article 22.
    • • La CNIL confirme depuis 2024 que l'IA est compatible avec le RGPD : finalité claire, minimisation, information des personnes, et vous êtes en règle.
    Le point de départ

    Le RGPD n'interdit pas l'IA, il encadre vos données

    Commençons par lever le malentendu le plus répandu. Le RGPD, c'est le règlement européen 2016/679, applicable depuis le 25 mai 2018. Il ne parle ni de ChatGPT, ni de Claude, ni d'aucun modèle d'IA, pour une raison simple : il encadre le traitement des données à caractère personnel, pas la technologie qui le réalise. Une donnée personnelle, c'est toute information se rapportant à une personne physique identifiée ou identifiable : un nom, un email, un numéro de téléphone, un historique d'achat, parfois une simple adresse IP.

    Conséquence directe : l'IA n'est ni interdite, ni dispensée. Quand vous demandez à un modèle de langage de résumer un compte-rendu d'entretien nominatif, vous réalisez un traitement de données personnelles, exactement comme si vous le faisiez dans un tableur. Les mêmes règles s'appliquent. À l'inverse, si vous lui faites reformuler un argumentaire commercial générique sans aucune donnée personnelle, vous êtes hors du champ du RGPD.

    La vraie question n'est jamais « ai-je le droit d'utiliser l'IA ? » mais « quelles données je m'apprête à lui confier, et avec quel cadre ? ». Une fois ce réflexe acquis, 80 % du sujet conformité est réglé.

    Il faut aussi distinguer deux textes que l'on confond souvent. Le RGPD encadre les données personnelles. L'AI Act, le règlement européen sur l'intelligence artificielle, encadre le système d'IA lui-même, ses risques et ses usages. Les deux coexistent : une charte RGPD ne dispense pas d'une démarche AI Act, et inversement. Dans cet article, je me concentre sur le premier, celui qui se déclenche dès le premier fichier client copié dans une fenêtre de chat.

    Les principes

    Les principes RGPD qui s'appliquent à vos usages IA

    La finalité : pourquoi je traite cette donnée

    Tout traitement doit répondre à un objectif déterminé, explicite et légitime. Avant de coller un fichier dans un outil d'IA, posez-vous la question : à quoi sert cette opération, et est-ce cohérent avec la raison pour laquelle j'ai collecté ces données ? Utiliser des adresses email récupérées pour la facturation afin d'entraîner un modèle de prospection, c'est un détournement de finalité, un classique à éviter.

    La base légale : sur quel fondement je le fais

    Six bases légales existent dans le RGPD. En PME, trois reviennent presque toujours : l'exécution d'un contrat (gérer une commande), l'intérêt légitime (organiser un planning, qualifier un prospect de façon proportionnée) et le consentement (prospection, profilage marketing). L'IA ne crée aucune base nouvelle. Elle est un moyen de traitement parmi d'autres, le fondement juridique reste le même qu'à la main.

    La minimisation : le moins de données possible

    Ne confiez à l'IA que ce qui est strictement utile à la tâche. Pour faire reformuler un mail de relance, le modèle n'a pas besoin du numéro de sécurité sociale du client ni de l'historique complet du compte. Couper les champs inutiles avant de coller, c'est le geste de minimisation le plus simple, et le plus efficace pour réduire le risque.

    L'information et les droits des personnes

    Les personnes dont vous traitez les données doivent être informées, en termes clairs, que vous recourez à des outils d'IA, et pour quoi. Elles conservent leurs droits : accès, rectification, effacement, opposition. Concrètement, une ligne dans votre politique de confidentialité et une mention dans vos formulaires suffisent dans la grande majorité des cas.

    Les réflexes

    Les 4 réflexes à installer dans votre PME

    1. Choisir une version professionnelle, pas un compte grand public

    Les versions gratuites ou personnelles des outils d'IA peuvent réutiliser vos saisies pour améliorer leurs modèles. Les offres professionnelles (entreprise, équipe, API) proposent un cadre contractuel, non-réutilisation des données, hébergement précisé, contrat de sous-traitance au sens de l'article 28. Dès qu'il y a des données clients ou salariés en jeu, c'est la version pro, point.

    2. Anonymiser ou pseudonymiser avant de coller

    Remplacer les noms par des initiales, retirer les coordonnées, masquer les identifiants directs : un texte privé de ses éléments identifiants sort largement du périmètre à risque. C'est le geste qui demande dix secondes et qui évite l'essentiel des incidents que je vois sur le terrain.

    3. Garder un humain dans la boucle pour les décisions

    L'IA propose, classe, prépare, mais c'est une personne qui décide, surtout quand la décision affecte quelqu'un (un candidat, un client, un dossier). C'est à la fois une exigence de l'article 22 du RGPD et une simple bonne pratique : une décision qu'aucun humain ne sait expliquer est une décision indéfendable.

