RGPD & AI Act — conformité pour vos déploiements IA en entreprise
Comment déployer l'IA en entreprise sans s'exposer à une amende CNIL ou à une violation de l'AI Act européen. Cet article cumule les exigences RGPD (depuis 2018) et AI Act (entré en vigueur en 2024, applicable progressivement jusqu'en 2027).
Le double cadre réglementaire 2026
Toute entreprise qui déploie de l'IA en Europe est soumise à deux réglementations complémentaires :
- Le RGPD (2016/679) — en vigueur depuis 2018, encadre tout traitement de données personnelles. Toute IA qui traite des données de clients, prospects, salariés, ou de personnes physiques identifiables est concernée.
- L'AI Act (2024/1689) — réglement européen sur l'IA, entré en vigueur le 1er août 2024, applicable progressivement jusqu'en 2027. Encadre tout système d'IA selon son niveau de risque, même sans données personnelles.
En 2026, la CNIL contrôle activement sur les deux fronts. Les sanctions pour non-conformité vont jusqu'à 4 % du chiffre d'affaires mondial (RGPD) ou 35 millions d'euros (AI Act). Pour une PME, même un seul écart détecté peut coûter cher.
La bonne nouvelle : la conformité n'est pas hors d'atteinte. 6 mesures structurantes couvrent la plupart des cas d'usage IA d'une PME. Elles doivent être mises en place avant le déploiement, pas après.
Méthodologie — les 6 piliers de conformité
1. Hébergement EU (jamais hors UE pour les données personnelles)
Toute donnée personnelle traitée par l'IA doit être hébergée en UE (France ou Allemagne recommandées). Pour les API LLM : utiliser OpenAI Enterprise avec région EU, Anthropic Enterprise avec hébergement EU, ou Mistral (hébergé en France nativement). Éviter Bedrock US, OpenAI free tier, ou tout endpoint US-only pour les données métier sensibles.
2. Base légale claire + registre des traitements
Tout traitement IA de données personnelles doit apparaître dans le registre des traitements de votre entreprise (RGPD article 30) avec : finalité, base légale (consentement, intérêt légitime, contrat), catégories de données, durée de conservation, sous-traitants (incluant OpenAI / Anthropic comme sous-traitants ultimes), mesures de sécurité. Sans registre à jour, vous êtes en infraction dès la mise en prod.
3. Minimisation des données
N'envoyer au LLM que les données strictement nécessaires à la tâche. Pas le profil complet du client, juste les champs utiles. Pas le contrat entier, juste l'extrait pertinent. Pseudonymiser quand c'est possible (remplacer le nom par un identifiant interne, ne renvoyer au LLM que les données nécessaires à la réponse).
4. Pas d'entraînement sur vos données
Par défaut, les API enterprise OpenAI / Anthropic garantissent contractuellement ne pas utiliser vos données pour entraîner leurs modèles. C'est dans le DPA fourni avec l'API enterprise. Mais ce n'est pas le cas des versions grand public (ChatGPT free / Claude free) : elles peuvent l'utiliser sauf opt-out manuel. Toujours utiliser l'enterprise pour les données métier.
5. Droit à l'oubli effectif
Sur demande utilisateur (RGPD article 17), vous devez supprimer ses données. Pour un système IA, ça inclut : l'index vectoriel du RAG, les logs d'inputs/outputs, le cache de prompts. Prévoir dès la conception une fonction de suppression complète par utilisateur, exporté pour vos contrôles. Le LLM lui-même ne stocke rien (en enterprise), donc rien à purger côté OpenAI / Anthropic.
6. DPIA pour les usages à haut risque
Une DPIA (Data Protection Impact Assessment, RGPD article 35) est obligatoire pour les traitements présentant un risque élevé pour les personnes : scoring RH, scoring crédit, scoring patient, profiling marketing intensif, surveillance des collaborateurs. L'AI Act renforce cette obligation pour les systèmes IA à haut risque (annexe III). La DPIA documente : finalité, nécessité, risques pour les personnes, mesures de mitigation.
