Utiliser l'IA en entreprise sans se poser la question du RGPD, c'est rouler sans assurance. Les sanctions sont réelles, les risques sont concrets — et pourtant la plupart des PME ne font aucune vérification. Voici ce qu'il faut savoir.
Le problème de fond
Quand un collaborateur colle un contrat client dans ChatGPT pour en tirer un résumé, que se passe-t-il exactement ? Ces données transitent vers des serveurs américains, sont potentiellement utilisées pour entraîner des modèles futurs (selon les CGU), et ne reviennent jamais vraiment "chez vous".
Ce n'est pas une question théorique. La CNIL a ouvert en 2023 une enquête sur OpenAI, et plusieurs DPA européennes ont sanctionné des organisations pour des transferts similaires.
Les 3 risques principaux
1. Transfert de données hors UE
Les principaux LLM cloud (GPT-4, Claude API, Gemini) traitent vos données sur des serveurs américains. Même avec des options "no training" activées, le traitement en lui-même constitue un transfert soumis au RGPD. Pour les données RH, contrats, données clients ou informations financières, c'est problématique.
2. Absence de registre de traitement
Le RGPD exige un registre de tous les traitements de données. Si vous utilisez l'IA pour analyser des données personnelles, ce traitement doit y figurer avec : la finalité, la base légale, les catégories de données, les destinataires et la durée de conservation. Très peu d'entreprises le font.
3. Droit à l'effacement impossible
Si un client exerce son droit à l'effacement, vous devez supprimer ses données partout. Si ces données ont été envoyées à un LLM cloud, impossible de garantir leur suppression dans le modèle. Sur votre serveur local, vous contrôlez tout.
Checklist de conformité IA × RGPD
| Vérification | Cloud IA | On-premise |
|---|---|---|
| Données traitées en UE | ✕ Non garanti | ✓ Oui (votre serveur) |
| Registre de traitement tenu | À faire manuellement | Plus simple à décrire |
| Effacement possible | ✕ Non garanti | ✓ Complet |
| Audit de sécurité possible | ✕ Opaque | ✓ Total |
| DPA (accord sous-traitant) | Fourni mais limité | Pas nécessaire |
| Exposition Cloud Act | ✕ Oui | ✓ Non |
L'IA Act européen : ce qui arrive
En parallèle du RGPD, le règlement européen sur l'IA (IA Act, entré en vigueur en 2024) ajoute une couche de conformité. Il classe les systèmes d'IA par niveau de risque et impose des obligations de transparence, de documentation et de supervision humaine selon les usages.
Pour les PME, les obligations immédiates restent légères — mais les organisations qui utilisent l'IA pour des décisions à fort impact (recrutement, crédit, médical) devront se conformer à des exigences strictes dès 2025-2026.
Ce que vous devez faire maintenant
Même si vous utilisez l'IA cloud aujourd'hui, ces 3 actions minimales réduisent votre exposition :
- Répertorier vos usages IA : qui utilise quoi, avec quelles données
- Catégoriser les données : distinguer données anonymes / pseudonymisées / personnelles
- Appliquer le principe de minimisation : n'envoyer que ce qui est strictement nécessaire
Sur le long terme, passer à une solution locale est la seule façon de garantir une conformité complète sans dépendre des politiques changeantes des fournisseurs cloud.
On peut auditer votre usage IA actuel
En 30 minutes, on identifie vos risques RGPD concrets et on propose un plan de mise en conformité.