L’adoption de l’IA générative en entreprise soulève des questions juridiques complexes que beaucoup de dirigeants de PME peinent encore à démêler. ChatGPT, Claude, Gemini, Mistral : ces outils sont désormais présents dans les flux de travail quotidiens de millions de salariés français. Mais leur utilisation est-elle compatible avec le RGPD ? Et comment s’assurer que votre entreprise ne s’expose pas à des sanctions ?
Ce guide pratique répond aux questions les plus fréquentes et vous donne les clés pour une utilisation conforme de l’IA générative.
Pourquoi le RGPD s’applique à l’IA générative
Le RGPD s’applique dès lors que des données à caractère personnel sont traitées. Dans le contexte de l’IA générative, cela se produit de plusieurs façons :
- Lorsque vous soumettez des données personnelles dans un prompt : noms de clients, emails, informations RH, données médicales, etc.
- Lorsqu’un modèle d’IA a été entraîné sur des données personnelles sans base légale appropriée
- Lorsque l’output de l’IA contient des données personnelles réelles ou vraisemblables
- Lorsque vous utilisez l’IA pour prendre des décisions automatisées affectant des personnes
Le fait que l’outil soit hébergé aux États-Unis (OpenAI, Anthropic) ne vous dispense pas de vos obligations : c’est vous, en tant que responsable de traitement, qui êtes responsable de la conformité de l’utilisation que vous en faites.
La position de la CNIL sur l’IA générative
La CNIL a publié en 2024 plusieurs recommandations importantes sur l’utilisation de l’IA générative. En voici les points essentiels :
Sur les bases légales
L’utilisation de l’IA générative dans un contexte professionnel peut reposer sur plusieurs bases légales :
- L’intérêt légitime (article 6.1.f RGPD) : pour des usages internes à faible impact sur les personnes
- L’exécution d’un contrat : si l’utilisation de l’IA est nécessaire à la fourniture d’un service contractuel
- Le consentement : requis pour les traitements plus intrusifs ou à destination de tiers
La CNIL insiste sur le fait que l’intérêt légitime ne peut pas être invoqué de manière générique : il faut démontrer que cet intérêt est réel, spécifique, et qu’il ne prime pas sur les droits des personnes concernées.
Sur les données d’entraînement
Si votre entreprise développe ou fine-tune ses propres modèles, les données utilisées pour l’entraînement doivent :
- Avoir été collectées avec une base légale appropriée
- Faire l’objet d’une analyse d’impact (AIPD) si elles concernent des données sensibles
- Être minimisées (pas plus que nécessaire)
- Être sécurisées tout au long du processus
Sur les droits des personnes
Les personnes dont les données sont traitées par un système d’IA conservent l’ensemble de leurs droits RGPD :
- Droit d’accès
- Droit de rectification
- Droit à l’effacement
- Droit d’opposition
La difficulté technique de l’effacement dans les modèles de language (LLM) ne constitue pas une excuse valable : la CNIL attend des entreprises qu’elles mettent en place des procédures réalistes pour honorer ces droits.
Les risques spécifiques à l’IA générative
Le risque de mémorisation des données
Les grands modèles de language peuvent, dans certains cas, mémoriser et restituer des extraits de leurs données d’entraînement. Si vous utilisez des outils d’IA accessibles via API, et que cette API est utilisée pour améliorer le modèle, vos données pourraient théoriquement contribuer à l’entraînement futur.
Solution pratique : vérifiez les conditions d’utilisation de vos fournisseurs. OpenAI, Anthropic et la plupart des acteurs majeurs proposent désormais des options permettant de désactiver l’utilisation de vos données pour l’entraînement, notamment dans les offres entreprise.
Le risque de transfert international
Les principaux fournisseurs d’IA générative sont américains. Tout transfert de données personnelles vers les États-Unis requiert une garantie appropriée : clauses contractuelles types (CCT), Privacy Shield 2.0 (Data Privacy Framework), ou règles d’entreprise contraignantes (BCR).