Cas d'usage et niveaux de risque AI Act
L'AI Act classe les systèmes IA en 4 niveaux de risque, avec des obligations croissantes :
Risque inacceptable — interdit
Notation sociale, manipulation comportementale, identification biométrique en temps réel dans les espaces publics, exploitation de vulnérabilités. Interdits depuis février 2025. Aucune entreprise PME n'est censée tomber dans ces cas, mais les startups qui jouent sur la manipulation comportementale (dark patterns gamifiés par IA) sont concernées.
Haut risque — obligations strictes
IA en RH (recrutement, évaluation), crédit, santé, éducation, infrastructures critiques. Obligations applicables août 2026 : DPIA, registre, supervision humaine effective, transparence vers les utilisateurs, qualité des données d'entraînement, robustesse, audit log. Si votre PME utilise un outil de pré-tri CV par IA : vous êtes concerné.
Risque limité — transparence requise
Chatbots, voicebots, générateurs de contenu (texte, image, vidéo). Obligation depuis février 2025 : informer l'utilisateur qu'il interagit avec une IA. Concrètement : votre chatbot annonce « Bonjour, je suis l'assistant IA de [entreprise] » en début de conversation. Votre voicebot dit la même chose à l'oral. Votre générateur de contenu marque les images IA.
Risque minimal — libre, mais avec RGPD
Filtres anti-spam, recommandations produits, optimisation logistique, jeux. Pas d'obligation spécifique AI Act, mais le RGPD reste applicable dès qu'il y a traitement de données personnelles. 90 % des cas d'usage IA en PME PME tombent dans cette catégorie ou la précédente.
Pièges & erreurs à éviter
1. Oublier de mettre à jour le registre des traitements
Le piège le plus fréquent en 2026. Vous déployez un chatbot, un agent commercial, un RAG : c'est obligatoirement dans votre registre RGPD. Sans ça, même un déploiement techniquement irréprochable est en infraction. La CNIL contrôle activement ce point.
2. Utiliser ChatGPT free / Claude free pour les données métier
Les versions grand public peuvent utiliser vos prompts pour l'entraînement, héberger les données hors UE, et n'offrent pas de DPA. Interdit pour les données métier RGPD-sensibles. Toujours utiliser l'enterprise (OpenAI Team / Enterprise, Claude Pro / Enterprise) ou les API directes avec contrat DPA signé.
3. Pas de mention IA au visiteur
Depuis février 2025, votre chatbot/voicebot doit informer l'utilisateur qu'il parle à une IA. On voit encore en 2026 des chatbots qui se font passer pour humains. C'est une infraction AI Act directe. Toujours : « Bonjour, je suis l'assistant IA de [entreprise] » en début de conversation, et possibilité explicite de demander un humain.
4. Sous-estimer les obligations « haut risque »
Beaucoup d'entreprises pensent « ce n'est pas pour moi, on n'a pas d'IA critique ». En réalité, un simple scoring de leads commerciaux peut tomber sous l'AI Act haut risque s'il affecte significativement la prise de décision RH ou contractuelle. Le critère n'est pas la « criticité technique » mais l'impact sur les personnes. En cas de doute, faire la DPIA — c'est de toute façon un bon hygiene.
Calendrier d'application AI Act — ce qui s'applique à quelle date
L'AI Act a une application progressive sur 3 ans. Voici les jalons concrets pour une PME qui déploie de l'IA en 2026 :
Déjà applicable depuis février 2025
Interdiction des usages à risque inacceptable (notation sociale, manipulation comportementale, exploitation de vulnérabilités, identification biométrique en temps réel dans l'espace public). Obligation de mention IA au visiteur sur les chatbots, voicebots, générateurs de contenu. Si vous êtes en infraction sur l'un de ces deux points, vous l'êtes maintenant.
Applicable à partir d'août 2026
Obligations strictes pour les usages à haut risque (RH, crédit, scoring patient, éducation, infrastructures critiques). DPIA obligatoire, registre AI Act spécifique, supervision humaine effective, transparence vers utilisateurs, qualité des données d'entraînement, robustesse, audit log. Si votre PME utilise un outil de pré-tri CV par IA, un scoring leads automatisé ou une IA en lien avec le diagnostic médical, ces obligations vous concernent.
