Utiliser l'IA est-il compatible avec le RGPD ?
Oui, à condition de traiter chaque usage d'IA comme un traitement de données. Dès qu'un outil d'IA reçoit des données de clients, de salariés ou de candidats, le RGPD s'applique : l'usage doit reposer sur une base légale, servir une finalité déterminée et offrir des garanties de sécurité proportionnées.
Six principes du règlement structurent la conformité d'un usage d'IA. Ils s'appliquent au copilote bureautique comme à l'agent connecté à vos systèmes, en interne comme chez vos sous-traitants.
Base légale et finalité
Chaque usage d'IA qui traite des données personnelles repose sur une base légale (intérêt légitime, contrat, consentement) et sert une finalité déterminée, explicite et documentée. Un assistant déployé « pour tout faire » n'a pas de finalité au sens du RGPD : le registre précise qui utilise quoi, pour quoi faire.
Minimisation des données
Seules les données nécessaires à la finalité entrent dans l'outil. Concrètement : pas de fichier client complet dans un prompt quand un extrait anonymisé suffit, pas de données sensibles hors des outils validés pour les recevoir.
Information des personnes
Clients, salariés et candidats dont les données sont traitées par un outil d'IA en sont informés : mentions d'information, politique de confidentialité, communication interne. La transparence fait partie des obligations du règlement.
Droits d'accès et d'opposition
Les personnes conservent leurs droits sur les données traitées par l'IA : accès, rectification, effacement, opposition. L'organisation doit pouvoir répondre à une demande d'exercice de droits même quand les données ont transité par un outil tiers.
Durée de conservation
Les données envoyées à un outil d'IA ont une durée de vie : historique des conversations, journaux, données de contexte. Les réglages de rétention des offres entreprise permettent de la maîtriser ; ils font partie du paramétrage de conformité.
Sécurité des traitements
Chiffrement, contrôle des accès, cloisonnement des espaces de travail : la sécurité exigée par l'article 32 du RGPD s'applique aux flux qui partent vers l'outil d'IA comme aux données qui en reviennent.
Ces principes se déclinent outil par outil et usage par usage. Notre conseil data & IA audite vos flux de données et met chaque traitement en conformité ; la charte IA traduit ensuite ces règles en consignes claires pour les équipes.
Quand faut-il une AIPD pour un projet d'IA ?
Une AIPD (analyse d'impact relative à la protection des données) est requise quand le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Pour un projet d'IA, ce seuil est vite atteint : données sensibles ou traitées à grande échelle, évaluation ou notation de personnes, décision automatisée, croisement de bases de données.
La CNIL publie la liste des critères qui déclenchent l'obligation. Un outil qui reformule des notes internes sans données personnelles reste en dessous du seuil ; un outil de tri de candidatures ou de scoring client le franchit presque toujours. L'AIPD décrit le traitement, évalue sa nécessité et sa proportionnalité, identifie les risques pour les personnes et les mesures prévues pour les réduire. Menée en amont avec le DPO, elle évite de découvrir un blocage après le déploiement.
Le croisement avec l'AI Act renforce l'exercice : un usage classé à haut risque par le règlement européen sur l'IA (recrutement, accès à des services essentiels, éducation) coche presque toujours les critères de l'AIPD côté RGPD. Les deux analyses se mènent utilement ensemble ; nos audits de flux incluent cette qualification, traitement par traitement.
Quel outil d'IA est conforme au RGPD ?
Aucun outil d'IA n'est conforme au RGPD « en soi ». La conformité tient à l'offre souscrite (grand public ou entreprise), au contrat de traitement des données (DPA) signé avec l'éditeur et au paramétrage retenu. Les cinq grands éditeurs proposent une offre entreprise avec DPA et engagement de non-entraînement des modèles sur les données clients par défaut ; les versions grand public gratuites offrent moins de garanties.
