Masteria, Centre de formation IA certifié Qualiopi
Certifié QualiopiFrance · Suisse · Belgique
Conformité RGPD de vos usages d'IA

IA et RGPD
mettre vos usages et vos outils en conformité

Par Mathias Nizan, fondateur de Masteria · Mis à jour en juillet 2026

Le RGPD n'interdit aucun outil d'intelligence artificielle. Il impose de savoir quelles données partent où, sous quelles garanties contractuelles et pour quelle finalité. La conformité d'un usage d'IA se joue dans l'offre souscrite, le contrat de traitement des données et le paramétrage. Masteria audite vos flux et forme vos équipes.

Copilotes bureautiques, assistants IA, agents connectés au CRM : chaque usage fait circuler des données, parfois personnelles, vers un fournisseur. Cette page traite l'intelligence artificielle et le RGPD sous l'angle opérationnel : les principes appliqués à vos usages, ce qui rend les outils IA conformes au RGPD en offre entreprise, et la méthode de mise en conformité, avec les repères publiés par la CNIL.

RGPD & bases légalesCartographie des flux de donnéesAIPD & registre des traitementsCharte & politique de données
En bref
La règle
Le RGPD encadre tout traitement de données personnelles, y compris par un outil d'IA : base légale, finalité, minimisation, information des personnes, sécurité
Le point clé
Aucun outil n'est conforme « en soi » : la conformité dépend de l'offre souscrite (grand public ou entreprise), du DPA signé avec l'éditeur et du paramétrage
AIPD
Analyse d'impact requise quand le traitement présente un risque élevé pour les droits et libertés des personnes, un cas fréquent sur les projets d'IA
Ce que nous faisons
Conseil data & IA : audit des flux, qualification des traitements, mise en conformité (prestation de service, non finançable OPCO). Formations certifiées Qualiopi, finançables
Sources
CNIL (dossier intelligence artificielle), RGPD (Règlement UE 2016/679), AI Act (Règlement UE 2024/1689)
Zone
Lyon, France, Suisse, Belgique · distanciel et présentiel
Principes RGPD appliqués à l'IA

Utiliser l'IA est-il compatible avec le RGPD ?

Oui, à condition de traiter chaque usage d'IA comme un traitement de données. Dès qu'un outil d'IA reçoit des données de clients, de salariés ou de candidats, le RGPD s'applique : l'usage doit reposer sur une base légale, servir une finalité déterminée et offrir des garanties de sécurité proportionnées.

Six principes du règlement structurent la conformité d'un usage d'IA. Ils s'appliquent au copilote bureautique comme à l'agent connecté à vos systèmes, en interne comme chez vos sous-traitants.

Base légale et finalité

Chaque usage d'IA qui traite des données personnelles repose sur une base légale (intérêt légitime, contrat, consentement) et sert une finalité déterminée, explicite et documentée. Un assistant déployé « pour tout faire » n'a pas de finalité au sens du RGPD : le registre précise qui utilise quoi, pour quoi faire.

Minimisation des données

Seules les données nécessaires à la finalité entrent dans l'outil. Concrètement : pas de fichier client complet dans un prompt quand un extrait anonymisé suffit, pas de données sensibles hors des outils validés pour les recevoir.

Information des personnes

Clients, salariés et candidats dont les données sont traitées par un outil d'IA en sont informés : mentions d'information, politique de confidentialité, communication interne. La transparence fait partie des obligations du règlement.

Droits d'accès et d'opposition

Les personnes conservent leurs droits sur les données traitées par l'IA : accès, rectification, effacement, opposition. L'organisation doit pouvoir répondre à une demande d'exercice de droits même quand les données ont transité par un outil tiers.

Durée de conservation

Les données envoyées à un outil d'IA ont une durée de vie : historique des conversations, journaux, données de contexte. Les réglages de rétention des offres entreprise permettent de la maîtriser ; ils font partie du paramétrage de conformité.