Depuis l’adoption du Data Privacy Framework en juillet 2023, les transferts vers des entreprises américaines certifiées sont à nouveau possibles, mais restent soumis à des conditions.
Le risque de décisions automatisées
Si votre utilisation de l’IA conduit à des décisions ayant un impact significatif sur des personnes (refus de crédit, non-sélection d’un CV, modulation de prix personnalisée), l’article 22 du RGPD impose :
- D’informer les personnes de l’existence de la décision automatisée
- De leur permettre d’obtenir une intervention humaine
- De leur offrir la possibilité de contester la décision
Checklist de conformité RGPD pour l’IA générative
Voici les actions prioritaires pour une PME :
1. Mettre à jour votre registre des traitements
Ajoutez une entrée pour chaque utilisation significative de l’IA générative : outil utilisé, données soumises, finalité, base légale, mesures de sécurité, transferts éventuels.
2. Rédiger une politique d’utilisation de l’IA
Cette politique interne doit préciser :
- Quels outils IA sont autorisés
- Quelles données peuvent (et ne peuvent pas) être soumises à ces outils
- Les responsabilités des collaborateurs
- Les procédures en cas d’incident
3. Informer vos collaborateurs et clients
Si l’IA est utilisée dans des processus qui affectent vos clients (service client automatisé, scoring, personnalisation), vous devez l’indiquer dans votre politique de confidentialité.
4. Évaluer la nécessité d’une AIPD
Une Analyse d’Impact relative à la Protection des Données (AIPD) est obligatoire pour les traitements susceptibles d’engendrer un risque élevé. Les systèmes d’IA à grande échelle, les décisions automatisées, ou les traitements de données sensibles en font généralement partie.
5. Choisir des fournisseurs conformes
Privilégiez les fournisseurs qui :
- Proposent un DPA (Data Processing Agreement) conforme au RGPD
- Sont certifiés ISO 27001
- Offrent des options d’hébergement en Europe ou de désactivation de l’entraînement sur vos données
- Ont une documentation claire sur leur politique de traitement des données
Les outils IA et leur niveau de conformité RGPD
| Outil | Hébergement | DPA disponible | Formation sur vos données |
|---|---|---|---|
| ChatGPT Enterprise | États-Unis | Oui | Non (désactivé) |
| Microsoft 365 Copilot | UE possible | Oui | Non |
| Claude for Business | États-Unis | Oui | Non |
| Mistral AI (plateforme) | France/UE | Oui | À vérifier selon l’offre |
| Solutions on-premise | Local | N/A | Contrôlé par vous |
Ce tableau est indicatif et doit être vérifié au moment de votre déploiement, les conditions évoluant régulièrement.
Que faire si vous avez déjà utilisé l’IA sans évaluation de conformité ?
Pas de panique. La CNIL adopte pour l’instant une approche pédagogique et privilégie le dialogue aux sanctions immédiates pour les entreprises qui font preuve de bonne foi. L’important est de :
- Réaliser rapidement un audit de vos usages actuels
- Corriger les non-conformités identifiées (notamment les transferts de données sensibles)
- Mettre en place la gouvernance et la documentation requises
- Former vos équipes aux bonnes pratiques
Conclusion
Le RGPD et l’IA générative ne sont pas incompatibles — mais leur coexistence exige une démarche proactive et structurée. Les PME qui prennent le sujet au sérieux dès maintenant se donnent une longueur d’avance sur leurs concurrents et protègent leurs clients, leurs collaborateurs, et leur réputation.
BetterPeople accompagne les PME et ETI dans la formation de leurs équipes à une utilisation responsable et conforme de l’IA. Nos programmes couvrent à la fois les enjeux réglementaires et les bonnes pratiques opérationnelles.
Besoin d’un accompagnement sur mesure ? Découvrez notre offre sur betterpeople.studio.
Prêt à transformer votre organisation avec l'IA ?
Réservez un diagnostic gratuit de 30 minutes avec notre équipe.