Déployer une IA générative en entreprise sans réfléchir à la conformité RGPD, c'est prendre le risque d'une fuite de données, d'une sanction de la CNIL, ou d'une perte de confiance client. La bonne nouvelle, c'est que la conformité n'est pas un frein : c'est un cadre clair, applicable, et qui protège l'entreprise autant que les utilisateurs. Ce guide propose une lecture opérationnelle des règles à respecter en 2026 quand on utilise ChatGPT, Claude, Gemini ou n'importe quel outil d'IA traitant des données personnelles.
L'IA générative est-elle compatible avec le RGPD
La réponse courte est oui, à condition de respecter quelques principes clés. Le RGPD n'interdit pas l'utilisation d'IA. Il encadre la manière dont sont collectées, traitées, stockées et transférées les données personnelles. Toute entreprise française ou européenne qui utilise un outil IA traite probablement des données personnelles : noms de clients dans des emails, CV de candidats, retranscriptions de réunions, fiches employés.
Tant que l'usage est encadré et documenté, l'IA générative est parfaitement utilisable. Le piège, c'est l'usage sauvage : un collaborateur qui copie-colle un fichier client dans ChatGPT gratuit, un manager qui fait analyser des CV sans information du candidat, une équipe support qui retranscrit des appels sans consentement. Ces usages, fréquents en 2025, sont le vrai problème.
Les cinq risques principaux à connaître
Quand on parle conformité IA en entreprise, ce sont toujours les mêmes risques qui reviennent. Les comprendre, c'est déjà se prémunir.
1. La fuite de données par utilisation d'outils gratuits
Les versions gratuites de ChatGPT, Claude ou Gemini peuvent réutiliser vos données pour entraîner les modèles. Concrètement, le contenu d'un fichier client transmis à l'IA peut, en théorie, ressortir dans la réponse d'un autre utilisateur. C'est rare, mais c'est documenté. Le seul moyen sûr est de basculer sur les versions Team, Enterprise ou API avec engagement contractuel sans entraînement.
2. Le transfert de données hors UE
OpenAI, Anthropic et Google sont américains. Les données envoyées à leurs API sont susceptibles de transiter par des serveurs hors UE. Le RGPD encadre ces transferts via des Clauses Contractuelles Types et des certifications comme le Data Privacy Framework. Vérifiez que votre fournisseur respecte ce cadre : c'est mentionné dans son DPA (Data Processing Agreement).
3. Le défaut d'information des personnes concernées
Si vous utilisez l'IA pour analyser des CV, retranscrire des réunions ou catégoriser des emails clients, les personnes concernées doivent en être informées. C'est une obligation, pas une politesse. L'absence d'information est une non-conformité directement sanctionnable.
4. La décision automatisée sans intervention humaine
L'article 22 du RGPD interdit les décisions purement automatisées qui produisent des effets juridiques significatifs sur une personne (refus de crédit, élimination d'une candidature, sanction). L'IA peut assister, suggérer, présélectionner. Mais la décision finale doit rester humaine, et la personne doit pouvoir contester.
5. La conservation excessive
Les conversations IA sont historisées par défaut sur la plupart des plateformes. Si elles contiennent des données personnelles, vous êtes responsable de leur durée de conservation. Définir une politique claire (suppression après 30, 60 ou 90 jours selon les usages) est indispensable.
Les obligations clés à respecter
Six obligations structurent la conformité d'un usage IA en entreprise. Aucune n'est insurmontable, mais aucune ne peut être ignorée.
Tenir un registre des traitements. Chaque usage IA qui touche des données personnelles doit figurer dans le registre RGPD de l'entreprise. Mention de la finalité, des données traitées, de la durée de conservation, des destinataires. C'est la base de toute conformité.
Réaliser une AIPD si nécessaire. Une Analyse d'Impact relative à la Protection des Données est requise dès que le traitement présente un risque élevé pour les droits et libertés. C'est presque systématique pour les usages IA en RH, en santé, en relation client à grande échelle.
Choisir un fournisseur conforme. Le DPA (Data Processing Agreement) de votre fournisseur doit être lu, signé et archivé. Vérifiez les engagements sur le non-entraînement, la localisation des serveurs, les sous-traitants, les droits des personnes.
Informer les utilisateurs et les personnes concernées. Mentions d'information dans les contrats, dans les politiques RH, dans les emails commerciaux. Le principe de transparence du RGPD impose que personne ne soit traité par une IA à son insu.
Sécuriser les accès. Authentification forte sur les comptes IA professionnels, journalisation des accès, restriction des fichiers sensibles, charte interne d'usage. Une faille humaine est aussi grave qu'une faille technique.
Permettre l'exercice des droits. Droit d'accès, de rectification, d'effacement, d'opposition, de portabilité. Vos process internes doivent permettre de répondre dans les délais légaux (un mois maximum) y compris pour les données passées par une IA.
Comment auditer son usage IA en quatre étapes
Voici la démarche d'audit que nous recommandons aux entreprises qui veulent vérifier leur conformité actuelle. Comptez deux à quatre semaines selon la taille de l'organisation.
Étape 1 : cartographier les usages réels. Quels collaborateurs utilisent quels outils IA, sur quelles données, à quelle fréquence ? Cette cartographie révèle souvent un écart énorme entre l'usage déclaré et l'usage réel. Sondage anonyme, entretiens, analyse des dépenses : combinez les sources.
