Un outil d'intelligence artificielle atterrit sur votre bureau, prêt à être déployé. Avant de signer, une question s'impose : RGPD et intelligence artificielle, comment les deux s'articulent-ils réellement ? Voici la réponse, étape par étape.

Non, le RGPD n'interdit pas l'intelligence artificielle en entreprise. Il s'applique simplement, comme à tout traitement de données personnelles, avec une exigence renforcée sur la traçabilité et l'information des personnes concernées. Six étapes suffisent à cadrer un projet IA sans reprendre le RGPD depuis zéro : cadrage légal, base légale, registre des traitements, désignation ou consultation du DPO, analyse d'impact si nécessaire, et contractualisation avec les fournisseurs.

RGPD intelligence artificielle : cadrer le sujet sans céder aux idées reçues

Le RGPD ne crée pas de régime spécial pour l'IA. Il s'applique dès qu'un traitement de données personnelles entre en jeu, que ce soit pour entraîner un modèle, l'utiliser en production, ou simplement analyser des résultats. C'est le message central que porte la CNIL depuis ses recommandations du 7 février 2025 : « Le RGPD permet le développement d'IA innovantes et responsables en Europe » (cnil.fr, communiqué du 7 février 2025).

Trois idées reçues circulent encore chez les décideurs :

  • « Il faut héberger les données en Europe. » Faux. Le RGPD exige un mécanisme de transfert valide hors UE (clauses contractuelles types, règles d'entreprise contraignantes, ou décision d'adéquation), pas une résidence géographique imposée.
  • « L'IA est interdite par principe en entreprise. » Faux, sauf pour les usages classés inacceptables par l'AI Act (notation sociale, manipulation comportementale).
  • « Le consentement des salariés est systématiquement requis. » Vrai seulement pour certains usages précis, pas pour l'ensemble d'un déploiement IA.

La CNIL ne se contente plus de son rôle historique de protection des données. Dans son programme de travail 2026, elle indique se préparer à devenir également autorité de surveillance de marché pour l'IA, en complément de l'AI Office européen (cnil.fr, 7 avril 2026). Ce sont des intentions annoncées, pas encore des règles en vigueur, mais elles indiquent où portera l'attention des contrôles dans les prochains mois.

La CNIL centralise ses positions sur une page dédiée, régulièrement enrichie : les fiches pratiques IA. C'est la première ressource à consulter avant tout projet. Ce que ce corpus change concrètement pour une entreprise est détaillé dans les recommandations CNIL sur l'IA.

Quelle base légale pour un projet d'intelligence artificielle ?

Une fois le cadre posé, la question devient concrète : sur quelle base légale reposer le traitement ? Le RGPD en propose six, mais trois reviennent dans la quasi-totalité des projets IA en entreprise.

  • Exécution du contrat. Un chatbot client s'appuie généralement sur cette base : répondre à une demande fait partie du service.
  • Intérêt légitime. Une analyse de données commerciales relève le plus souvent de cette base, à condition de documenter une analyse de proportionnalité et d'informer les personnes concernées.
  • Obligation légale ou intérêt légitime renforcé. Le tri de CV par un outil d'IA est plus sensible : il touche au droit du travail autant qu'au RGPD, et impose une information précise des candidats sur l'existence d'un traitement automatisé.

Documenter cette base légale ne se limite pas à cocher une case. Pour l'intérêt légitime, il faut mener une analyse de mise en balance entre l'intérêt de l'entreprise et les droits des personnes concernées, et pouvoir la produire en cas de contrôle.

Le consentement, souvent perçu comme la solution par défaut, est en réalité la base la plus fragile en contexte professionnel. Un salarié ne consent jamais librement face à son employeur. Mieux vaut documenter l'intérêt légitime ou l'exécution du contrat, et réserver le consentement aux cas où il a un sens réel, par exemple un client qui active volontairement une fonctionnalité IA optionnelle.

Registre des traitements IA : ce qui change avec l'intelligence artificielle

La base légale choisie, encore faut-il la tracer. Le registre des traitements existe déjà dans la plupart des entreprises. Un projet IA ne justifie pas d'en ouvrir un nouveau : il justifie de mettre à jour l'existant.

Trois ajouts reviennent systématiquement :

  • la finalité précise de l'usage IA, distincte d'une finalité générique « amélioration du service » ;
  • les catégories de données transmises à l'outil, y compris quand elles transitent par un prestataire tiers ;
  • la durée de conservation, qui doit tenir compte du fait qu'un modèle peut mémoriser des informations au-delà de la session d'usage.