Sécurité des traitements

Chiffrement, contrôle des accès, cloisonnement des espaces de travail : la sécurité exigée par l'article 32 du RGPD s'applique aux flux qui partent vers l'outil d'IA comme aux données qui en reviennent.

Ces principes se déclinent outil par outil et usage par usage. Notre conseil data & IA audite vos flux de données et met chaque traitement en conformité ; la charte IA traduit ensuite ces règles en consignes claires pour les équipes.

Analyse d'impact

Quand faut-il une AIPD pour un projet d'IA ?

Une AIPD (analyse d'impact relative à la protection des données) est requise quand le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Pour un projet d'IA, ce seuil est vite atteint : données sensibles ou traitées à grande échelle, évaluation ou notation de personnes, décision automatisée, croisement de bases de données.

La CNIL publie la liste des critères qui déclenchent l'obligation. Un outil qui reformule des notes internes sans données personnelles reste en dessous du seuil ; un outil de tri de candidatures ou de scoring client le franchit presque toujours. L'AIPD décrit le traitement, évalue sa nécessité et sa proportionnalité, identifie les risques pour les personnes et les mesures prévues pour les réduire. Menée en amont avec le DPO, elle évite de découvrir un blocage après le déploiement.

Le croisement avec l'AI Act renforce l'exercice : un usage classé à haut risque par le règlement européen sur l'IA (recrutement, accès à des services essentiels, éducation) coche presque toujours les critères de l'AIPD côté RGPD. Les deux analyses se mènent utilement ensemble ; nos audits de flux incluent cette qualification, traitement par traitement.

Outils IA conformes RGPD

Quel outil d'IA est conforme au RGPD ?

Aucun outil d'IA n'est conforme au RGPD « en soi ». La conformité tient à l'offre souscrite (grand public ou entreprise), au contrat de traitement des données (DPA) signé avec l'éditeur et au paramétrage retenu. Les cinq grands éditeurs proposent une offre entreprise avec DPA et engagement de non-entraînement des modèles sur les données clients par défaut ; les versions grand public gratuites offrent moins de garanties.

Le tableau résume, pour chaque outil, les garanties disponibles en offre entreprise, les points à vérifier avant de souscrire et la page officielle où le faire. Il ne classe pas les éditeurs : à ce niveau de généralité, les cinq répondent aux exigences du RGPD dès lors que l'offre, le contrat et le paramétrage suivent.

OutilPoints forts côté données en offre entrepriseCe qu'il faut vérifier avant de souscrireOù le vérifier
ChatGPT (OpenAI)Offre entreprise avec accord de traitement des données (DPA) ; vos données ne servent pas à entraîner les modèles par défaut. Réglages d'administration et de rétention des conversations.L'offre réellement utilisée par vos équipes, la version grand public gratuite offrant moins de garanties que l'offre entreprise. La signature du DPA et les réglages de rétention appliqués à votre espace.Enterprise privacy (OpenAI)
Microsoft CopilotS'inscrit dans le périmètre contractuel Microsoft 365 : le DPA et les engagements de traitement des données du contrat existant couvrent Copilot, entraînement des modèles sur vos contenus exclu par défaut.La distinction entre Copilot Microsoft 365 et les versions grand public. Le périmètre des droits d'accès internes, qui conditionne les contenus que l'outil peut lire pour chaque utilisateur.Microsoft Trust Center
Google GeminiS'inscrit dans le périmètre contractuel Google Workspace, avec accord de traitement des données ; dans ce cadre, les contenus de votre domaine ne sont pas utilisés pour entraîner les modèles.La distinction entre Gemini activé par une licence Google Workspace et l'application grand public. Les conditions applicables aux services activés pour votre domaine.Sécurité Google Workspace
Claude (Anthropic)Offre entreprise avec accord de traitement des données (DPA), sans entraînement des modèles sur vos données par défaut. Administration centralisée des espaces de travail.L'offre exacte souscrite, la signature du DPA pour votre organisation et les réglages de rétention appliqués aux espaces de travail.Trust Center (Anthropic)
Mistral AIActeur européen avec hébergement en Europe. Offre entreprise avec accord de traitement des données (DPA) et mêmes garanties de non-entraînement par défaut.L'offre souscrite et les conditions d'hébergement qui s'y rattachent, précisées dans le contrat et la documentation de l'éditeur.Conditions et DPA (Mistral AI)

Synthèse indicative vérifiée en juillet 2026 : les conditions évoluent, référez-vous au contrat et à la documentation de l'éditeur.

