Pilier · IA opérationnelle

IA et RGPD : ce que vous avez le droit de faire (et ce qui peut vous coûter cher).

Publié le 16 avril 2026·7 min de lecture·Par Frédéric Ribes

L'IA a multiplié les usages… et les risques RGPD. La CNIL a publié en 2024 ses lignes directrices IA, l'AI Act européen entre en vigueur par phases jusqu'en 2027. Voici, sans jargon, ce que vous avez le droit de faire et ce qui peut vous coûter cher.

🤖 IA opérationnelle · Digitalchimist
Document juridique RGPD posé sur un ordinateur portable avec un tampon de conformité jaune

01Le vrai niveau de risque pour une PME

Parlons franchement. Le risque d'un gros contrôle CNIL sur une PME qui utilise ChatGPT pour rédiger des emails est faible. Mais il existe, et deux scénarios le font exploser :

Le bon réflexe : se mettre à niveau proportionnellement. Pas besoin d'un DPO à temps plein pour une PME de 15 personnes. Besoin impératif de 3 choses : contrats à jour, charte IA interne, et catégorisation claire des données.

02Pourquoi le ChatGPT gratuit est un piège

ChatGPT gratuit, Claude gratuit, Mistral Le Chat gratuit : tous ces services utilisent vos prompts pour entraîner leurs modèles, sauf à changer l'option dans les paramètres (et même là, ce n'est pas garanti sur la durée).

Problème : si un collaborateur colle un email client contenant des données personnelles, ça part en apprentissage. Vous êtes en infraction, et vous ne pouvez pas le justifier en contrôle.

Solution simple : passer sur des plans payants avec clauses "no training on your data" :

Action immédiate. Si votre équipe utilise des comptes gratuits en 2026, vous êtes dans le rouge. Budget minimum : 20-25 € / utilisateur / mois. ROI : il est infini si ça évite un contrôle.

03Les contrats IA à signer

Pour chaque outil IA utilisé traitant des données personnelles, vous devez signer un DPA (Data Processing Agreement). C'est le contrat qui encadre le traitement.

Disponibilité :

Action : signer les DPA pour les outils IA utilisés. Temps : 30 min par outil.

04Qu'est-ce qu'on peut donner à l'IA ?

Règle de catégorisation simple :

Type de donnéeRègle
Donnée publique (nom d'entreprise, site, produit)OK sur n'importe quel outil
Donnée interne non sensible (compte-rendu réunion générique)OK sur outils payants avec DPA
Donnée personnelle client / salarié (nom, email, téléphone)OK seulement si DPA signé + option no-training activée
Donnée sensible (santé, biométrie, juridique sensible)Outils souverains (Mistral on-prem) ou interdiction totale
Donnée stratégique (contrats en cours, stratégie commerciale)Prudence extrême, privilégier Mistral ou Claude Enterprise

05Cadrer l'usage de l'équipe (charte IA)

Une charte IA interne tient en 1 page. Elle liste :

La charte est signée par chaque collaborateur à l'onboarding (et mise à jour annuellement).

06Le plan d'action conformité en 7 étapes

  1. Cartographier les outils IA utilisés (sondage équipe, 30 min)
  2. Fermer les comptes gratuits sur outils à risque
  3. Basculer sur plans payants avec DPA
  4. Signer les DPA (30 min par outil)
  5. Rédiger la charte IA interne (1 page, 1h avec juriste)
  6. Former l'équipe (1h sur les bonnes pratiques)
  7. Revue annuelle + mise à jour charte + registre des traitements

Coût total pour une PME de 20 personnes : 300-500 €/mois récurrents (outils payants) + 2 000-4 000 € one-shot (juriste + formation).

Questions fréquentes

Que dit le RGPD sur l'utilisation de l'IA générative en entreprise ?

Le RGPD encadre — il n'interdit pas. Mais il impose DPA, base légale, minimisation, registre.