Un tableau simple suffit dans une PME : nom de l'outil, éditeur, finalité, données transmises, durée de conservation, base légale, mesures de sécurité. Le registre n'a pas besoin d'être sophistiqué. Il doit être exact, et à jour.

Le registre des traitements IA n'est pas un exercice ponctuel. Il se met à jour à chaque nouvel usage, à chaque nouvel outil connecté, à chaque changement de fournisseur. Les mentions à ajouter, fiche par fiche, sont détaillées dans notre article dédié : mettre à jour son registre des traitements pour l'IA.

DPO et intelligence artificielle : quand l'associer au projet

Le DPO n'a pas à valider chaque prompt envoyé à un outil d'IA. Il doit en revanche être associé dès le cadrage d'un projet qui touche des données personnelles à une échelle significative.

La désignation d'un DPO devient obligatoire, quelle que soit la taille de l'entreprise, dans deux cas précis. Premier cas : un suivi régulier et systématique des personnes à grande échelle, à titre d'activité de base. Second cas : un traitement à grande échelle de données sensibles (RGPD, article 37 ; fiches pratiques IA de la CNIL). L'article 37 en prévoit un troisième, réservé aux autorités et organismes publics : les trois cas où un DPO devient obligatoire sont détaillés dans un article dédié.

Un outil d'IA connecté à plusieurs outils métier peut vite faire basculer un traitement dans ce périmètre. Même dans une PME sans DPO déjà désigné.

Le DPO, ou à défaut la personne qui en tient le rôle dans une PME sans DPO désigné, intervient à trois moments :

  1. Avant le choix de l'outil, pour vérifier les garanties contractuelles du fournisseur.
  2. Pendant le déploiement, pour documenter le registre et cadrer l'information des personnes concernées.
  3. Après la mise en production, pour surveiller les usages qui dérivent du cadre initial.

La chaîne de responsabilité aide à savoir qui répond de quoi. L'éditeur du modèle définit les conditions d'usage et les garanties techniques. L'hébergeur, souvent un cloud public, applique des mesures de sécurité contractuelles. L'entreprise qui déploie l'outil reste responsable de traitement pour ses propres usages : c'est elle qui répond devant la CNIL, pas le fournisseur de l'outil.

Analyse d'impact (AIPD) : dans quels cas est-elle obligatoire ?

L'analyse d'impact relative à la protection des données, l'AIPD, n'est pas systématique. Elle devient obligatoire quand le traitement présente un risque élevé pour les droits des personnes : profilage à grande échelle, décision automatisée avec effet juridique ou significatif, surveillance systématique, ou traitement de données sensibles.

Un exemple concret aide à trancher. Un outil d'IA qui aide à rédiger des comptes rendus de réunion ne déclenche pas d'AIPD : le traitement est ponctuel, sans profilage. Un outil qui note automatiquement des candidatures et écarte une partie des candidats sans intervention humaine en déclenche une : la décision a un effet significatif sur les personnes concernées.

Le format de l'AIPD lui-même reste classique :

  • description du traitement et de ses finalités ;
  • évaluation de la nécessité et de la proportionnalité ;
  • évaluation des risques pour les droits des personnes ;
  • mesures envisagées pour traiter ces risques.

L'IA n'invente pas une nouvelle méthodologie d'analyse d'impact. Elle rend certains risques plus difficiles à anticiper, notamment quand le fonctionnement du modèle reste partiellement opaque. Dans le doute, l'AIPD reste un bon réflexe méthodologique, même quand elle n'est pas strictement obligatoire : elle oblige à documenter les risques avant de les découvrir en production. La grille des neuf critères du CEPD, qui permet d'évaluer le besoin d'une AIPD cas par cas, fait l'objet d'un article dédié.

Contractualiser avec les fournisseurs sans tout reprendre à zéro

Reste la question des fournisseurs. Un outil d'IA d'entreprise implique presque toujours un sous-traitant au sens du RGPD, parfois plusieurs dans la même chaîne. Le contrat, ou accord de traitement des données (DPA), doit couvrir des garanties précises :

  • la durée de conservation des données transmises à l'outil ;
  • les mesures de sécurité appliquées par le fournisseur ;
  • les conditions de sous-traitance ultérieure, quand le fournisseur fait lui-même appel à d'autres prestataires ;
  • la localisation ou le mécanisme de transfert des données hors UE, le cas échéant.

