Votre équipe utilise ChatGPT pour rédiger des emails clients, synthétiser des comptes rendus ou trier des CV. Vous pensez que le RGPD ne vous concerne pas parce que vous ne « développez pas d'IA ». C'est exactement là que le risque commence. La CNIL a publié en février 2025 ses recommandations sur l'IA générative et le RGPD, et le cadre est plus clair qu'on ne le croit : certains usages passent avec une documentation légère, d'autres exposent à des sanctions qui peuvent atteindre 20 millions d'euros.
- ⚠️ RGPD applicable immédiatement : dès qu'un outil IA traite un nom, un email ou une IP, vous êtes concerné.
- 📊 Intérêt légitime utilisable : la CNIL l'autorise comme base légale, sous conditions documentées.
- 💡 Kit conformité accessible : registre, DPA fournisseur et information des salariés suffisent pour démarrer.
- 🔥 Sanctions déjà tombées : France Travail, 5 M€ d'amende. DeepSeek bloqué en Italie par le Garante.
J'accompagne des PME françaises dans leur adoption de l'IA depuis deux ans. Le constat est toujours le même : la peur du RGPD bloque plus de projets que le RGPD lui-même. Ce guide reprend les positions officielles de la CNIL, les confronte aux cas concrets que je rencontre en formation, et vous donne un plan d'action applicable cette semaine.
Pourquoi le RGPD s'applique dès que votre équipe ouvre un outil d'IA
La confusion la plus fréquente que je rencontre en atelier : « on ne fait que poser des questions à ChatGPT, on ne stocke rien. » Le RGPD ne parle pas de stockage. Il parle de traitement de données personnelles. Et « traitement » couvre la collecte, la transmission, la consultation et même la simple saisie dans un champ de prompt.
Quelles données personnelles circulent sans que vous le sachiez ?
Selon le guide de coadjoint.fr, les cas les plus fréquents en PME sont aussi les plus invisibles. Un commercial qui colle un email client dans Claude pour rédiger une réponse transmet un nom, une adresse email, parfois un numéro de téléphone. Une assistante RH qui demande à ChatGPT de synthétiser un entretien annuel envoie des données d'évaluation professionnelle, catégorie sensible au sens de l'article 9.
Les logs techniques posent un problème similaire. La CNIL considère les adresses IP comme des données personnelles dans la majorité des cas. Si votre outil IA enregistre les prompts (et la plupart le font par défaut), vous avez un traitement actif, même sans le vouloir.
Chaque prompt contenant un prénom, un email ou un identifiant client déclenche le RGPD.
En quoi l'AI Act modifie les obligations des PME en 2026 ?
Le RGPD n'est plus seul. Depuis 2026, l'AI Act européen est partiellement applicable. Selon Yousign, les deux cadres s'appliquent simultanément. Pour une PME, cela signifie concrètement que certains usages de l'IA (tri de CV automatisé, scoring client) sont classés « à risque élevé » par l'AI Act, ce qui ajoute des obligations de documentation et de supervision humaine au-dessus du RGPD.
La bonne nouvelle : les usages courants (rédaction d'emails, synthèse de réunions, assistance marketing) restent classés « risque limité » ou « risque minimal ». L'obligation se limite alors à informer les personnes qu'elles interagissent avec une IA, et à documenter le traitement dans votre registre.
Ce que la CNIL autorise concrètement
Contrairement à ce que beaucoup de consultants RGPD laissent entendre, la CNIL n'interdit pas l'usage de l'IA générative. Elle pose des conditions. Et ces conditions sont gérables pour une PME de 20 à 250 personnes.
Comment utiliser l'intérêt légitime comme base légale ?
La CNIL a explicitement validé l'intérêt légitime comme base légale pour entraîner des systèmes d'IA, selon ses recommandations de février 2025. Pour une PME qui utilise un outil existant (ChatGPT, Claude, Copilot) sans entraîner son propre modèle, c'est encore plus simple : votre base légale repose sur le contrat avec le fournisseur ou sur l'intérêt légitime de votre activité.
L'analyse de mise en balance revient à documenter trois points : votre intérêt professionnel (gain de temps, qualité de réponse), les risques pour les personnes (exposition de données, profilage), et vos mesures de limitation (anonymisation, DPA, opt-out entraînement). J'ai vu des équipes RH boucler cette analyse en une demi-journée avec le modèle téléchargeable sur cnil.fr.
Faut-il informer chaque personne dont les données passent dans l'IA ?