Méthode

Comment mettre vos usages d'IA en conformité RGPD ?

La mise en conformité RGPD des usages d'IA suit cinq étapes : recenser les usages et les données qui y circulent, qualifier chaque traitement (base légale, finalité, AIPD quand le risque est élevé), choisir l'offre et le paramétrage adaptés, encadrer les pratiques par une charte et une politique de données, puis documenter et réviser à mesure que les usages évoluent.

L'ordre compte : le choix de l'offre et du paramétrage découle de la qualification des traitements. Recenser d'abord évite de sécuriser un périmètre incomplet.

Recenser les usages et les données

Inventaire des outils d'IA utilisés, y compris ceux adoptés par les équipes hors du cadre officiel, et des données qui y circulent : clients, salariés, candidats, partenaires. Cette cartographie des flux révèle souvent des usages que la direction ne connaissait pas.

Qualifier chaque traitement

Pour chaque usage : base légale, finalité, catégories de données, destinataires, durée de conservation. Les traitements à risque élevé déclenchent une AIPD. Cette qualification alimente le registre des traitements exigé par le RGPD.

Choisir l'offre et le paramétrage

Sélection de l'offre adaptée aux données en jeu (offre entreprise avec DPA dès que des données personnelles circulent), signature du contrat de traitement des données, réglages de rétention, d'accès et de cloisonnement. C'est l'étape qui rend un outil conforme pour vos usages.

Encadrer par la charte et la politique de données

La charte IA fixe ce que chacun peut mettre dans quel outil ; la politique de données précise les règles de circulation vers les fournisseurs. Les équipes savent quoi faire et la conformité tient au quotidien.

Documenter et réviser

Registre à jour, AIPD conservées, information des personnes vérifiable. Les usages d'IA évoluent vite : une revue périodique intègre les nouveaux outils, les nouveaux usages des équipes et les changements de conditions des éditeurs.

Masteria mène cette démarche dans le cadre de son conseil data & IA. Pour situer votre point de départ, le diagnostic IA cadre la maturité de l'organisation, conformité des données comprise. Le dispositif d'ensemble (registre, comité, politique IA) relève de la gouvernance de l'IA.

Repères réglementaires

Ce que dit la CNIL sur l'IA

La CNIL publie des recommandations sur l'application du RGPD aux systèmes d'intelligence artificielle : fiches pratiques, dossier dédié et réponses aux questions des responsables de traitement. Le RGPD s'applique à tout traitement de données personnelles, y compris par un système d'IA, depuis le 25 mai 2018.

La CNIL publie des recommandations sur l’IA

Le dossier intelligence artificielle de la CNIL rassemble fiches pratiques et recommandations pour appliquer le RGPD aux systèmes d'IA : constitution des bases de données d'entraînement, information des personnes, exercice des droits.

Source : CNIL, dossier intelligence artificielle

Le RGPD s'applique à l'IA depuis 2018

En application depuis le 25 mai 2018, le RGPD encadre tout traitement de données personnelles, y compris quand ce traitement passe par un système d'IA, un modèle ou un outil tiers.

Source : CNIL

L'AI Act complète le RGPD

L'AI Act (Règlement UE 2024/1689) complète le RGPD, chacun couvre son périmètre : l'AI Act classe les systèmes d'IA par niveau de risque, le RGPD encadre les traitements de données personnelles.

