Pillar · Guide complet · 12 mars 2027 · Par Mehdi Rahmani

RGPD et IA générative. Le guide complet.

Le RGPD ne dit rien de spécifique sur l'IA générative, il pose des principes qui s'appliquent à tous les traitements de données. Mais l'IA générative pose des questions nouvelles que le RGPD doit éclairer cas par cas. Ce guide synthétise toutes les positions CNIL et CEPD à jour de 2027.

01 · Cadre RGPD applicable à l'IA générative

Le RGPD (règlement 2016/679) ne mentionne pas l'IA générative, il a été adopté avant l'explosion des LLM. Mais ses principes s'appliquent intégralement dès qu'un traitement implique des données personnelles. La CNIL a publié plusieurs séries de recommandations entre 2024 et 2027 pour préciser l'application du RGPD aux usages IA.

Les principes RGPD qui s'appliquent à l'IA :

Licéité, loyauté, transparence (article 5.1.a) : informer la personne, base légale documentée
Finalité spécifique (5.1.b) : traitement limité à la finalité initialement annoncée
Minimisation (5.1.c) : ne traiter que les données strictement nécessaires
Exactitude (5.1.d) : maintenir les données à jour, gérer les hallucinations IA
Limitation de conservation (5.1.e) : durée définie, suppression à terme
Intégrité, confidentialité (5.1.f) : sécurisation, chiffrement
Responsabilité (5.2) : pouvoir démontrer la conformité (registre, DPIA, logs)

L'IA générative cumule ces obligations avec celles de l'AI Act (voir notre guide AI Act PME) quand l'usage est classé à risque limité ou élevé.

02 · Identifier les traitements de données personnelles

Premier exercice : recenser tous les flux où votre IA traite des données personnelles. Voici les cas typiques en PME :

Cas évidents (toujours données personnelles) :

Tri de CV (données candidats : nom, parcours, photo, etc.)
Réponse à des emails clients (l'email contient nom, adresse, contenu)
Mise à jour de CRM après RDV (fiche contact)
Synthèse de réunion (paroles attribuées à des personnes nommées)
Assistant interne RH (données employés)

Cas moins évidents mais souvent oubliés :

Génération de devis avec coordonnées client (nom du contact = donnée personnelle)
Logs techniques avec adresses IP des utilisateurs (CNIL : IP = donnée personnelle dans la plupart des cas)
Recherche dans documentation interne quand la doc contient des noms (procédures, organigramme)
Assistant qui mémorise les préférences d'un utilisateur (profilage)

Cas rares où il n'y a vraiment pas de données personnelles :

Génération de contenu marketing à partir de données purement produit
Optimisation logistique sans identification d'utilisateurs
Analyse statistique anonymisée et agrégée

Conclusion : la majorité des usages IA en PME impliquent des données personnelles. Le RGPD s'applique presque toujours.

03 · Choisir la base légale appropriée

Tout traitement de données personnelles doit reposer sur une base légale parmi les six prévues à l'article 6 RGPD. Les pertinentes pour l'IA :

Exécution d'un contrat (6.1.b). Si l'IA traite des données pour exécuter un contrat avec la personne concernée. Exemple : assistant qui répond à un client en s'appuyant sur l'historique de ses commandes.

Obligation légale (6.1.c). Rare en IA, applicable si l'IA aide à respecter une obligation légale (contrôle KYC bancaire automatisé, par exemple).

Intérêt légitime (6.1.f). La base la plus utilisée en B2B. Mais elle nécessite une mise en balance documentée : vos intérêts (efficacité opérationnelle) ne doivent pas l'emporter sur les droits des personnes. Pour des cas comme « assistant qui aide nos commerciaux à mettre à jour le CRM », l'intérêt légitime est généralement justifiable. Pour « assistant qui surveille la productivité des employés », non.

Consentement (6.1.a). Nécessaire pour des traitements particulièrement intrusifs ou pour des données sensibles. En entreprise, le consentement employé est souvent considéré comme non valide (lien de subordination), donc on évite cette base sauf cas précis.

Mission d'intérêt public (6.1.e). Réservé aux administrations.

Sauvegarde des intérêts vitaux (6.1.d). Cas extrêmes uniquement.

Pour 80% des usages PME, la base sera l'intérêt légitime (B2B, optimisation opérationnelle) ou l'exécution du contrat (relation client). Documenter le choix dans le registre RGPD.

04 · Quand faire une DPIA et comment la structurer

L'analyse d'impact (DPIA, Data Protection Impact Assessment) est obligatoire pour les traitements à risque élevé. La CNIL a publié une liste indicative de cas qui en nécessitent une systématiquement (ce qu'elle appelle « article 35 du RGPD ») :

Évaluation systématique de personnes (scoring, profiling)
Surveillance systématique d'employés
Traitement de données sensibles à grande échelle
Croisement de données issues de sources diverses
Données concernant des personnes vulnérables
Décisions automatisées avec effet juridique
Usage innovant ou nouveau d'une technologie (l'IA générative en fait partie selon plusieurs avis CNIL)

Pour la majorité des usages IA en PME, la DPIA est recommandée. Pour certains usages (tri CV, scoring d'employés, surveillance), elle est obligatoire.

