Votre DPO reçoit un message de l'éditeur d'IA que vous venez de connecter à votre CRM : « nous ne sommes pas responsables de vos données ». Reste à savoir si le RGPD confirme ce partage des rôles entre responsable du traitement et sous-traitant, quand l'IA vient d'un fournisseur tiers.
Dans l'immense majorité des cas, la réponse est simple : l'éditeur de l'IA est votre sous-traitant, et vous restez responsable du traitement. Trois exceptions viennent nuancer cette règle par défaut, détaillées plus loin dans un tableau de décision. Ce que dit le contrat ne suffit jamais à trancher seul : la qualification se juge sur les faits, sur qui décide de quoi, pas sur une clause insérée dans des conditions générales.
Cette grille de lecture est générale. Elle ne remplace pas l'avis d'un DPO ou d'un avocat sur votre propre dossier : chaque situation se documente au cas par cas, comme le rappelle la CNIL elle-même.
Qui décide de quoi : le test des trois questions
Le RGPD ne qualifie pas les acteurs sur un nom ou une signature. L'article 4, paragraphe 7, définit le responsable du traitement comme celui qui détermine les finalités et les moyens essentiels d'un traitement. L'article 4, paragraphe 8, définit le sous-traitant comme celui qui traite les données pour le compte du responsable, dans le cadre d'un service (CNIL, Travailler avec un sous-traitant). Ces deux définitions sont précisées par les lignes directrices du CEPD 07/2020 sur les notions de responsable du traitement et de sous-traitant (version 2.1, 20 septembre 2022), le texte de référence pour toute l'Union européenne.
Trois questions suffisent, dans la pratique, à qualifier son propre cas avant même de relire le contrat.
- Qui décide de la finalité ? C'est vous qui décidez de trier des candidatures, de répondre à vos clients ou d'analyser vos données commerciales avec l'IA, pas l'éditeur.
- Qui décide des moyens essentiels ? C'est vous qui choisissez quelles données envoyer, à quel outil, pour quel usage.
- Qui exécute pour le compte de qui ? L'éditeur exécute un service que vous avez défini. Il ne poursuit pas sa propre finalité sur vos données.
Si les trois réponses désignent l'entreprise, elle est responsable du traitement et l'éditeur est son sous-traitant. C'est le scénario par défaut d'un outil d'IA en SaaS professionnel (CNIL, Responsable du traitement, sous-traitants : comment bien identifier son rôle ?, 6 juin 2025).
Fournisseur d'IA : sous-traitant, sauf trois exceptions
La CNIL a publié dès le 8 avril 2024 une fiche pratique dédiée à la qualification des fournisseurs de systèmes d'IA. Le principe reste celui du RGPD classique : hors des trois cas ci-dessous, un éditeur qui exécute vos instructions, y compris pour un développement sur mesure, reste votre sous-traitant.
| Exception | Ce qui se passe | Qualification retenue |
|---|---|---|
| 1. Réutilisation pour l'entraînement propre de l'éditeur | L'éditeur réutilise vos échanges pour entraîner ses propres modèles, sans que ce soit une instruction de votre part | Responsable de ce traitement de réutilisation, tout en restant sous-traitant sur le service initial |
| 2. Produit conçu et commercialisé à l'initiative de l'éditeur | L'éditeur constitue sa propre base de données ou son propre modèle, à son initiative, puis le commercialise à plusieurs clients | Responsable du traitement, car il a décidé seul de la finalité, en amont de toute relation contractuelle avec vous |
| 3. Décision commune avec l'éditeur | Vous et l'éditeur déterminez ensemble la finalité et les moyens essentiels d'un traitement construit en partenariat | Responsables conjoints (article 26 du RGPD), un statut distinct de la sous-traitance |
Ces trois configurations sont documentées par la CNIL, à partir des mêmes principes que les lignes directrices du CEPD (CNIL, Déterminer la qualification juridique des fournisseurs de systèmes d'IA, 8 avril 2024).
Un exemple documenté aide à fixer ce cadre : plusieurs grands éditeurs, dont Anthropic pour ses offres commerciales Team, Enterprise et API, publient un contrat de sous-traitance (DPA) qui les inscrit dans le scénario par défaut sur ces offres précises, à jour au 17 juillet 2026. Ce n'est ni une garantie universelle ni un jugement de supériorité sur un autre éditeur : la qualification dépend toujours de l'offre réellement souscrite et de l'usage réel, pas du nom de l'éditeur. Le sujet est détaillé dans certifications de conformité Claude.
Le contrat ne fait pas le droit
Un contrat qui affirme « l'éditeur n'est pas responsable du traitement » ne suffit pas à l'être. La CNIL est directe sur ce point : « la qualification ne dépend pas d'un choix contractuel mais des faits : qui décide de quoi ? qui exécute quoi ? » (CNIL, 6 juin 2025).