Le RGPD (Règlement Général sur la Protection des Données) n'interdit pas l'IA générative : il l'encadre. 4 obligations principales : signer un DPA (Data Processing Agreement) avec chaque fournisseur d'IA utilisé — ChatGPT Team, Claude for Work, Mistral Pro l'incluent. Avoir une base légale pour le traitement (consentement, contrat, intérêt légitime). Respecter la minimisation — ne pas envoyer à l'IA plus de données que nécessaire. Inscrire le traitement dans votre registre RGPD. L'AI Act européen (2024-2027) ajoute des obligations selon le niveau de risque du système IA.

Une PME peut-elle se faire contrôler par la CNIL pour son usage de l'IA ?

Oui, c'est rare mais ça arrive — surtout sur plainte d'un salarié, client ou concurrent.

Les contrôles CNIL spontanés sur les PME restent rares : la CNIL priorise les gros acteurs et les secteurs sensibles. Mais les contrôles sur plainte sont fréquents : un salarié mécontent, un client qui découvre une donnée mal traitée, un concurrent malveillant. Dans ce cas, vous devez prouver votre conformité en 72 h. Sans documentation minimale (DPA, charte IA interne, registre), les sanctions peuvent aller jusqu'à 4 % du CA annuel. La meilleure défense : une documentation simple mais systématique, mise à jour annuellement. Budget minimum : 2-4 K€ one-shot + 1-2 K€/an de maintenance.

Qu'est-ce qu'un DPA (Data Processing Agreement) et où le trouver ?

Un contrat qui encadre comment le fournisseur traite vos données. Disponible dans les espaces admin des plans payants.

Le DPA est le contrat de sous-traitance de données entre votre entreprise et le fournisseur IA. Il définit : les données traitées, les finalités, la durée, les sous-traitants éventuels, les droits des personnes concernées, les mesures de sécurité. Tous les plans payants des leaders incluent un DPA signable : ChatGPT Team/Enterprise (via espace admin OpenAI) ; Claude for Work (inclus dans le contrat Teams/Enterprise) ; Mistral Le Chat Pro/Enterprise (DPA natif avec hébergement EU) ; Google Workspace (DPA via admin Workspace). Temps de signature : 30 min par fournisseur. Action à faire immédiatement si pas déjà fait.

Quelles données peut-on envoyer à ChatGPT sans risque RGPD ?

Données publiques ou internes non sensibles, à condition d'être sur un plan payant avec DPA.

Catégorisation claire : Données publiques (nom entreprise, site, produits) — OK sur n'importe quel plan. Données internes non sensibles (CR réunion générique, notes de travail) — OK sur plan payant avec DPA. Données personnelles clients/salariés (noms, emails, téléphones) — OK uniquement avec DPA + option "no training" + base légale documentée. Données sensibles (santé, biométrie, juridique confidentiel) — éviter les IA cloud générales, préférer Mistral on-prem ou solutions dédiées. Données stratégiques (contrats en cours, stratégie commerciale, innovations) — prudence extrême, Mistral EU ou Claude Enterprise recommandés.

Faut-il un DPO (Délégué à la Protection des Données) en PME pour utiliser l'IA ?

Pas systématiquement. Obligatoire si traitement régulier de données sensibles ou surveillance systématique à grande échelle.

Le DPO est obligatoire si : autorité publique, ou activité principale consistant en un traitement à grande échelle de données sensibles, ou suivi systématique à grande échelle. Pour une PME de 20-80 salariés classique, pas obligatoire — mais recommandé. Options : DPO interne (0,2-0,5 ETP), DPO externe mutualisé (2 000-4 000 €/an), référent RGPD interne sans titre DPO (0 €, rôle informel). Le référent interne suffit pour 80 % des PME, tant qu'il existe vraiment et qu'il est formé.

Qu'est-ce que l'AI Act européen et quand s'applique-t-il aux PME ?

Règlement européen qui encadre l'IA par niveau de risque. Entrée en vigueur par phases 2024-2027.