Applicable à partir d'août 2027
Obligations étendues pour les fournisseurs de modèles généraux (OpenAI, Anthropic, Mistral, Google). Pour une PME utilisatrice, ces obligations s'appliquent indirectement via votre contrat avec le fournisseur (DPA actualisé, documentation technique fournie, évaluation des risques systémiques pour les modèles les plus puissants).
Et en cas de contrôle CNIL ?
Premier réflexe : votre registre des traitements est-il à jour avec les usages IA ? Sinon, c'est la première infraction relevée. Deuxième réflexe : avez-vous une DPIA sur les usages à risque ? Troisième réflexe : pouvez-vous prouver que les utilisateurs sont informés qu'ils interagissent avec une IA ? Ces 3 points, documentés, suffisent à passer un contrôle standard sur l'usage IA.
Questions fréquentes — RGPD & AI Act
Comment déployer une solution IA en conformité RGPD ?
Six points essentiels. Hébergement EU (France ou Allemagne, jamais hors UE pour les données personnelles). Base légale claire (consentement, intérêt légitime, contrat — documenté dans votre registre des traitements). Minimisation (n'envoyer au LLM que les données strictement nécessaires, pas le profil complet du client). Pas d'entraînement sur vos données par défaut (les API enterprise OpenAI / Anthropic le garantissent contractuellement). Droit à l'oubli effectif (suppression dans la base vectorielle ET dans les logs). DPIA obligatoire pour les usages à risque élevé.
Le RGPD interdit-il d'utiliser ChatGPT en entreprise ?
Non, mais il encadre strictement son usage. La version gratuite de ChatGPT (utilisateur final) ne respecte pas par défaut les exigences RGPD pour des données personnelles — à éviter pour le métier. ChatGPT Enterprise et ChatGPT Team proposent des garanties contractuelles (pas d'entraînement, hébergement régional, DPA fourni) qui rendent l'usage RGPD-compatible si vous mettez à jour votre registre des traitements et signez le DPA. Idem pour les API directes : OpenAI Enterprise et Anthropic Enterprise sont DPA-ready.
Qu'est-ce que l'AI Act et quand s'applique-t-il aux entreprises ?
L'AI Act est le règlement européen 2024/1689 sur l'IA, entré en vigueur le 1er août 2024, avec une application progressive jusqu'en 2027. Les systèmes IA à risque inacceptable (notation sociale, manipulation comportementale) sont interdits depuis février 2025. Les systèmes à haut risque (RH, crédit, scoring patient…) sont soumis à des obligations strictes (DPIA, registre, supervision humaine, transparence) applicables à partir d'août 2026. Les chatbots et générateurs de contenu doivent informer l'utilisateur qu'il interagit avec une IA depuis février 2025.
Faut-il mettre à jour son registre des traitements RGPD pour intégrer l'IA ?
Oui, c'est obligatoire et c'est le piège le plus fréquent en 2026. Toute solution IA qui traite des données personnelles doit apparaître dans votre registre des traitements (article 30 RGPD) : finalité, base légale, catégories de données, durée de conservation, sous-traitants (vous incluez OpenAI / Anthropic comme sous-traitants ultimes). Sur les usages à risque élevé (scoring, RH, santé), une DPIA (analyse d'impact) est obligatoire. La CNIL contrôle activement depuis 2024 sur ces points.
Que se passe-t-il en cas de fuite de données via une IA ?
Procédure RGPD identique aux autres fuites : notification CNIL sous 72h (article 33), information des personnes concernées si risque élevé (article 34), analyse de cause et plan de remédiation. Spécificité IA : les fuites sont souvent indirectes (un agent qui répond à un utilisateur en exposant des données qu'il a vu dans son contexte d'entraînement). C'est pour ça qu'on impose un audit trail complet sur chaque requête / chaque accès document — sans traçabilité, vous ne pourrez pas reconstruire la fuite ni la circonscrire.
Une question RGPD / AI Act sur votre projet ?
30 minutes d'audit gratuit. On regarde votre cas d'usage IA, votre registre des traitements, votre niveau de risque AI Act. On oriente. Sans engagement.
Réserver mon audit gratuitOu contactez-nous directement : +33 6 51 30 89 49 • WhatsApp • greg@audelalia.fr