Oui, mais pas comme vous l'imaginez. L'article 5.1.a du RGPD exige la transparence : les personnes concernées doivent savoir que leurs données sont traitées par une IA. En pratique, trois actions suffisent : une mention dans votre politique de confidentialité, une note interne aux salariés, et une mise à jour de vos CGV si des données clients transitent par l'IA.
La CNIL ne demande pas un consentement individuel pour chaque utilisation. L'information collective suffit quand la base légale est l'intérêt légitime. C'est un point que codpo.fr confirme dans son état des lieux 2025.
Si vous avez déjà mis en place une gouvernance IA dans votre PME, ces obligations s'intègrent naturellement dans le cadre existant.
Les sanctions qui tombent déjà
La théorie juridique, c'est une chose. Les amendes réelles, c'en est une autre. Et depuis 2025, les autorités européennes de protection des données n'hésitent plus à sanctionner les usages IA non conformes.
Quels cas concrets d'amendes en 2025-2026 ?
L'exemple le plus marquant en France : France Travail a écopé de 5 millions d'euros d'amende pour des manquements liés au traitement de données personnelles. En Italie, le Garante (l'équivalent de la CNIL) a purement et simplement bloqué DeepSeek sur le territoire, un précédent qui montre que les régulateurs n'hésitent pas à couper l'accès à un service entier.
L'article 83 du RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour une PME réalisant 5 millions d'euros de CA, l'amende maximale théorique est de 200 000 €. Ça reste un montant qui peut mettre en péril une trésorerie.
| Obligation | Risque si absente | Difficulté PME | Priorité |
|---|---|---|---|
| Registre des traitements IA | Amende CNIL + impossibilité de prouver la conformité | Faible (1 journée) | ↑ Critique |
| DPA avec fournisseur IA | Transfert illégal hors UE, fuite de données | Faible (demander au fournisseur) | ↑ Critique |
| Information des salariés | Sanction + contentieux prud'homal | Moyenne (note interne) | ↑ Haute |
| DPIA (analyse d'impact) | Exigée pour le tri de CV, le scoring client | Moyenne (demi-journée) | → Si usage à risque |
| Opt-out entraînement | Données clients utilisées pour entraîner le modèle | Faible (case à cocher) | ↑ Haute |
SOURCE : recommandations CNIL février 2025 + guide Yousign 2026 · MAJ 05/2026
Le piège le plus courant que je constate en formation : l'absence de DPA (Data Processing Agreement) avec le fournisseur d'IA. Beaucoup de PME utilisent ChatGPT en version gratuite ou avec un abonnement individuel. Dans ces configurations, OpenAI peut utiliser les données des prompts pour entraîner ses modèles. Un simple passage à ChatGPT Team ou Enterprise, avec un DPA signé, résout 80 % du problème.
Le kit de conformité minimum pour votre PME
J'ai formé une quinzaine de PME sur ce sujet depuis début 2025. Voici le plan d'action que je recommande, testé sur le terrain, qui prend entre deux et cinq jours selon la taille de l'équipe.
Par où commencer quand on n'a pas de DPO ?
Si vous avez moins de 250 salariés et que votre activité principale n'est pas le traitement de données, vous n'êtes pas légalement obligé d'avoir un DPO. Ce qui ne vous dispense pas de documenter vos traitements. Le point de départ : nommer un référent RGPD interne (souvent le DAF ou le responsable IT) et lui confier trois livrables.
Premier livrable : le registre des traitements IA. Listez chaque usage (email, RH, marketing, support client), la base légale choisie, les catégories de données traitées et le fournisseur. La CNIL fournit un modèle gratuit sur son site.
Deuxième livrable : le DPA fournisseur. Contactez votre fournisseur d'IA (OpenAI, Anthropic, Google, Mistral) et demandez leur DPA standard. Vérifiez trois points : l'opt-out de l'entraînement sur vos données, la localisation des serveurs (UE ou non), et les sous-traitants ultérieurs. Si vous cherchez un outil qui traite les données en Europe, Mistral reste une option à évaluer pour les PME françaises.
Troisième livrable : la note d'information interne. Informez vos salariés par écrit que l'entreprise utilise des outils d'IA générative, quels usages sont autorisés, quelles données ne doivent jamais être saisies dans un prompt (données de santé, numéros de sécurité sociale, informations bancaires), et qui contacter en cas de doute.
Comment choisir un fournisseur IA conforme au RGPD ?