L'AI Act classe les systèmes IA en 4 niveaux : interdits (scoring social, manipulation cognitive), haut risque (RH, crédit, éducation, santé), risque limité (chatbots, deepfakes), risque minimal (filtres spam, moteurs de recommandation). Pour une PME qui utilise ChatGPT/Claude pour rédaction d'emails et résumés : risque minimal, obligations légères (transparence). Pour une PME qui utilise l'IA en RH (tri CV, évaluation) : haut risque, obligations lourdes (évaluation conformité, registre, documentation technique). Scanner vos usages selon la grille d'ici 2027.

Combien coûte la mise en conformité RGPD pour l'usage de l'IA en PME ?

2 000 à 4 000 € one-shot + 1 000-2 000 €/an de maintenance pour une PME 10-80 salariés.

Coûts typiques de mise en conformité : Juriste RGPD externe 1-3 jours de mission (1 500-3 500 €) pour rédaction charte IA interne, mise à jour registre des traitements, revue des DPA signés. Formation équipe 2 h (500-1 000 €). Maintenance annuelle 0,5-1 jour (750-1 500 €) pour revue annuelle + mise à jour. Total first year : 2 500-5 000 €. ROI : infini si ça évite un contrôle CNIL sanctionné (jusqu'à 4 % du CA annuel) ou un incident data (coût moyen PME : 80-200 K€).

Comment rédiger une charte IA interne pour son entreprise ?

Document d'une page : outils autorisés, données permises, données interdites, sortie humaine obligatoire.

Structure type d'une charte IA interne d'une page : Outils autorisés (liste nominative avec comptes pro obligatoires) ; Ce qui est permis (rédaction, analyse, traduction, résumé, brainstorming) ; Ce qui est interdit (données clients en clair, données RH sensibles, stratégie commerciale, mots de passe) ; Relecture obligatoire avant toute sortie externe ; Point de contact en cas de doute (DPO, dirigeant, référent) ; Signature annuelle par chaque collaborateur. Rédaction : 1 h avec un juriste ou un template. Diffusion : onboarding + rappel trimestriel.

Les plans gratuits de ChatGPT et Claude peuvent-ils être utilisés pour des usages professionnels ?

Non pour données sensibles ou professionnelles. Les plans gratuits utilisent vos prompts pour entraîner les modèles.

Les plans gratuits (ChatGPT Free, Claude Free, Gemini Free, Mistral Le Chat gratuit) utilisent par défaut vos prompts pour entraîner les modèles futurs — sauf à modifier les paramètres, et même là, ce n'est pas garanti sur la durée. Un collaborateur qui colle un email client, extrait de contrat, ou notes internes = fuite potentielle de données. Infraction RGPD si données personnelles envoyées, sans pouvoir le justifier. Mise en conformité : ChatGPT Team/Enterprise, Claude for Work, Mistral Pro. Budget additionnel : 250-400 €/mois pour une PME 20 pers. ROI : infini si évite un contrôle CNIL ou incident.

Que se passe-t-il en cas de fuite de données via un outil d'IA ?

Notification CNIL obligatoire sous 72 h si données personnelles. Sanctions jusqu'à 4 % du CA annuel.

Procédure en cas d'incident : notification à la CNIL dans les 72 h si incident affectant des données personnelles (article 33 RGPD). Notification aux personnes concernées si risque élevé pour leurs droits. Enquête interne pour identifier la cause et prévenir la récidive. Documentation de l'incident dans un registre dédié. Sanctions possibles de la CNIL : jusqu'à 4 % du CA annuel mondial (ou 20 M€, le plus élevé). Coût moyen d'un incident PME en France : 80-200 K€ (enquête, notification, juristes, communication, perte de confiance clients, éventuelle sanction). Mieux vaut prévenir.

Mise en conformité IA / RGPD en PME.

45 minutes avec Frédéric Ribes pour cartographier vos outils, identifier les risques et prioriser les actions. Audit offert.

Réserver mon audit stratégique →