Le RGPD-IA est l’ensemble des règles RGPD appliquées spécifiquement aux systèmes d’IA. Il complète l’IA Act et reste prioritaire sur les questions de données personnelles.
Les enjeux principaux
Base légale du traitement (consentement, intérêt légitime). Information des personnes concernées. Droit d’opposition. Limitation aux données strictement nécessaires. Hébergement et localisation des données.
Données dans les prompts
Dès que vous mettez des données personnelles dans un prompt envoyé à un LLM cloud (ChatGPT, Claude, Gemini), vous faites un transfert de données. Selon le fournisseur, ça peut sortir de l’UE, RGPD applicable.
Solutions de conformité
Anonymiser avant prompt. Utiliser ChatGPT Enterprise / Claude for Work (zero retention). Déployer en local pour données sensibles. Documenter les flux et obtenir les consentements appropriés.
Les 6 risques RGPD spécifiques à l’IA générative
(1) Transfert hors UE, la plupart des LLMs SaaS (OpenAI, Anthropic, Google) traitent les données aux États-Unis ; il faut une base légale et des garanties (clauses contractuelles types). (2) Réutilisation pour l’entraînement, sans option Enterprise/Business, vos données peuvent nourrir les futurs modèles. (3) Conservation indéterminée, un LLM "mémorise" tout dans son contexte ; à supprimer ou en demander la suppression au fournisseur. (4) Décisions automatisées (article 22), un système IA qui décide d’une embauche, d’un crédit, d’une admission doit garantir une intervention humaine. (5) Profilage, analyser un comportement utilisateur via IA tombe sous le profilage RGPD. (6) Données sensibles dans les prompts, santé, opinions, origine : ces catégories spéciales nécessitent un consentement explicite.
Les bonnes pratiques minimales pour une PME française
(a) Charte IA interne, un document partagé qui dit ce qui peut/ne peut pas être collé dans une IA générative (templates publics disponibles, ex : Alohria propose un modèle gratuit). (b) Anonymisation systématique, retirer nom, prénom, identifiants avant d’envoyer dans un prompt. (c) Choisir des offres Enterprise (ChatGPT Enterprise, Claude for Work, Microsoft Copilot for Business), zéro rétention des données, conformité documentée. (d) Cartographier les usages, un Excel suffit pour démarrer : pour chaque outil IA, quel type de données, quel volume, quelle base légale. (e) Mettre à jour la politique de confidentialité, y mentionner explicitement vos usages IA.
Que dit la CNIL en 2026
La CNIL a publié plusieurs guides depuis 2024 sur l’IA : "Les recommandations pour le développement d’IA respectueux du RGPD", "Le bac à sable Données et IA", et plusieurs fiches pratiques par cas d’usage (santé, RH, scoring). Ses positions clés en 2026 : (1) la base légale "intérêt légitime" peut couvrir l’usage IA en interne, sous conditions ; (2) l’entraînement de modèles sur des données scrapées du web reste très encadré ; (3) le droit à l’information des personnes est renforcé pour les usages IA. Toutes ces publications sont accessibles sur cnil.fr/fr/intelligence-artificielle.
Les pièges à éviter
Erreurs courantes en entreprise
Coller des données RH dans ChatGPT public
Erreur la plus fréquente en 2026. CV, fiches de paie, comptes-rendus d’entretien dans ChatGPT Free ou Plus = données envoyées à OpenAI, hébergées aux US, susceptibles d’être utilisées pour l’entraînement. Pour ce type d’usage : ChatGPT Enterprise minimum, idéalement un modèle hébergé en France (Mistral).
Ne pas informer les personnes concernées
Si vous utilisez de l’IA pour traiter des données candidats, clients, salariés, vous devez les informer. Une mise à jour de la politique de confidentialité + un paragraphe explicite dans les communications RH/client suffisent souvent.
Confondre "anonymisation" et "pseudonymisation"
Remplacer "Marie Dupont" par "Candidate 47" est de la pseudonymisation, toujours soumise au RGPD. Une vraie anonymisation (irréversible, impossible à ré-identifier) est rare en pratique. Mieux vaut sécuriser le traitement plutôt que d’espérer "anonymiser".
Quand ne PAS l’utiliser
Le RGPD ne s’applique pas si vous ne traitez aucune donnée personnelle, par exemple une IA qui aide à rédiger des documents techniques internes, à générer du code, ou à traduire des contenus publics. Pour tous ces usages, vous restez libre dans le cadre du RGPD (mais l’IA Act peut s’appliquer pour d’autres raisons).
🇫🇷 Contexte français
En France, la CNIL est l’autorité de contrôle principale pour le volet IA + données personnelles. Elle propose un "bac à sable Données et IA" qui permet aux PME et porteurs de projets innovants de bénéficier d’un accompagnement gratuit pour valider leur conformité avant déploiement. C’est aujourd’hui la voie la plus pragmatique pour une PME française qui veut lancer un projet IA structurant sans risque réglementaire. Source : cnil.fr/fr/bac-sable-donnees-personnelles.
Questions fréquentes
Le RGPD s’applique-t-il à ChatGPT ?
Oui dès que vous y collez des données personnelles. OpenAI propose des offres conformes RGPD : ChatGPT Enterprise et l’API avec data processing agreement (DPA). Pour les versions gratuites et Plus, les données peuvent servir à l’entraînement par défaut, désactivable dans les paramètres, mais à valider en interne avant tout usage professionnel.
Puis-je utiliser une IA pour trier des CV en France ?
Oui, sous conditions : (1) information du candidat dans l’annonce et la politique de confidentialité, (2) base légale RGPD (généralement l’intérêt légitime pour le recrutement), (3) intervention humaine obligatoire avant toute décision finale (article 22), (4) absence de critères discriminatoires dans le système. À partir d’août 2026, ce type de système est également classé "haut risque" sous l’IA Act, ce qui ajoute des obligations.
Quelle est la différence entre RGPD et IA Act ?
Le RGPD (2018) protège les données personnelles, il s’applique dès qu’une donnée identifie ou peut identifier une personne. L’IA Act (2024/1689) régule les systèmes d’IA, il s’applique selon le niveau de risque du système, indépendamment des données utilisées. Les deux s’appliquent en parallèle pour un système IA traitant des données personnelles.
Comment se mettre en conformité RGPD pour l’IA en 2 semaines ?
Étape 1 (jours 1-3) : inventaire de tous les usages IA dans l’entreprise. Étape 2 (jours 4-7) : pour chaque usage, identifier la base légale RGPD et les données traitées. Étape 3 (jours 8-12) : rédiger ou mettre à jour la charte IA + la politique de confidentialité. Étape 4 (jours 13-14) : sensibiliser les équipes avec 1 atelier de 1h et un document de référence. C’est ce que couvre un audit IA structuré (par exemple celui d’Alohria, 14 jours).
Exemple concret
Une équipe RH copie-colle des CV dans ChatGPT pour résumer. Sans options Enterprise, ces données peuvent servir à entraîner les modèles OpenAI. Risque RGPD majeur.
À retenir
RGPD-IA n’est pas une nouvelle réglementation, c’est l’application stricte du RGPD aux usages IA. Beaucoup de PME sont en non-conformité sans le savoir.