Étape 2 : classer les usages par criticité. Tous les usages ne se valent pas. Un assistant qui rédige des emails internes est moins critique qu'un outil qui analyse des CV ou catégorise des dossiers patients. Trois niveaux : faible, modéré, élevé.
Étape 3 : vérifier la conformité de chaque usage critique. Pour chaque usage classé modéré ou élevé, contrôlez : DPA signé, registre à jour, AIPD si nécessaire, information des personnes, sécurité des accès, durée de conservation. Documentez les écarts.
Étape 4 : remédier et documenter. Définissez un plan d'action priorisé, avec des dates et des responsables. Documentez chaque correction. C'est ce dossier qui vous protégera en cas de contrôle CNIL.
Tu veux passer à la pratique ?
Récupère nos templates, prompts et mini-cours IA gratuits. Livraison instantanée par email.
Récupérer les ressources gratuitesLe rôle du DPO et de la direction juridique
Le DPO (Délégué à la Protection des Données) est le pilier de la conformité IA. Son rôle ne se limite pas au contrôle : il accompagne, conseille, sensibilise. Une bonne pratique consiste à associer le DPO dès le choix de l'outil, pas après le déploiement.
Concrètement, le DPO valide le DPA, contribue à l'AIPD, vérifie les mentions d'information, anime la formation RGPD des équipes utilisatrices, et sert de point de contact en cas de question d'un salarié, d'un client ou d'un candidat. Sans DPO impliqué, les déploiements IA dérivent vite.
La direction juridique, elle, sécurise les contrats fournisseurs, gère les transferts hors UE, et arbitre les cas limites. Le binôme DPO et juridique est le tandem opérationnel de la conformité IA en 2026.
La conformité IA n'est pas un projet ponctuel mais une discipline continue. Les outils évoluent, les usages se multiplient, les régulateurs précisent leur doctrine. Une entreprise qui ne revisite pas sa conformité IA tous les six mois prend mécaniquement du retard.
Bonnes pratiques pour une charte IA d'entreprise
Une charte IA bien rédigée prend deux pages, est lisible par tous les salariés, et fait référence dans 90 % des cas. Voici les sections incontournables.
- Outils autorisés et interdits : la liste des plateformes validées par le DPO et la direction informatique, et celles qui sont prohibées.
- Données autorisées et interdites : ce qu'on peut copier-coller dans une IA et ce qu'on ne peut jamais (données médicales, données financières client, secrets industriels, données mineurs).
- Information obligatoire : quand et comment informer un client, un candidat, un salarié qu'une IA est utilisée pour traiter sa demande.
- Validation humaine : la règle d'or rappelée : aucune décision affectant un client, candidat ou salarié ne doit être prise par l'IA seule.
- Procédure d'incident : qui prévenir et dans quel délai en cas de fuite, d'erreur, de doute.
- Sanctions : un rappel des conséquences en cas de non-respect, alignées avec le règlement intérieur.
Vers l'IA Act : le cadre qui se précise
Le RGPD reste la base, mais il est désormais complété par l'IA Act européen, dont les premières obligations entrent en vigueur progressivement entre 2025 et 2027. Les entreprises doivent commencer à classifier leurs usages selon les catégories de risque définies par le règlement (risque inacceptable, élevé, limité, minimal) et à anticiper les obligations spécifiques aux systèmes à haut risque (RH, scoring, biométrie).
La conformité IA en 2026 ne se résume pas à un document signé. C'est une culture interne, une vigilance continue, et un dialogue permanent entre la direction informatique, le DPO, le juridique et les équipes métier. Les entreprises qui s'y prennent maintenant prennent une longueur d'avance opérationnelle et réputationnelle considérable.
FAQ : les questions les plus fréquentes
Mon entreprise est-elle concernée par le RGPD si elle utilise ChatGPT gratuit ?
Oui, dès lors qu'un salarié traite des données personnelles dans l'outil. Le statut gratuit ou payant ne change rien : c'est le traitement de données qui déclenche le RGPD, pas le mode de souscription. Les versions gratuites présentent simplement des risques contractuels supplémentaires.
Quelle sanction peut prononcer la CNIL en cas de manquement ?
Les sanctions vont de l'avertissement à des amendes pouvant atteindre 4 % du chiffre d'affaires mondial. Au-delà de l'amende, l'effet réputationnel est souvent plus douloureux : une entreprise sanctionnée publiquement perd la confiance de ses clients et partenaires.
Doit-on systématiquement faire une AIPD pour un usage IA ?
Pas systématiquement, mais souvent. Une AIPD est requise dès que le traitement présente un risque élevé pour les droits et libertés des personnes. Pour des usages internes simples (rédaction, synthèse), elle n'est pas obligatoire. Pour des usages affectant clients, candidats ou salariés à grande échelle, elle l'est presque toujours.
Peut-on utiliser ChatGPT Enterprise sans risque RGPD ?
Le plan Enterprise apporte des garanties contractuelles fortes (no-training, SOC 2, DPA dédié), mais il ne dispense pas l'entreprise de ses propres obligations : information des personnes, registre des traitements, validation humaine des décisions. La conformité reste un sujet d'organisation interne, pas seulement de choix d'outil.