Reste un point à vérifier avant de mettre l'IA en production : sa conformité RGPD, celle que votre juridique exigera avant de signer.

Six vérifications suffisent, en respectant cet ordre : le contrat de sous-traitance (DPA), l'usage de vos données pour l'entraînement du modèle, l'encadrement des transferts hors UE, les certifications de sécurité, la mise à jour du registre des traitements, et, depuis cette année, votre statut de déployeur au titre de l'AI Act. Le RGPD n'a pas changé avec l'IA. Ce qui change, c'est le calendrier : le 29 juin 2026, le Conseil de l'Union européenne a donné son feu vert final à un paquet de simplification de l'AI Act, dont l'application générale reste fixée au 2 août 2026.

RGPD et IA : exigez le DPA avant de confier une donnée personnelle

Quand vous confiez des données personnelles à un outil d'IA, vous restez responsable de traitement. L'éditeur agit comme sous-traitant. La CNIL le rappelle : cette qualification s'apprécie au cas par cas, pas sur une simple clause contractuelle. Elle recommande un contrat de sous-traitance conforme à l'article 28 du RGPD avec chaque fournisseur d'IA qui traite des données pour votre compte.

Demandez le Data Processing Agreement (DPA) avant toute signature. Sans DPA, vous ne pouvez confier légalement aucune donnée personnelle de tiers à l'outil. C'est non négociable. Anthropic publie son DPA pour les offres commerciales, Team, Enterprise et API. Il n'en existe pas pour les offres grand public.

Cette qualification n'est pas toujours évidente à trancher seul : qui est responsable du traitement face à un fournisseur d'IA reste une question distincte, à creuser au cas par cas selon votre contrat et votre usage réel.

Vérifiez si vos données entraînent le modèle

Exigez une réponse écrite, pas une déclaration à l'oral. Pour les offres grand public, Claude.ai gratuit, Pro ou Max, les conversations peuvent servir à améliorer les modèles, sauf opt-out explicite. Ces offres ne conviennent pas à un usage professionnel avec des données personnelles de clients ou d'employés.

Pour les offres commerciales, Anthropic s'engage contractuellement à ne pas utiliser les données clients pour entraîner ses modèles. Cette garantie figure dans le DPA. Contrôlez la clause exacte plutôt que la promesse commerciale.

Encadrez les transferts hors UE

Le RGPD n'impose pas de stocker vos données en Europe. Il impose un mécanisme valide pour encadrer les transferts hors Espace économique européen : clauses contractuelles types, règles d'entreprise contraignantes, ou un accord d'adéquation. Depuis juillet 2023, le Data Privacy Framework sert de base juridique pour les transferts vers les entreprises américaines certifiées.

Anthropic traite les données sur une infrastructure américaine et inclut des clauses contractuelles types dans son DPA commercial. Claude peut être déployé avec une résidence des données dans l'Union européenne, via AWS Bedrock ou Google Vertex AI en région européenne. Ce n'est pas une option proposée par Anthropic en direct : vérifiez-la vous-même si votre contrainte l'exige, et demandez à votre éditeur laquelle des trois bases juridiques encadre concrètement votre contrat.

Exigez les certifications, pas les brochures

Assurez-vous d'obtenir les rapports d'audit, pas les pages marketing. Trois certifications comptent. ISO 27001 couvre le management de la sécurité de l'information. SOC 2 Type II atteste d'une surveillance continue des contrôles par un auditeur indépendant. ISO 42001, dédiée au management des systèmes d'IA, a été obtenue par Anthropic dès janvier 2025, l'une des premières sociétés d'IA à l'obtenir.

Appliquez la même exigence à chaque outil évalué, Claude ou un concurrent : une certification affichée sur une page marketing ne vaut rien sans le rapport d'audit qui la soutient. Un autre article du blog détaille les certifications et garanties de Claude, sous le titre « conformité, RGPD et certifications de Claude ».