Le risque n'est pas théorique. En cas de contrôle, la CNIL n'est pas liée par la qualification retenue entre les parties. Elle peut requalifier les rôles si elle estime que le contrat ne reflète pas la réalité du traitement. Une entreprise qui pense avoir transféré sa responsabilité à un DPA mal négocié peut se retrouver seule responsable devant le régulateur. Exactement comme si ce DPA n'avait jamais existé.
La responsabilité conjointe : un cas rare, souvent invoqué à tort
L'article 26 du RGPD prévoit un troisième statut : la responsabilité conjointe. Elle s'applique quand deux ou plusieurs acteurs déterminent ensemble, et non séparément, les finalités et les moyens essentiels d'un traitement.
Ce cas reste rare dans un usage professionnel courant de l'IA. Un simple abonnement SaaS, où l'entreprise décide seule de l'usage et l'éditeur exécute un service standard, ne remplit pas ce critère de décision commune. La responsabilité conjointe se rencontre plutôt dans des partenariats construits ensemble, où éditeur et client co-conçoivent une finalité et des moyens qu'aucun des deux n'aurait fixés seul. La confondre avec une simple sous-traitance a deux effets inverses, mais également fâcheux : surestimer un risque qui n'existe pas, ou sous-estimer une vraie situation de coresponsabilité quand elle se présente.
Ce qu'il faut vérifier avant de signer
Une fois la qualification de sous-traitant posée pour l'éditeur, l'article 28 du RGPD encadre ce que son contrat doit couvrir. Trois points méritent une vérification systématique avant signature : la localisation des traitements, la durée de conservation des données, et l'absence, ou non, de réutilisation des échanges pour l'entraînement des modèles de l'éditeur. L'article 24 du RGPD impose aussi au responsable du traitement de démontrer sa propre conformité : cela interdit de s'en remettre aveuglément au DPA signé avec l'éditeur. Un contrat muet sur l'un de ces trois points n'est pas prêt à être signé, quelle que soit la qualité technique de l'outil.
Une fois ce rôle clarifié, l'étape pratique suivante consiste à mettre à jour le registre des traitements. Il doit porter le nom du fournisseur, sa localisation, et la nature précise de l'accès qu'il a aux données. Ce point sera développé dans un prochain article dédié au registre des traitements et à l'IA.
Dans nos accompagnements, cette étape de clarification précède systématiquement le choix technique de l'outil : avant de connecter une IA aux données de clients ou de salariés, savoir qui porte la qualité de responsable ou de sous-traitant conditionne tout le reste, du registre au contrat.
Questions fréquentes
Qui est responsable du traitement quand on utilise une IA fournie par un tiers ?
Dans la majorité des cas, l'entreprise qui déploie l'outil reste responsable du traitement, et l'éditeur agit comme son sous-traitant. La qualification se vérifie sur qui décide de la finalité et des moyens essentiels, pas sur ce que dit le contrat.
L'éditeur d'un outil d'IA est-il sous-traitant ou responsable de traitement ?
Sous-traitant par défaut, s'il exécute un service selon vos instructions. Il peut devenir responsable d'un traitement distinct s'il réutilise vos données pour entraîner ses propres modèles sans que ce soit une instruction de votre part.
Peut-on être responsable conjoint du traitement avec un fournisseur d'IA ?
C'est possible, mais rare en usage professionnel courant. La responsabilité conjointe suppose une décision commune sur la finalité et les moyens essentiels, ce qu'un simple abonnement SaaS ne remplit généralement pas.
Le contrat peut-il décider qui est responsable du traitement au sens du RGPD ?
Non. La CNIL rappelle que la qualification dépend des faits, pas du choix contractuel. En cas de contrôle, elle peut requalifier les rôles si le contrat ne reflète pas la réalité du traitement.
Quelles clauses doivent figurer dans le contrat avec un fournisseur d'IA ?
Au minimum, la localisation des traitements, la durée de conservation des données, et une clause explicite sur la réutilisation, ou non, des données à des fins d'entraînement, conformément à l'article 28 du RGPD.
Cadrer cette qualification en amont évite bien des mauvaises surprises en cas de contrôle. Pour progresser sur ce cadrage plus largement, notre guide complet RGPD et IA en entreprise reprend les six étapes à suivre, de la base légale à la contractualisation. Quand ce cadrage débouche sur un outil à faire développer sur mesure plutôt que sur un SaaS tiers, notre offre systèmes IA sur mesure part du même principe : clarifier le besoin avant de construire. Réservez votre présentation personnalisée pour situer votre dossier.