    4. Tenir une trace écrite de qui fait quoi

    Une charte d'usage de l'IA et une mise à jour du registre des traitements suffisent dans la plupart des PME. On y note quel outil, pour quel usage, sur quelles données, avec quelle base légale. C'est aussi ce qui vous permet de répondre en quinze minutes à un client B2B qui demande votre gouvernance des données.

    Vos usages IA sont-ils en règle avec le RGPD ?

    Diagnostic gratuit de 30 minutes pour cartographier vos données, sécuriser vos outils d'IA et lever les zones de risque.

    Plan d'action

    Le plan 30/60/90 jours pour cadrer l'IA sans tout bloquer

    Quand un dirigeant me demande par où commencer, je propose la même séquence en trois temps. Elle évite deux écueils opposés : l'usage sauvage sans aucun cadre, et l'interdiction totale qui pousse les équipes à utiliser des comptes personnels en douce.

    Jours 1-30

    Cartographier les données et les usages : quels outils d'IA, sur quelles données, par qui. Repérer ce qui contient des données personnelles ou sensibles.

    Jours 31-60

    Basculer sur des versions professionnelles avec contrat de sous-traitance, rédiger une charte d'usage et mettre à jour le registre des traitements.

    Jours 61-90

    Former les équipes aux bons réflexes (anonymiser, humain dans la boucle), ajouter les mentions d'information et instaurer une revue trimestrielle.

    Pour la plupart des PME que j'accompagne, c'est trois à cinq jours de travail répartis sur un trimestre, plus une demi-journée de formation collective. Le sujet n'est pas technique, il est culturel. Une fois que l'équipe a intégré le réflexe « j'anonymise avant de coller », l'essentiel du risque s'évapore. La formation IA des équipes est, de loin, le meilleur investissement de conformité.

    Cas concret

    Atlantica Minceur : faire travailler l'IA sur des données sensibles

    Atlantica Minceur est un réseau de centres minceur et bien-être qui gère un volume important de données clients, coordonnées, suivi de programmes, échanges personnalisés. Une partie de ces informations touche à la santé, ce qui en fait des données particulièrement protégées par le RGPD. Quand la direction a sollicité Batemark, l'objectif était double : gagner du temps sur la relation client grâce à l'IA, sans jamais exposer ces données sensibles.

    On a commencé par séparer ce qui pouvait passer par l'IA de ce qui devait rester cloisonné. Les contenus génériques, modèles de messages, reformulation d'emails, réponses aux questions courantes, ont été confiés à un assistant IA sur une version professionnelle, avec contrat de sous-traitance et données non réutilisées pour l'entraînement. En revanche, tout ce qui relevait du suivi individuel sensible est resté dans l'outil métier, avec un principe clair : on anonymise systématiquement avant toute requête à l'IA, et aucune donnée de santé identifiante ne quitte le système interne.

    Résultat : les équipes ont gagné un temps réel sur la rédaction et le suivi de la relation client, sans créer la moindre zone grise côté données. La charte d'usage tient sur deux pages, la formation a duré une demi-journée, et l'entreprise dispose désormais d'une cartographie claire de ses traitements IA. Pour aller plus loin sur la fidélisation côté rétention, l'article sur l'automatisation du service client détaille des cas voisins.

    À retenir

    Les pièges à éviter avec l'IA et le RGPD

    Coller des données clients dans un compte grand public

    C'est l'incident numéro un. Une version personnelle peut réutiliser vos saisies, et vous transférez des données personnelles à un sous-traitant sans contrat ni information. Le réflexe : version professionnelle dès qu'il y a une donnée personnelle, et anonymisation par défaut.

    Croire que l'IA crée un droit de traiter

    L'IA est un moyen, pas une autorisation. Si vous n'aviez pas le droit d'utiliser une donnée à la main, l'automatiser ne change rien, au contraire, l'échelle aggrave le risque. La base légale doit exister avant le traitement, IA ou pas.

    Laisser l'IA décider seule sur une personne

    Refus de candidature, scoring, résiliation décidés sans intervention humaine : c'est exactement ce que l'article 22 encadre. Gardez une personne capable de revoir et d'expliquer la décision. Une décision inexplicable est une décision indéfendable devant la CNIL.

    Tout interdire en interne

    Bloquer l'IA au pare-feu pousse les équipes vers des comptes personnels sur leur téléphone, sans aucune traçabilité, l'inverse de la conformité. Mieux vaut un cadre clair, des outils validés et une formation que l'absence d'usage officiel.

    Questions fréquentes, RGPD & IA

    Faites le point en 30 minutes sur vos données et l'IA

    Diagnostic offert : cartographie de vos données, sécurisation de vos outils d'IA et plan d'action 90 jours sur mesure pour votre PME.

    Article rédigé par Gaëtan Fizero, consultant IA et automatisation pour TPE/PME, LinkedIn. Cet article ne constitue pas un avis juridique. Pour une analyse engagée, consultez un avocat spécialisé en droit du numérique ou votre délégué à la protection des données.

    Articles similaires