Structure type d'une DPIA IA :

Description du traitement (finalité, contexte, parties prenantes)
Inventaire des données traitées et leur catégorie
Description du système IA (modèle utilisé, hébergement, sous-traitants)
Analyse des risques pour les personnes (perte de confidentialité, décisions biaisées, etc.)
Mesures de mitigation (chiffrement, supervision humaine, audit, etc.)
Analyse résiduelle des risques après mitigation
Procédure de gestion des incidents
Validation par le DPO (si vous en avez un)

Une DPIA bien faite fait 8-15 pages. C'est un document vivant : à mettre à jour quand le traitement évolue. Coadjoint produit la DPIA en standard pour les usages à risque élevé dans tous ses forfaits.

05 · Droits des personnes : ce qui change avec l'IA

Les droits des personnes (articles 15-22) s'appliquent intégralement à l'IA. Mais leur mise en œuvre pratique pose des défis spécifiques.

Droit d'accès (15). Une personne peut demander quelles informations vous traitez sur elle. Avec une IA, ça inclut : ses prompts, les réponses générées, les éventuelles décisions automatisées la concernant. Conséquence pratique : il faut conserver les logs d'interaction sur la durée légale (1 à 5 ans typiquement) pour pouvoir répondre.

Droit de rectification (16). Une personne peut demander la correction d'informations inexactes. Avec une IA qui génère des hallucinations, ça veut dire : si l'IA a raconté quelque chose de faux sur une personne (dans un email, dans une fiche CRM enrichie), vous devez pouvoir corriger.

Droit à l'effacement (17, « droit à l'oubli »). Une personne peut demander la suppression de ses données. Difficile sur les modèles entrainés (vous ne pouvez pas « désentrainer »), mais facile sur les données opérationnelles (logs, fiches, conversations). Pour la majorité des usages PME, qui n'utilisent pas de fine-tuning sur données personnelles, c'est gérable.

Droit à la portabilité (20). Récupérer ses données dans un format structuré. Implications IA : les données traitées par votre agent IA doivent pouvoir être exportées pour la personne (logs d'interaction, données enrichies, etc.).

Droit d'opposition (21). Une personne peut refuser un traitement basé sur l'intérêt légitime. Si elle s'oppose, vous devez arrêter sauf motif impérieux. En IA, ça veut dire : prévoir un mécanisme d'opt-out (ne pas être traité par l'agent), avec une voie alternative humaine.

Décisions automatisées (22). Une personne ne peut pas être soumise à une décision purement automatisée ayant des effets juridiques ou similaires. Pour le tri de CV : la décision finale d'invitation doit être humaine, pas l'agent. Pour le scoring de leads : pas de problème car ça n'a pas d'effet juridique sur la personne.

06 · Sous-traitance : qui est responsable de quoi

L'IA générative implique presque toujours plusieurs acteurs : vous (responsable de traitement), votre prestataire IA (ex: Coadjoint) sous-traitant, l'hébergeur (OVH) sous-traitant, parfois l'éditeur du modèle (Mistral) sous-sous-traitant. Le RGPD impose des contrats encadrés (article 28).

Documents à formaliser :

Contrat de sous-traitance Coadjoint ↔ Client. Spécifie : objet, durée, nature des données traitées, obligations du sous-traitant (confidentialité, sécurité, ne pas utiliser les données à d'autres fins, restitution/suppression à la fin). C'est un document standard que Coadjoint signe à chaque mission.

Sous-traitance ultérieure (article 28.2). Si Coadjoint utilise OVH comme hébergeur, OVH devient sous-sous-traitant. Le client doit être informé et peut s'y opposer. La liste des sous-sous-traitants utilisés est fournie en annexe du contrat.

Localisation des sous-traitants. Tous les sous-traitants UE simplifient la conformité. Un sous-traitant hors UE (ex: Calendly aux USA) nécessite un encadrement spécifique (DPF ou clauses contractuelles types).

En pratique pour une PME : exiger de chaque prestataire IA la liste de ses sous-traitants, leur pays, et le contrat de sous-traitance signé. Si un prestataire refuse, c'est qu'il n'est pas conforme.

07 · Transferts hors UE : DPF, CCT, et alternatives

Les transferts de données hors UE sont encadrés par le chapitre V du RGPD. En pratique, trois mécanismes :

Décision d'adéquation (article 45). Pour les pays jugés « adéquats » par la Commission européenne (Royaume-Uni, Suisse, Japon, Canada partiel, etc.), aucune formalité supplémentaire. Pour les USA, le mécanisme est le Data Privacy Framework (DPF), adopté en 2023, mais juridiquement fragile (recours en cours).