Le tableau résume, pour chaque outil, les garanties disponibles en offre entreprise, les points à vérifier avant de souscrire et la page officielle où le faire. Il ne classe pas les éditeurs : à ce niveau de généralité, les cinq répondent aux exigences du RGPD dès lors que l'offre, le contrat et le paramétrage suivent.
| Outil | Points forts côté données en offre entreprise | Ce qu'il faut vérifier avant de souscrire | Où le vérifier |
|---|---|---|---|
| ChatGPT (OpenAI) | Offre entreprise avec accord de traitement des données (DPA) ; vos données ne servent pas à entraîner les modèles par défaut. Réglages d'administration et de rétention des conversations. | L'offre réellement utilisée par vos équipes, la version grand public gratuite offrant moins de garanties que l'offre entreprise. La signature du DPA et les réglages de rétention appliqués à votre espace. | Enterprise privacy (OpenAI) |
| Microsoft Copilot | S'inscrit dans le périmètre contractuel Microsoft 365 : le DPA et les engagements de traitement des données du contrat existant couvrent Copilot, entraînement des modèles sur vos contenus exclu par défaut. | La distinction entre Copilot Microsoft 365 et les versions grand public. Le périmètre des droits d'accès internes, qui conditionne les contenus que l'outil peut lire pour chaque utilisateur. | Microsoft Trust Center |
| Google Gemini | S'inscrit dans le périmètre contractuel Google Workspace, avec accord de traitement des données ; dans ce cadre, les contenus de votre domaine ne sont pas utilisés pour entraîner les modèles. | La distinction entre Gemini activé par une licence Google Workspace et l'application grand public. Les conditions applicables aux services activés pour votre domaine. | Sécurité Google Workspace |
| Claude (Anthropic) | Offre entreprise avec accord de traitement des données (DPA), sans entraînement des modèles sur vos données par défaut. Administration centralisée des espaces de travail. | L'offre exacte souscrite, la signature du DPA pour votre organisation et les réglages de rétention appliqués aux espaces de travail. | Trust Center (Anthropic) |
| Mistral AI | Acteur européen avec hébergement en Europe. Offre entreprise avec accord de traitement des données (DPA) et mêmes garanties de non-entraînement par défaut. | L'offre souscrite et les conditions d'hébergement qui s'y rattachent, précisées dans le contrat et la documentation de l'éditeur. | Conditions et DPA (Mistral AI) |
Synthèse indicative vérifiée en juillet 2026 : les conditions évoluent, référez-vous au contrat et à la documentation de l'éditeur.
Comment mettre vos usages d'IA en conformité RGPD ?
La mise en conformité RGPD des usages d'IA suit cinq étapes : recenser les usages et les données qui y circulent, qualifier chaque traitement (base légale, finalité, AIPD quand le risque est élevé), choisir l'offre et le paramétrage adaptés, encadrer les pratiques par une charte et une politique de données, puis documenter et réviser à mesure que les usages évoluent.
L'ordre compte : le choix de l'offre et du paramétrage découle de la qualification des traitements. Recenser d'abord évite de sécuriser un périmètre incomplet.
Recenser les usages et les données
Inventaire des outils d'IA utilisés, y compris ceux adoptés par les équipes hors du cadre officiel, et des données qui y circulent : clients, salariés, candidats, partenaires. Cette cartographie des flux révèle souvent des usages que la direction ne connaissait pas.
Qualifier chaque traitement
Pour chaque usage : base légale, finalité, catégories de données, destinataires, durée de conservation. Les traitements à risque élevé déclenchent une AIPD. Cette qualification alimente le registre des traitements exigé par le RGPD.
Choisir l'offre et le paramétrage
Sélection de l'offre adaptée aux données en jeu (offre entreprise avec DPA dès que des données personnelles circulent), signature du contrat de traitement des données, réglages de rétention, d'accès et de cloisonnement. C'est l'étape qui rend un outil conforme pour vos usages.
Encadrer par la charte et la politique de données
La charte IA fixe ce que chacun peut mettre dans quel outil ; la politique de données précise les règles de circulation vers les fournisseurs. Les équipes savent quoi faire et la conformité tient au quotidien.
Documenter et réviser
Registre à jour, AIPD conservées, information des personnes vérifiable. Les usages d'IA évoluent vite : une revue périodique intègre les nouveaux outils, les nouveaux usages des équipes et les changements de conditions des éditeurs.
Masteria mène cette démarche dans le cadre de son conseil data & IA. Pour situer votre point de départ, le diagnostic IA cadre la maturité de l'organisation, conformité des données comprise. Le dispositif d'ensemble (registre, comité, politique IA) relève de la gouvernance de l'IA.
Ce que dit la CNIL sur l'IA
La CNIL publie des recommandations sur l'application du RGPD aux systèmes d'intelligence artificielle : fiches pratiques, dossier dédié et réponses aux questions des responsables de traitement. Le RGPD s'applique à tout traitement de données personnelles, y compris par un système d'IA, depuis le 25 mai 2018.
