AccueilBlogRGPD et IA générative en PME : ce qu'il faut savoir en …
Guide · 15 juin 2026 · Par Mehdi Rahmani

RGPD et IA générative en PME : guide pratique 2026.

L'IA générative en entreprise touche systématiquement à des données personnelles. Bien gérée, elle est compatible avec le RGPD. Mal gérée, elle expose à des sanctions CNIL et à la défiance des collaborateurs. Voici la grille de lecture qu'il faut avoir en 2026.

01 · Pourquoi le RGPD redevient un sujet en 2026

Pendant deux ans, l'engouement pour ChatGPT a fait passer le RGPD au second plan dans beaucoup de PME. La logique implicite : « si tout le monde utilise OpenAI, ce ne peut pas être problématique ». Cette logique commence à se retourner pour deux raisons.

D'abord, la CNIL a publié en 2025 une série de recommandations spécifiques sur l'IA générative qui clarifient ce qui est attendu (analyse d'impact obligatoire pour certains usages, durée de conservation des prompts, transparence sur les modèles utilisés). Ces recommandations rendent l'inaction plus difficile à justifier en cas de contrôle.

Ensuite, l'AI Act européen est entré en application progressive depuis 2025. Sur les usages classés à risque (recrutement, scoring de clients, surveillance), des obligations supplémentaires se cumulent au RGPD. Une PME qui déploie un agent de tri de CV sans documentation conforme s'expose désormais à une double sanction.

Enfin, les collaborateurs sont devenus plus exigeants. Beaucoup refusent que leurs échanges Slack ou leurs mails soient lus par un modèle hébergé aux États-Unis. Sans réponse claire à cette question, l'adoption interne stalle.

02 · Les 4 risques majeurs d'un déploiement IA non conforme

Risque 1, Transfert de données hors UE non encadré. Toute donnée envoyée à OpenAI, Anthropic, ou Google API quitte l'UE. Sans Data Privacy Framework valide (le DPF a été mis à mal par la jurisprudence européenne), c'est un transfert illicite. Conséquence : sanction possible CNIL, et plaintes individuelles des salariés.

Risque 2, Absence d'analyse d'impact (DPIA). Pour les usages IA à risque (recrutement, scoring, surveillance), le RGPD impose une analyse d'impact préalable. La plupart des PME en sont à zéro DPIA pour leurs déploiements IA. C'est le premier point que la CNIL contrôle.

Risque 3, Conservation indue de prompts et conversations. Les modèles cloud US (OpenAI, Anthropic, Google) conservent les conversations 30 jours minimum (et plus selon le plan) pour des raisons opérationnelles ou d'amélioration. Si vos collaborateurs envoient des données client dedans, ces données restent. Sans contrat clair, c'est une fuite de données potentielle.

Risque 4, Manque de transparence vis-à-vis des personnes concernées. Si un assistant IA traite des données client (réponse à des emails par exemple), les clients ont le droit d'être informés (article 13 RGPD). Beaucoup de déploiements oublient cette mention.

03 · Hébergement souverain : OVH, Scaleway, Outscale comparés

L'option la plus simple pour résoudre le risque 1 est l'hébergement souverain européen. Trois acteurs principaux en France :

OVH (Roubaix, Strasbourg, Gravelines). Le plus utilisé. Offre IA dédiée ("AI Endpoints") avec des modèles open-weight pré-déployés (Llama, Mistral, Qwen). Tarifs très compétitifs, latence faible. Certifié SecNumCloud sur certaines offres.

Scaleway (Paris, Amsterdam, Varsovie). Excellente offre GPU pour entrainement custom. API IA dédiée avec Mistral. Très orienté développeur, documentation soignée.

Outscale (Cloud Souverain). Filiale Dassault Systèmes, certifié SecNumCloud full stack. Plus cher mais idéal pour les secteurs très régulés (santé, défense, finance).

Pour la grande majorité des PME, OVH ou Scaleway suffisent largement. Outscale est pertinent si vous avez des contraintes RSSI fortes.

04 · Modèles open-weight et conformité (poids vs données)

Une confusion fréquente : « si on utilise Llama, qui est de Meta, est-ce qu'on n'est pas tributaire de Meta ? ». La réponse est non, et c'est important de comprendre pourquoi.