Source : EUR-Lex, Règlement (UE) 2024/1689

Définitions clés

RGPD
Règlement général sur la protection des données (Règlement UE 2016/679), en application depuis le 25 mai 2018. Il encadre tout traitement de données personnelles dans l'Union européenne, y compris par un système d'IA.
AIPD
Analyse d'impact relative à la protection des données. Obligatoire quand un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, un cas fréquent sur les projets d'IA.
DPA (accord de traitement des données)
Data Processing Agreement : le contrat prévu par l'article 28 du RGPD entre le responsable de traitement et son sous-traitant. Avec un éditeur d'IA, il fixe le sort des données envoyées à l'outil : usages autorisés, sécurité, sous-traitants ultérieurs, sort des données en fin de contrat.
Base légale
Fondement juridique qui autorise un traitement de données personnelles : consentement, contrat, obligation légale, intérêt légitime, mission d'intérêt public ou sauvegarde des intérêts vitaux. Tout usage d'IA sur des données personnelles en requiert une.
Minimisation
Principe du RGPD qui limite la collecte et le traitement aux données nécessaires à la finalité poursuivie. Appliqué à l'IA : seules les données utiles à la tâche entrent dans le prompt ou dans l'outil.

Sources de référence

FAQ

IA et RGPD : les questions fréquentes

Vous ne trouvez pas votre réponse ici ?

Posez-nous votre question
Conseil et formation, distincts

L'audit met vos flux en conformité, la formation rend vos équipes autonomes

La mise en conformité décrite sur cette page relève de notre conseil data & IA : audit des flux de données, qualification des traitements, AIPD, choix des offres et du paramétrage. C'est une prestation de service, non finançable par l'OPCO. La montée en compétences de vos équipes passe par nos formations certifiées Qualiopi, finançables : formation AI Act pour le cadre réglementaire, formations aux outils pour des usages quotidiens respectueux du RGPD.

Ressources

Pour aller plus loin

Explorer nos autres expertises sur les données, la conformité et les outils d'IA.

Conseil

Conseil data & IA

L'audit des flux de données et la mise en conformité RGPD de vos usages d'IA, traitement par traitement.

En savoir plus
Conseil

Gouvernance de l'IA

Le dispositif d'ensemble : registre des usages, politique IA, comité de gouvernance et conformité AI Act.

En savoir plus
Cadre interne

Charte IA en entreprise

Le document qui fixe ce que chacun peut mettre dans quel outil et traduit le RGPD en consignes claires.

En savoir plus
Outils

Sécurité de Claude en entreprise

Les garanties de sécurité et de traitement des données d'un outil d'IA générative, étudiées en détail.

En savoir plus
Formation

Formation AI Act

La montée en compétences de vos équipes sur le règlement européen, certifiée Qualiopi et finançable.

En savoir plus
Offre d'entrée

Diagnostic IA

Le point de départ qui cadre votre maturité IA, conformité et gouvernance des données comprises.

En savoir plus
Le fondateur
Mathias Nizan, fondateur de Masteria

Mathias Nizan

Fondateur de Masteria, cabinet de conseil et développement IA

Mathias Nizan a fondé Masteria en 2022 à Lyon. Cabinet spécialisé uniquement sur l'intelligence artificielle et indépendant des éditeurs, Masteria a formé plus de 1 500 professionnels et accompagne PME, ETI et grands groupes, du cadrage stratégique au développement des solutions sur mesure, en France, en Suisse et en Belgique.

« L'intelligence artificielle ne remplace pas les humains. Elle décuple leur potentiel. »

Spécialiste IA depuis 2022 +1 500 professionnels formés Cabinet indépendant des éditeurs Lyon · France · Suisse · Belgique LinkedIn

Mettez vos usages d'IA en conformité RGPD

Décrivez-nous vos outils d'IA en place et les données qu'ils touchent. Nous revenons vers vous sous 24 heures avec une première lecture de vos flux : offres à vérifier, traitements à qualifier, AIPD éventuelles, priorités. Vous repartez avec une vision claire de vos chantiers de conformité.

Auditer vos usages d'IA

Réponse sous 24 h · Audit des flux, AIPD, DPA · RGPD & AI Act · Lyon, France, Suisse, Belgique

Sources et références officielles

Pour vérifier nos engagements (certification qualité, financement) et approfondir l'outil concerné :