Le critère numéro un n'est pas le prix, c'est la localisation du traitement. Le CEPD impose des garanties supplémentaires pour tout transfert hors UE. Voici la grille de lecture pour une PME française.
Un fournisseur avec hébergement UE et DPA signé (Azure OpenAI région France, Mistral via Scaleway) est le scénario le plus simple. Un fournisseur US avec DPA et opt-out entraînement (ChatGPT Team, Claude Pro) est acceptable si vous documentez le transfert via les clauses contractuelles types. Un fournisseur sans DPA ni localisation claire : à éviter.
Pour aller plus loin sur les erreurs classiques d'adoption IA en PME, j'ai détaillé les cinq pièges les plus fréquents dans cet article sur la formation IA des employés.
Mon verdict : la conformité RGPD est un avantage, pas un frein
Je suis convaincu que les PME qui documentent proprement leur usage de l'IA générative dès maintenant prennent un avantage concurrentiel. Pas seulement juridique : un cadre clair rassure les équipes, accélère l'adoption et évite les usages sauvages qui finissent par créer des incidents.
Le vrai problème n'est jamais le RGPD. C'est l'absence de méthode. Une PME qui découpe son adoption IA en blocs courts, testables, et qui documente au fur et à mesure, ne sera jamais prise en défaut. Celle qui laisse chaque salarié utiliser ChatGPT « comme il veut » accumule une dette de conformité qui finira par se payer.
Mon conseil : bloquez deux jours cette semaine pour produire les trois livrables (registre, DPA, note interne). C'est le minimum qui vous protège. Et si vous voulez aller plus loin, la CNIL propose un accompagnement dédié aux PME qui mérite d'être consulté. Pour structurer l'adoption IA à l'échelle de votre équipe, un plan de formation semaine par semaine reste le levier le plus efficace que j'ai testé.
Foire aux questions
Une PME qui utilise ChatGPT en version gratuite est-elle conforme au RGPD ?
Non, dans la majorité des cas. La version gratuite ne propose pas de DPA, et les prompts peuvent servir à entraîner le modèle. Si vos salariés y saisissent des noms de clients ou des données RH, vous êtes en infraction. Le passage à ChatGPT Team (25 $/mois par utilisateur) résout ce problème avec DPA inclus et opt-out entraînement.
Faut-il réaliser une DPIA pour chaque usage d'IA générative ?
Pas systématiquement. La CNIL exige une analyse d'impact (DPIA) uniquement quand le traitement présente un risque élevé pour les droits des personnes. Le tri de CV automatisé, le scoring client ou la prise de décision automatisée entrent dans cette catégorie. La rédaction d'emails marketing ou la synthèse de réunions internes, en revanche, ne nécessitent généralement pas de DPIA, à condition que les données soient minimisées.
Le RGPD interdit-il d'utiliser des IA hébergées aux États-Unis ?
Non, mais il impose des garanties. Depuis l'arrêt Schrems II (2020), tout transfert vers les US nécessite des clauses contractuelles types (CCT) ou le EU-US Data Privacy Framework (juillet 2023). OpenAI, Anthropic et Google proposent ces CCT dans leurs DPA. Vérifiez que votre contrat les mentionne.
Que risque concrètement une PME de 30 personnes en cas de contrôle CNIL ?
La CNIL procède par étapes : mise en demeure, puis sanction si les manquements persistent. Les premiers contrôles se traduisent souvent par une demande de mise en conformité sous trois à six mois. Une PME à 3 M€ de CA sans registre et sans DPA s'expose à une amende de 10 000 à 50 000 €, suffisante pour impacter la trésorerie.
Mistral ou une IA française est-elle automatiquement conforme au RGPD ?
Non. Mistral héberge ses modèles via Scaleway (infrastructure française), ce qui simplifie le transfert hors UE. Mais vous devez documenter le traitement, vérifier le DPA et informer les personnes concernées. La nationalité du fournisseur facilite la localisation, elle n'élimine pas les cinq autres obligations.
Sources
- DSGVO und KI-Verordnung - In der Unternehmenspraxis — aigner business solutions
- IA et RGPD : la CNIL publie ses nouvelles recommandations — cnil.fr
- RGPD et IA générative : guide complet pour les entreprises françaises — coadjoint.fr
- IA générative et RGPD : état des lieux 2025 — codpo.fr
- IA générative et RGPD : 7 obligations à connaître — yousign.com
- RGPD et IA Generative : Guide de Conformité CNIL en 2026 — ayinedjimi-consultants.fr