Un service RH d'entreprise commence à utiliser un assistant IA pour trier des candidatures. Personne n'a pensé à toucher au registre des traitements. C'est pourtant la première chose qu'un contrôle CNIL regarde.
L'obligation de tenir un registre des traitements existe déjà : c'est l'article 30 du RGPD, et l'arrivée d'une IA générative dans un processus s'y inscrit sans rien créer de nouveau. Elle impose de mettre à jour la fiche de registre existante, sur six points précis : la finalité, les catégories de données, le sous-traitant IA, les transferts hors UE, la durée de conservation, les mesures de sécurité. Cette checklist reprend les rubriques de l'article 30, appliquées à un nouvel acteur : le fournisseur du modèle.
Ce que l'article 30 du RGPD impose déjà à votre registre
Toute entreprise soumise au RGPD tient un registre des activités de traitement. L'article 30 fixe le contenu minimal de chaque fiche :
- les finalités du traitement ;
- les catégories de personnes concernées ;
- les catégories de données ;
- les catégories de destinataires, y compris les sous-traitants ;
- les transferts hors Union européenne et leurs garanties ;
- les délais d'effacement ;
- une description des mesures de sécurité.
(CNIL, Le registre des activités de traitement)
Ce socle existe depuis 2018. Ajouter un outil d'IA à un processus documenté n'en change pas la structure. Cela modifie ce qui remplit ces rubriques : un nouveau destinataire de la donnée, parfois un nouveau pays de destination, parfois une durée de conservation différente. Le registre reste le même document. Ses fiches, elles, doivent refléter la réalité du traitement. Pour situer le registre parmi l'ensemble des obligations d'un projet d'IA, le guide complet RGPD et intelligence artificielle donne la vue d'ensemble.
La CNIL rappelle qu'un registre se met à jour à chaque évolution des conditions de traitement : une nouvelle donnée collectée, un nouveau destinataire, un allongement de la durée de conservation. L'arrivée d'un outil d'IA générative dans un processus existant entre directement dans ce cas de figure.
Les six mentions à ajouter dès qu'une IA générative entre dans un processus
Pour chaque fiche concernée, six champs méritent d'être relus et, le plus souvent, complétés.
La finalité. Précisez ce que l'IA fait réellement dans le processus : rédaction, tri, résumé, analyse. Une finalité trop vague (« amélioration du service ») ne suffit pas.
Les catégories de données. Listez ce qui transite réellement dans les prompts ou dans les documents envoyés à l'outil. Un commercial qui colle un compte rendu de rendez-vous dans un assistant IA y fait passer des données personnelles, parfois sans y penser.
Le sous-traitant IA. Le fournisseur de l'outil devient un destinataire de la donnée, à mentionner comme tel. Un contrat de sous-traitance encadre en principe cette relation.
Les transferts hors UE. La plupart des fournisseurs d'IA hébergent tout ou partie de leur infrastructure hors de l'Union européenne. Cette mention et les garanties associées (clauses contractuelles types, décision d'adéquation) doivent apparaître dans la fiche.
La durée de conservation. Certains outils conservent les échanges pour améliorer leurs modèles, d'autres non, selon le plan souscrit. Cette durée doit être vérifiée auprès du fournisseur et reportée dans le registre, pas déduite par défaut.
Les mesures de sécurité. Chiffrement, contrôle des accès, gestion des comptes utilisateurs sur l'outil IA : le registre doit décrire ce qui protège la donnée une fois qu'elle a quitté vos systèmes internes.
Une fiche qui coche ces six points reflète l'état réel du traitement. C'est ce que la CNIL regarde en premier lors d'un contrôle : la cohérence entre le registre et la pratique observée sur le terrain.
Le fournisseur d'IA : sous-traitant ou responsable de traitement ?
Dans sa fiche du 8 avril 2024, la CNIL indique que la qualification d'un fournisseur de système d'IA s'apprécie au cas par cas (CNIL, Déterminer la qualification juridique des acteurs). Dans la plupart des usages professionnels, le fournisseur agit comme sous-traitant et le client reste responsable de traitement.
Un article du blog détaille qui est responsable du traitement face à un fournisseur d'IA.
Pour situer un outil précis dans le registre, l'important est de documenter ce qui est vérifiable : où sont hébergées les données, quelles garanties existent pour les transferts hors UE. Sur Claude par exemple, l'hébergement par défaut se fait en dehors de l'Union européenne, mais un déploiement via AWS Bedrock ou Google Vertex AI en région européenne permet une résidence des données dans l'UE (conformité, RGPD et certifications de Claude). Cette information, propre à chaque outil, doit figurer dans la fiche correspondante.
Quand mettre à jour la fiche de registre
Trois événements déclenchent systématiquement une révision : l'adoption d'un nouvel outil d'IA dans un processus, un changement de fournisseur ou de plan (les conditions de conservation et de transfert peuvent changer sans préavis), et l'extension d'un usage déjà documenté à un nouveau type de données.
En dehors de ces déclencheurs, une relecture annuelle du registre reste une pratique raisonnable. Elle revient au DPO quand l'entreprise en a désigné un, ou au responsable de traitement à défaut. Certains traitements liés à l'IA nécessitent, au-delà de la mise à jour du registre, une analyse d'impact relative à la protection des données (CNIL, L'analyse d'impact (AIPD)). Cette question dépasse le cadre de cet article ; un article dédié détaille quand une AIPD devient obligatoire pour un projet d'IA. Pour une vue d'ensemble des points à vérifier avant de déployer un outil d'IA, la checklist RGPD et IA pour un dirigeant complète utilement cette mise à jour (checklist IA et RGPD pour un dirigeant).
Tenir ces six mentions à jour dans la durée demande une vraie autonomie sur le sujet, pas une correction ponctuelle isolée. C'est le type de compétence qu'un accompagnement Trajectoire construit avec un responsable de traitement ou un DPO, sur ses propres processus.
Questions fréquentes
Faut-il déclarer ChatGPT ou Claude dans le registre des traitements ? Oui, dès que l'outil traite des données personnelles dans un processus documenté. Il apparaît comme destinataire de la donnée dans la fiche concernée, avec sa localisation d'hébergement et les garanties de transfert.
Quelles mentions ajouter au registre RGPD pour un outil d'IA générative ? Six mentions à vérifier fiche par fiche : la finalité précise, les catégories de données exposées, le sous-traitant IA, les transferts hors UE, la durée de conservation et les mesures de sécurité.
Un fournisseur d'IA est-il sous-traitant ou responsable de traitement ? Cela dépend du contrat et de l'usage. La CNIL impose une analyse au cas par cas, sans règle générale applicable à tous les fournisseurs.
Le registre des traitements doit-il mentionner les transferts de données vers les États-Unis ? Oui, dès qu'un outil y héberge tout ou partie du traitement. La fiche doit préciser le pays de destination et la garantie juridique associée.
À quelle fréquence mettre à jour son registre RGPD quand on utilise l'IA ? À chaque changement d'outil, de fournisseur ou de plan, et au minimum une fois par an en relecture générale. Une fiche laissée telle quelle depuis l'arrivée d'un nouvel outil est un signal facilement repéré lors d'un contrôle.
Dans les accompagnements Arynor, cette question du registre revient systématiquement dès que l'IA sort d'un usage individuel pour toucher un processus documenté. Mettre à jour six champs sur une fiche existante prend rarement plus d'une heure. Ne pas le faire coûte nettement plus cher en cas de contrôle. Si vous voulez sécuriser cette mise à jour sur l'ensemble de vos processus, un premier échange permet de faire le point sur votre situation.