Plusieurs sous-traitants interviennent souvent dans la même chaîne : l'éditeur du modèle, l'hébergeur cloud, parfois un prestataire technique chargé de l'intégration. Chaque maillon doit être couvert par un contrat, et l'entreprise déployante garde la responsabilité de vérifier que la chaîne tient dans son ensemble, pas seulement le premier contrat signé.

L'exemple de Claude, l'assistant IA d'Anthropic, illustre le principe, sans en faire un cas particulier. Le fournisseur documente ses engagements contractuels et ses certifications, l'entreprise déployante vérifie qu'ils correspondent à son besoin réel. Le détail de ces engagements est traité dans l'article conformité, RGPD et certifications de Claude.

À cette contractualisation s'ajoute un second cadre, distinct du RGPD : l'AI Act (règlement UE 2024/1689), applicable de façon générale à partir du 2 août 2026. Les deux textes se cumulent : le RGPD protège les données personnelles, l'AI Act encadre le système d'IA lui-même selon son niveau de risque, et un projet conforme à l'un ne l'est pas automatiquement à l'autre. Le calendrier des obligations pour les systèmes à haut risque vient par ailleurs d'être aménagé au niveau européen. Un article dédié de ce blog détaille le calendrier de l'AI Act et son articulation avec le RGPD, avec les obligations des entreprises concernées.

Les six étapes, en un coup d'œil

  1. Cadrer le sujet : le RGPD s'applique à l'IA comme à tout traitement, sans idée reçue à céder.
  2. Choisir la base légale adaptée à l'usage réel, pas au consentement par défaut.
  3. Mettre à jour le registre des traitements avec la finalité, les données et la durée de conservation propres à l'outil IA.
  4. Associer le DPO, avant le choix de l'outil, pendant le déploiement, après la mise en production.
  5. Évaluer le besoin d'une AIPD dès qu'un risque élevé apparaît : profilage, décision automatisée, données sensibles.
  6. Contractualiser avec les fournisseurs, en anticipant le calendrier de l'AI Act.

Questions fréquentes

Le RGPD interdit-il l'utilisation de l'intelligence artificielle en entreprise ? Non. Le RGPD encadre le traitement des données personnelles, quel que soit l'outil utilisé pour le réaliser. Seuls certains usages, classés inacceptables par l'AI Act (notation sociale, manipulation comportementale), sont interdits par principe.

Faut-il l'accord des salariés pour utiliser une IA générative au travail ? Rarement sous forme de consentement RGPD, qui n'a pas de sens dans une relation de subordination. L'employeur doit en revanche informer les salariés de l'usage, souvent via le comité social et économique, et documenter une autre base légale, en général l'intérêt légitime.

Quelles sont les obligations RGPD spécifiques à l'intelligence artificielle ? Il n'existe pas d'obligations propres à l'IA dans le texte du RGPD. Ce qui change, c'est le niveau d'exigence sur la traçabilité, l'information des personnes et la documentation du registre, que l'échelle et l'opacité de certains traitements IA rendent plus sensibles.

Le RGPD et l'AI Act s'appliquent-ils en même temps ? Oui. Le RGPD protège les données personnelles, l'AI Act encadre les systèmes d'IA selon leur niveau de risque, et les deux textes se cumulent sans se substituer l'un à l'autre. L'article de ce blog consacré à l'AI Act détaille cette articulation et son calendrier.

Qui est responsable en cas de fuite de données via un outil d'IA en entreprise ? L'entreprise qui déploie l'outil reste responsable de traitement pour ses propres usages, même si la faille provient d'un sous-traitant. Un article dédié de ce blog détaille qui est responsable du traitement face à un fournisseur d'IA.

Ces six étapes ne remplacent pas un DPO ou un juriste. Elles donnent une vue d'ensemble avant de creuser chaque point avec les bonnes ressources : la CNIL pour les positions officielles, un accompagnement pour le cadrage technique et juridique en amont d'un déploiement. La conformité documentaire ne fait pas tout : le vrai risque de sécurité, au-delà du RGPD, se joue dans l'usage quotidien des outils par les équipes. Dans nos accompagnements, nous posons ce cadre avant tout déploiement Claude, à la manière d'une agence Claude qui connaît autant le produit que ses implications réglementaires.

Une fois l'outil choisi, la checklist dirigeant IA et RGPD prend le relais, avec les points à vérifier avant la mise en production.

Pour évaluer votre propre projet, réservez un premier échange de 30 minutes.