Utiliser ChatGPT ou Claude avec des données personnelles déclenche immédiatement des obligations RGPD. Le sujet n'est ni infaisable ni anodin : c'est une question de cadrage. Voici les règles à connaître, les pièges à éviter et la stack conforme à déployer en 2026.
1. Ce que dit le RGPD appliqué à l'IA
Le RGPD ne mentionne pas explicitement les LLM, mais il s'applique à tout traitement de données personnelles. Trois principes fondamentaux structurent la conformité :
- Minimisation : ne fournir à l'IA que ce qui est strictement nécessaire.
- Finalité limitée : ne pas réutiliser les données pour un objectif autre que la collecte.
- Durée de conservation : ne pas garder indéfiniment les historiques de conversations.
2. Que font vos données dans ChatGPT, Claude, Gemini ?
- Versions grand public (gratuites ou Plus/Pro individuelles) : vos prompts peuvent être utilisés pour améliorer les modèles. Aucune donnée client, RH ou financière sensible.
- Versions entreprise (ChatGPT Business, Claude Team / Enterprise, Gemini Enterprise) : pas de réutilisation pour l'entraînement, isolation, journaux d'accès, contrat DPA.
Gratuit ou perso → données publiques uniquement. Entreprise avec DPA signé → utilisable pour les usages pro sous paramétrage adéquat.
3. L'AI Act européen : ce qui change concrètement
Entré en vigueur le 1er août 2024, l'AI Act classe les systèmes IA par niveau de risque :
- Risque inacceptable (interdit) : notation sociale, manipulation comportementale.
- Risque élevé : recrutement, octroi de crédit, notation d'employés. Obligations strictes (documentation, supervision, audit).
- Risque limité : chatbots, assistants. Obligation de transparence (informer l'utilisateur).
- Risque minimal : rédaction, analyse, support. Obligations légères.
On est en risque limité ou minimal. Les vraies obligations : registre IA, transparence, formation des utilisateurs.
4. Les 6 bonnes pratiques à mettre en place
- Désigner un référent IA (RH, juridique ou DSI). Souvent le DPO existant.
- Tenir un registre des outils IA : nom, fournisseur, usage, niveau de conformité.
- Choisir des fournisseurs avec DPA conforme (Data Processing Agreement signé).
- Former les équipes aux règles de base : ne jamais saisir de donnée client sensible dans une version gratuite.
- Mentionner l'usage IA dans les conditions générales et les mentions légales.
- Mener un DPIA (analyse d'impact) si le cas d'usage est à risque élevé.
5. Qui est responsable en cas de fuite ?
Vous, en tant que responsable de traitement. Même si la fuite vient du sous-traitant IA, le client final se retournera contre votre entreprise. C'est pourquoi le contrat de sous-traitance et l'audit sécurité sont critiques avant tout déploiement à grande échelle.
6. Conclusion : RGPD et IA sont compatibles, à condition de cadrer
RGPD et AI Act sont complémentaires, pas contradictoires. La majorité des cas d'usage IA en entreprise peuvent être conformes avec un cadrage juridique standard. Le vrai risque, c'est l'absence de gouvernance : collaborateurs qui mettent du contrat client dans ChatGPT gratuit, sans cadre, sans formation.
Pour évaluer votre conformité actuelle et déployer un cadre IA solide, c'est exactement l'objet de notre audit IA.