La CNIL publie des recommandations sur l’IA
Le dossier intelligence artificielle de la CNIL rassemble fiches pratiques et recommandations pour appliquer le RGPD aux systèmes d'IA : constitution des bases de données d'entraînement, information des personnes, exercice des droits.
Le RGPD s'applique à l'IA depuis 2018
En application depuis le 25 mai 2018, le RGPD encadre tout traitement de données personnelles, y compris quand ce traitement passe par un système d'IA, un modèle ou un outil tiers.
Source : CNIL
L'AI Act complète le RGPD
L'AI Act (Règlement UE 2024/1689) complète le RGPD, chacun couvre son périmètre : l'AI Act classe les systèmes d'IA par niveau de risque, le RGPD encadre les traitements de données personnelles.
Source : EUR-Lex, Règlement (UE) 2024/1689
Définitions clés
- RGPD
- Règlement général sur la protection des données (Règlement UE 2016/679), en application depuis le 25 mai 2018. Il encadre tout traitement de données personnelles dans l'Union européenne, y compris par un système d'IA.
- AIPD
- Analyse d'impact relative à la protection des données. Obligatoire quand un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, un cas fréquent sur les projets d'IA.
- DPA (accord de traitement des données)
- Data Processing Agreement : le contrat prévu par l'article 28 du RGPD entre le responsable de traitement et son sous-traitant. Avec un éditeur d'IA, il fixe le sort des données envoyées à l'outil : usages autorisés, sécurité, sous-traitants ultérieurs, sort des données en fin de contrat.
- Base légale
- Fondement juridique qui autorise un traitement de données personnelles : consentement, contrat, obligation légale, intérêt légitime, mission d'intérêt public ou sauvegarde des intérêts vitaux. Tout usage d'IA sur des données personnelles en requiert une.
- Minimisation
- Principe du RGPD qui limite la collecte et le traitement aux données nécessaires à la finalité poursuivie. Appliqué à l'IA : seules les données utiles à la tâche entrent dans le prompt ou dans l'outil.
Sources de référence
IA et RGPD : les questions fréquentes
Vous ne trouvez pas votre réponse ici ?
Posez-nous votre questionL'audit met vos flux en conformité, la formation rend vos équipes autonomes
La mise en conformité décrite sur cette page relève de notre conseil data & IA : audit des flux de données, qualification des traitements, AIPD, choix des offres et du paramétrage. C'est une prestation de service, non finançable par l'OPCO. La montée en compétences de vos équipes passe par nos formations certifiées Qualiopi, finançables : formation AI Act pour le cadre réglementaire, formations aux outils pour des usages quotidiens respectueux du RGPD.
Pour aller plus loin
Explorer nos autres expertises sur les données, la conformité et les outils d'IA.
Conseil data & IA
L'audit des flux de données et la mise en conformité RGPD de vos usages d'IA, traitement par traitement.
En savoir plusGouvernance de l'IA
Le dispositif d'ensemble : registre des usages, politique IA, comité de gouvernance et conformité AI Act.
En savoir plusCharte IA en entreprise
Le document qui fixe ce que chacun peut mettre dans quel outil et traduit le RGPD en consignes claires.
En savoir plusSécurité de Claude en entreprise
Les garanties de sécurité et de traitement des données d'un outil d'IA générative, étudiées en détail.
En savoir plusFormation AI Act
La montée en compétences de vos équipes sur le règlement européen, certifiée Qualiopi et finançable.
En savoir plusDiagnostic IA
Le point de départ qui cadre votre maturité IA, conformité et gouvernance des données comprises.
En savoir plus
Mathias Nizan
Fondateur de Masteria, cabinet de conseil et développement IA
Mathias Nizan a fondé Masteria en 2022 à Lyon. Cabinet spécialisé uniquement sur l'intelligence artificielle et indépendant des éditeurs, Masteria a formé plus de 1 500 professionnels et accompagne PME, ETI et grands groupes, du cadrage stratégique au développement des solutions sur mesure, en France, en Suisse et en Belgique.
« L'intelligence artificielle ne remplace pas les humains. Elle décuple leur potentiel. »
Sources et références officielles
Pour vérifier nos engagements (certification qualité, financement) et approfondir l'outil concerné :
- Qualiopi — Ministère du Travail : la certification qualité qui rend nos formations finançables.
- Les OPCO — Ministère du Travail : le fonctionnement du financement de la formation par votre opérateur de compétences.