Un modèle open-weight comme Llama, Mistral ou Qwen est composé de deux choses : les poids (les paramètres mathématiques du réseau de neurones, publiés une fois et téléchargeables) et les données d'inférence (vos prompts et les réponses générées).

Quand vous déployez Llama sur un serveur OVH, vous téléchargez les poids une seule fois (~7-70 Go selon le modèle). Ensuite, le modèle tourne en local : Meta n'a aucun accès aux prompts, ne reçoit pas vos données, ne peut pas les conserver. C'est l'équivalent d'utiliser un logiciel libre installé sur votre machine.

Cette séparation poids/données est la clé. Avec OpenAI (modèle propriétaire), les deux sont indissociables : pour utiliser GPT-5, vos données sortent forcément. Avec Llama ou Mistral, vous gardez la main complètement.

05 · Le cas Calendly et autres sous-traitants US

Beaucoup de PME pensent avoir réglé la question RGPD en hébergeant leur IA en France, et oublient les outils tiers connectés. Calendly, par exemple, est américain. Si votre agent CRM appelle l'API Calendly pour planifier des rendez-vous, vous transférez des données utilisateur aux USA.

La règle : faire l'inventaire de tous les services tiers utilisés par votre stack IA, et documenter chaque transfert hors UE. Pour chaque service, vous avez trois options :

  1. Le sous-traitant est conforme via Data Privacy Framework (à vérifier régulièrement), c'est le cas de la plupart des grands acteurs US
  2. Vous remplacez par une alternative européenne (par exemple Lemcal au lieu de Calendly)
  3. Vous limitez les données transférées (Calendly n'a besoin que de email/nom, pas du contenu des échanges)

L'erreur classique : oublier qu'une intégration Slack-vers-IA passe par Slack (US), donc transfère des messages internes vers les USA si rien n'est fait.

06 · Checklist : 10 questions à poser à votre prestataire

Avant de signer avec un prestataire IA, exigez des réponses écrites à ces 10 questions :

  1. Où sont hébergées les données pendant l'inférence (pays, datacenter) ?
  2. Quels modèles d'IA sont utilisés, et de quelle famille (open-weight ou propriétaire) ?
  3. Y a-t-il des transferts hors UE pour des outils tiers, et lesquels ?
  4. Combien de temps sont conservés les prompts et les réponses ?
  5. Avez-vous fait une analyse d'impact (DPIA) pour cet usage ?
  6. Comment les utilisateurs/clients sont-ils informés du traitement IA ?
  7. Comment exerce-t-on les droits des personnes (accès, effacement, opposition) ?
  8. Y a-t-il un journal d'audit des décisions prises par l'IA ?
  9. Quelle est votre politique en cas de violation de données ?
  10. Êtes-vous certifié ISO 27001, SecNumCloud, ou équivalent ?

Si vous obtenez 8 réponses claires sur 10, c'est un partenaire sérieux. Moins de 6 réponses claires = changez de prestataire.

Questions fréquentes

Est-ce qu'on peut utiliser ChatGPT en interne sans risque RGPD ?

Pour des usages personnels et anonymes (rédaction d'emails sans données client), c'est faisable. Pour traiter des données métier (clients, salariés, fournisseurs), c'est risqué, préférez un déploiement souverain avec modèles open-weight.

Une PME de 30 personnes doit-elle vraiment faire une DPIA ?

Si l'IA traite des données personnelles à grande échelle, ou des décisions automatisées (scoring, recrutement, surveillance), oui c'est obligatoire, quelle que soit la taille de l'entreprise. Pour des usages limités (recherche dans documentation interne), une analyse simplifiée suffit.

Combien coûte un déploiement IA conforme RGPD vs un déploiement OpenAI standard ?

Le surcoût est marginal en 2026. L'inférence sur cloud souverain européen coûte 1.2 à 1.5x un appel OpenAI, mais sans data leak. Et les modèles open-weight ont rattrapé la qualité GPT-4 sur 80% des tâches métier.

Lire aussi

Vous voulez en parler ?

30 minutes au téléphone, sans engagement. Si on n'est pas le bon partenaire, on vous le dit.

Réserver un appel →