blog.dsia-conseil.fr

RGPD et IA : comment rester conforme

Écrit par

philippe.coupez@hotmail.fr

dans

Le contexte reglementaire a profondement evolue

Le RGPD existe depuis 2018, mais l'arrivee massive de l'IA generative en 2023 et l'entree en vigueur progressive de l'AI Act europeen en 2025-2026 ont change la donne. Pour une PME francaise, les obligations en matiere de traitement des donnees ne se limitent plus aux questions classiques (consentement, droit d'acces, securite). Elles s'etendent desormais a la transparence des modeles, a la classification des risques et a la traçabilite des decisions automatisees.

Beaucoup de PME que nous accompagnons abordent l'IA en pensant qu'elles sont trop petites pour etre concernees. C'est faux. Le RGPD s'applique des la premiere donnee personnelle traitee, et l'AI Act s'applique meme aux PME qui deploient (pas seulement creent) des systemes d'IA.

Les 4 risques principaux

1. Les fuites de donnees vers les modeles publics

C'est le risque numero un et le plus mal compris. Quand un collaborateur copie-colle un document client dans ChatGPT, ces donnees peuvent etre utilisees pour entrainer le modele (selon les CGV du fournisseur) ou simplement etre stockees plusieurs jours. Si le document contient des donnees personnelles ou strategiques, vous avez possiblement enfreint :

  • Le RGPD (transfert vers un sous-traitant non encadre)
  • Vos engagements contractuels avec vos clients (clauses de confidentialite)
  • Le secret professionnel (juridique, medical)

2. Les decisions automatisees non transparentes

Si votre IA prend des decisions concernant des personnes (tri de CV, scoring credit, refus d'un service client), vous etes soumis a l'article 22 du RGPD qui impose :

  • Le droit de savoir qu'une decision est automatisee
  • Le droit a l'intervention humaine
  • Le droit de contester la decision

Concretement : un agent IA qui ferme un dossier prospect parce qu'il n'a pas le bon profil peut vous valoir un signalement CNIL.

3. La conservation excessive

Les outils d'IA conservent souvent les conversations, les documents, les inputs. Si ces donnees ne sont pas nettoyees apres traitement, vous accumulez sans le savoir une masse de donnees personnelles, ce qui contrevient au principe de minimisation du RGPD.

4. Les biais discriminatoires

Un modele d'IA peut reproduire ou amplifier des biais sur le genre, l'origine, l'age. Si ces biais affectent des decisions concernant des personnes, vous tombez sous le coup du droit de la non-discrimination, en plus du RGPD.

Les bonnes pratiques operationnelles

Choisir des outils enterprise-grade

Tous les fournisseurs majeurs proposent des versions entreprise avec garanties contractuelles : pas d'utilisation des donnees pour l'entrainement, conservation limitee, hebergement UE :

  • OpenAI : ChatGPT Team / Enterprise (data non-trainee, retention 30j max)
  • Anthropic : Claude for Work (data non-trainee, retention 30j max)
  • Microsoft : Copilot for Microsoft 365 (data dans votre tenant)
  • Google : Gemini for Workspace (idem)

Le surcout par rapport au grand public est de l'ordre de 20-40 EUR par utilisateur et par mois. C'est l'investissement minimum pour rester conforme.

Cartographier les traitements

Avant de deployer un cas d'usage IA, vous devez :

  1. Identifier les categories de donnees impliquees (personnelles ou non, sensibles ou non)
  2. Definir la finalite et la duree de conservation
  3. Identifier les sous-traitants (le fournisseur d'IA en est un)
  4. Mesurer le risque (analyse d'impact AIPD si necessaire)

Cette cartographie alimente votre registre des traitements, obligatoire des 250 salaries et fortement recommande en-dessous.

Anonymiser ou pseudonymiser

Avant d'envoyer un document a un modele d'IA, retirez ou remplacez les donnees identifiantes. Des outils existent pour le faire automatiquement (Microsoft Presidio, AWS Comprehend, ou des regex maison). Une simple regle d'equipe jamais de noms ou de numeros de tel dans ChatGPT couvre 80% du risque.

Garder l'humain dans la boucle

Pour toute decision concernant une personne, l'IA doit etre une aide a la decision, pas le decisionnaire. Documenter cette regle, la former, et l'appliquer dans les outils (validation manuelle obligatoire avant action).

Auditer regulierement

Une fois par trimestre :

  • Lister les outils d'IA utilises et par qui
  • Verifier les politiques de conservation activees
  • Analyser les logs (qui a envoye quoi)
  • Mettre a jour le registre des traitements

L'AI Act : ce qui change en 2026

L'AI Act classe les systemes d'IA en 4 niveaux de risque. Pour une PME, les categories pertinentes sont :

  • Risque inacceptable : interdit (notation sociale, manipulation cognitive). Vous n'etes probablement pas concerne.
  • Risque eleve : obligations fortes (RH, education, services essentiels). Documentation exhaustive, surveillance humaine, traçabilite.
  • Risque limite : obligations de transparence (chatbots, deepfakes). Indiquer a l'utilisateur qu'il interagit avec une IA.
  • Risque minimal : pas d'obligation specifique (la majorite des cas d'usage PME).

Le calendrier d'entree en vigueur est etale jusqu'a fin 2026. Pas de panique, mais commencez a vous mettre en conformite des maintenant si vous avez des cas d'usage RH ou client.

En resume

Le RGPD et l'AI Act ne sont pas des blocages a l'IA. Ce sont des cadres qui, bien appliques, renforcent la confiance de vos clients, partenaires et collaborateurs. Les PME qui anticipent en sortent plus solides : elles ont les bons contrats, les bons outils, les bons reflexes.

A l'inverse, les PME qui bricolent avec ChatGPT grand public et des donnees clients prennent un risque majeur, dont elles ne mesurent pas l'ampleur tant qu'un incident ne survient pas.

Notre diagnostic DSIA-Conseil inclut une analyse de conformite IA-RGPD, vous repartez avec un audit clair et une feuille de route de mise en conformite.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus de publications