Sécurisez votre statut de déployeur, registre inclus

Inscrivez l'outil dans votre registre des activités de traitement, au titre de l'article 30 du RGPD, à chaque évolution du traitement : finalité, catégories de données, sous-traitant, transferts hors UE, durée de conservation, mesures de sécurité. Notre guide dédié précise les six mentions à inscrire : mettre à jour son registre des traitements pour l'IA.

Contrôlez aussi votre statut au titre de l'AI Act. La quasi-totalité des entreprises qui utilisent Claude, ChatGPT ou un outil tiers sont des déployeurs, pas des fournisseurs. Le paquet de simplification adopté le 29 juin 2026 reporte les obligations propres aux systèmes à haut risque de l'annexe III au 2 décembre 2027, et au 2 août 2028 pour les systèmes intégrés dans des produits. Le reste du règlement, dont les obligations de transparence, s'applique dès le 2 août 2026.

Pour un assistant généraliste comme Claude, l'obligation de supervision humaine renforcée et d'information des travailleurs, prévue à l'article 26 de l'AI Act, ne s'applique pas encore : elle vise les systèmes à haut risque, reportés à 2027. Vérifiez si votre usage précis en relève, sans vous alarmer par défaut. Un autre article du même cluster détaille le calendrier complet : calendrier de l'AI Act et obligations du déployeur.

Deux vérifications voisines complètent la checklist, sans entrer dans le corps de cet article : la question d'un DPO obligatoire pour votre organisation, qui dépend de trois critères précis, et le cas d'un traitement à risque élevé, qui déclenche une analyse d'impact (AIPD) distincte du registre. Chacune mérite sa propre vérification, au cas par cas.

Dans nos accompagnements, cette checklist revient systématiquement au moment de basculer un outil d'IA en production. Ces six vérifications se traitent avant, pas après. Pour les situer dans l'ensemble du projet, notre guide de référence décrit le parcours RGPD complet d'un projet IA, étape par étape. C'est ce que nous structurons dans notre approche d'agence spécialisée Claude : poser le cadre juridique et technique avant tout déploiement.

Réservez un premier échange : 30 minutes, aucun engagement.

Questions fréquentes

Le RGPD interdit-il les outils d'IA hébergés aux États-Unis ?

Non. Il exige qu'ils soient encadrés par un mécanisme valide : clauses contractuelles types, Data Privacy Framework, ou règles d'entreprise contraignantes. Depuis juillet 2023, le DPF sert de base juridique pour les transferts vers les entreprises américaines certifiées.

Quelles vérifications un dirigeant doit-il faire au titre de l'AI Act avant le 2 août 2026 ?

Vérifier son statut de déployeur, et si son usage relève d'un système à haut risque de l'annexe III. Pour la plupart des usages d'un assistant généraliste, ce n'est pas le cas : ces obligations sont reportées au 2 décembre 2027. Le reste du règlement, dont la transparence, s'applique dès le 2 août 2026.

La version gratuite ou Pro de Claude est-elle conforme au RGPD pour un usage professionnel ?

Non, pas pour traiter des données personnelles de tiers. Ces offres ne disposent pas de DPA et peuvent utiliser les conversations pour améliorer les modèles. Les offres Team, Enterprise ou API sont requises.

Qu'est-ce qu'un DPA et pourquoi est-il indispensable ?

C'est le contrat qui formalise la relation responsable de traitement, sous-traitant. Il précise les finalités du traitement, les mesures de sécurité et les droits de chaque partie. Sans DPA signé, aucune donnée personnelle de tiers ne se confie légalement à l'outil, quel que soit l'éditeur.

Faut-il déclarer l'usage de Claude ou ChatGPT à la CNIL avant de le déployer ?

Pas sous forme de déclaration directe : il n'existe pas de formulaire de déclaration préalable pour ce type d'outil. Inscrivez le traitement dans votre registre des activités de traitement, puis réalisez une analyse d'impact si le traitement présente un risque élevé pour les personnes concernées.