Votre équipe utilise un outil d'IA générative pour rédiger, résumer ou analyser des documents. Une question revient : cela vous oblige-t-il à désigner un délégué à la protection des données (DPO) ?
Non. Utiliser l'IA en entreprise ne rend pas, en soi, un DPO obligatoire. Le RGPD fixe trois critères précis à son article 37 : être une autorité ou un organisme public, exercer un suivi régulier et systématique des personnes à grande échelle, ou traiter à grande échelle des données considérées comme sensibles ou des données pénales. Un seul de ces critères suffit à déclencher l'obligation, quel que soit l'outil utilisé pour traiter les données. Hors ces trois cas, la CNIL encourage la désignation d'un DPO, sans l'imposer.
Les trois seuls cas où un DPO est obligatoire
La CNIL est explicite sur ce point : la désignation d'un délégué à la protection des données est obligatoire dans trois situations, et dans trois seulement. Premièrement, pour les autorités et organismes publics : ministères, collectivités territoriales, établissements publics. Deuxièmement, pour les organismes dont l'activité de base implique un suivi régulier et systématique des personnes à grande échelle. C'est le cas des compagnies d'assurance, des banques ou des opérateurs de téléphonie, pour leurs fichiers clients. Troisièmement, pour ceux dont l'activité de base les amène à traiter à grande échelle des données dites sensibles : santé, biométrie, origine raciale ou ethnique, opinions politiques, convictions religieuses. Ou des données relatives à des condamnations pénales et infractions (CNIL).
Le fait déclencheur, ce sont ces critères. Pas la nature de l'outil utilisé. Une PME qui utilise un assistant IA pour de la rédaction, du support client ou de l'analyse de documents, sans entrer dans l'une de ces trois catégories, n'a aucune obligation légale de désigner un DPO du seul fait de cet usage.
Ce que la CNIL recommande même sans obligation légale
La CNIL a publié une FAQ dédiée à l'utilisation d'un système d'IA générative en entreprise, régulièrement mise à jour. Elle y recommande d'associer le DPO à la gouvernance de ces systèmes, y compris hors des trois cas d'obligation. Dans sa question 8, elle écrit : « Le délégué à la protection des données (DPO) peut utilement jouer un rôle à cet égard dès lors qu'il est déjà concerné par les enjeux de protection des données afférant à ces systèmes, le cas échéant en articulation avec le responsable de la sécurité des systèmes d'information (RSSI). » (CNIL, FAQ IA générative)
Dans sa question 9, elle ajoute que, dans l'attente de ses recommandations complémentaires sur les rôles de la chaîne IA, il est recommandé d'associer le DPO et, le cas échéant, de réaliser une analyse d'impact relative à la protection des données (Q9, CNIL, FAQ IA générative). Cette recommandation n'a pas de valeur contraignante. Elle indique seulement qui, en interne, doit être associé aux sujets IA quand des données personnelles sont en jeu. Certaines entreprises documentent déjà ce cadre : les certifications et le traitement des données de Claude en sont un exemple, consultable dans notre article sur la conformité RGPD de Claude.
Pas de DPO obligatoire : qui porte le sujet en interne
Sans obligation ni désignation d'un DPO, la gouvernance ne disparaît pas. Elle change de forme. Trois options reviennent le plus souvent dans les entreprises que nous accompagnons : un référent interne, souvent rattaché à la direction juridique ou aux systèmes d'information ; une charte d'usage de l'IA, qui fixe ce qui peut ou ne peut pas passer par l'outil ; un comité restreint, quand plusieurs services utilisent l'IA sur des processus différents.
Ce référent ne remplace pas un DPO au sens du RGPD. Il pose les bonnes questions avant de connecter un nouvel outil à des données personnelles, et sait quand solliciter un avis juridique externe. Notre checklist RGPD pour un dirigeant détaille ces étapes une par une. Pour la vue d'ensemble du cadre, le guide RGPD et intelligence artificielle étape par étape reprend le parcours complet, du cadrage à la contractualisation. Suivre l'évolution du cadre réglementaire fait aussi partie du travail courant de ce référent, comme le montre notre cas d'usage sur la veille réglementaire.
Les deux confusions qui font croire à tort qu'un DPO est obligatoire
Deux raccourcis reviennent souvent chez les dirigeants qui nous consultent. Le premier confond l'obligation de désigner un DPO avec l'obligation de réaliser une analyse d'impact relative à la protection des données (AIPD). Ce sont deux obligations RGPD distinctes, avec des critères différents. Une entreprise peut être tenue de réaliser une AIPD sans être tenue de désigner un DPO, et inversement. Nous détaillons quand une analyse d'impact est obligatoire dans un article dédié.
Le second confond « utiliser un outil d'IA » avec « traiter à grande échelle des données sensibles ». Un assistant IA utilisé pour rédiger des mails commerciaux n'a, au regard du RGPD, rien à voir avec un système qui traite en masse des données de santé ou des données biométriques. C'est la nature réelle du traitement, pas l'étiquette « IA », qui déclenche les obligations légales.
Questions fréquentes
Faut-il un DPO pour utiliser ChatGPT ou Claude en entreprise ? Non, l'utilisation d'un assistant IA en tant que telle ne crée pas cette obligation. Elle dépend des trois critères de l'article 37 du RGPD, pas de l'outil choisi.
Quelles entreprises sont obligées d'avoir un DPO ? Les autorités et organismes publics, les organismes qui réalisent un suivi régulier et systématique des personnes à grande échelle, et ceux qui traitent à grande échelle des données sensibles ou pénales. Un seul de ces trois critères suffit à rendre la désignation obligatoire.
Que risque une entreprise qui ne désigne pas de DPO alors qu'elle y est tenue ? Le défaut de désignation, quand l'obligation s'applique, est sanctionnable au titre de l'article 83 du RGPD. Le montant exact dépend de la qualification retenue par l'autorité de contrôle : mieux vaut vérifier sa situation avec un conseil juridique plutôt que se fier à un chiffre approximatif.
Une PME sans DPO peut-elle utiliser l'IA en toute légalité ? Oui, si elle ne relève d'aucun des trois critères de désignation obligatoire. Elle reste tenue par les autres obligations du RGPD : information des personnes concernées, base légale du traitement, sécurité des données.
L'obligation légale se limite à trois cas précis. La question de gouvernance, elle, se pose dans toutes les entreprises qui utilisent l'IA sur des données personnelles. Nos accompagnements Immersion aident les équipes à clarifier ces rôles avant de démarrer un projet IA. Réservez un premier échange pour faire le point sur votre situation.