Garanties appropriées (article 46). Clauses contractuelles types (CCT) approuvées par la Commission. Le sous-traitant US s'engage à respecter le RGPD via contrat. Insuffisant seul depuis Schrems II, doit être complété par des « mesures supplémentaires » (chiffrement, pseudonymisation, etc.).

Dérogations (article 49). Cas exceptionnels : consentement explicite de la personne, exécution d'un contrat avec elle, motif d'intérêt public. Limité aux usages ponctuels, pas aux flux récurrents.

Pour une PME 2027, la stratégie la plus simple est d'éviter les transferts hors UE en première intention :

Modèle d'IA déployé en UE (Mistral chez OVH plutôt que GPT chez OpenAI)
Sous-traitants UE prioritaires (remplacer Calendly par Lemcal, par exemple)
Si un sous-traitant US est nécessaire (Slack, Microsoft 365), documenter le DPF + CCT et limiter au strict nécessaire

08 · Cas spécifiques sensibles

Certains cas méritent un traitement particulier :

Données de santé. Catégorie particulière (article 9). Hébergement obligatoire chez un Hébergeur de Données de Santé (HDS) certifié. En France : OVH Healthcare, Outscale Healthcare, Worldline. IA déployée sur ces hébergeurs uniquement.

Mineurs. Consentement parental requis pour les enfants de moins de 15 ans (RGPD français). Si votre IA peut être utilisée par des mineurs (chatbot grand public, par exemple), prévoir un mécanisme de vérification d'âge.

Données biométriques. Reconnaissance faciale, vocale : encadrement très strict. À éviter sauf nécessité forte et conformité documentée.

Surveillance d'employés. Toutes les utilisations IA pour mesurer la productivité, surveiller l'activité, ou évaluer les employés sont à risque élevé. Information préalable des employés et des IRP obligatoire. DPIA systématique. Recommandation Coadjoint : éviter ces usages, qui détériorent le climat social plus qu'ils n'apportent de valeur.

09 · Sanctions CNIL observées sur l'IA en 2025-2027

Quelques exemples publics (anonymisés ici) de sanctions CNIL observées entre 2025 et 2027 :

Cas 1 : Cabinet de recrutement, 2025. Tri automatique de CV via OpenAI sans DPIA, sans information des candidats, sans supervision humaine. Sanction : 75 000 €. Mise en demeure de stopper l'usage et de mettre en conformité dans 6 mois.

Cas 2 : Plateforme e-commerce, 2026. Chatbot service client basé sur GPT-4 avec transmission massive de données client aux USA, sans encadrement DPF correctement documenté. Sanction : 200 000 €. Obligation de migrer vers une solution conforme.

Cas 3 : PME industrielle, 2026. Surveillance automatisée des emails employés via une IA non documentée. Sanction : 40 000 € + obligation d'arrêter le traitement.

Cas 4 : Cabinet médical, 2027. Synthèse automatique de comptes-rendus via un modèle hébergé en cloud non-HDS. Sanction : 50 000 € + suspension du traitement.

Tendance : la CNIL est plus pédagogue que punitive en première intervention si l'entreprise fait preuve de bonne foi. Mais la non-conformité manifeste (aucune documentation, persistance après mise en demeure) entraîne des sanctions financières non négligeables, souvent supérieures au coût de mise en conformité initial.

Questions fréquentes

Une PME de 10 personnes doit-elle vraiment faire toute cette documentation ?

Oui, le RGPD ne fait pas d'exception de taille. Mais la documentation peut être proportionnée : pour une PME 10 personnes, un registre simplifié + une DPIA pour les usages à risque suffit. Coadjoint accompagne les PME sur cette documentation dans tous ses forfaits.

Doit-on avoir un DPO ?

Pas systématiquement. Un DPO est obligatoire si vous traitez des données à grande échelle, des données sensibles, ou si vous êtes un organisme public. Pour la majorité des PME B2B standards, ce n'est pas obligatoire, un correspondant RGPD interne (souvent le DAF ou un cadre dirigeant) suffit.

Combien coûte la mise en conformité IA en PME ?

Pour un déploiement IA standard (forfait Coadjoint), la conformité RGPD est incluse dans le forfait. Pour une mise en conformité d'usages existants (audit, DPIA rétrospective), compter 3-8 k€ selon la complexité, en mission séparée.

Quelle est la position de la CNIL sur l'IA générative en 2027 ?

La CNIL est globalement favorable à l'innovation IA mais exigeante sur la conformité. Position : « innover sans renoncer aux droits ». Pas d'interdiction de principe, mais documentation, supervision humaine, et information des personnes systématiquement attendues.