Vous utilisez un outil d'IA pour traiter des emails clients, qualifier des leads ou générer des documents. Vos données partent vers les serveurs du fournisseur. Et vous vous demandez, en arrière-plan, si tout ça est vraiment cadré côté RGPD.
La question est légitime. Le RGPD s'applique intégralement aux PME, et les outils d'IA multiplient les situations où des données personnelles transitent sans que personne ne l'ait vraiment formalisé. Ce n'est pas une raison de ne pas utiliser l'IA. C'est une raison de le faire correctement.
Voici les points essentiels à vérifier avant de confier vos données à un outil d'IA, expliqués sans jargon juridique.
RGPD et IA : ce qu'une PME doit vérifier en priorité
Dès que vous transmettez des données personnelles à un outil d'IA — nom, email, historique client, contenu d'un email — le fournisseur devient votre sous-traitant au sens du RGPD. Vous devez signer un contrat de sous-traitance (DPA), vérifier où sont hébergées vos données, et vous assurer qu'elles ne servent pas à entraîner les modèles du fournisseur sans votre accord.
Pourquoi l'IA pose un problème RGPD spécifique
Utiliser un logiciel classique et utiliser un outil d'IA ne posent pas les mêmes questions. Quand un logiciel traite vos données, il les stocke ou les affiche. Quand un outil d'IA les traite, plusieurs questions supplémentaires se posent : ces données vont-elles servir à entraîner le modèle ? Où sont-elles hébergées ? Peuvent-elles être restituées dans les réponses que le modèle donne à d'autres utilisateurs ?
La CNIL a renforcé ses exigences depuis 2024 : elle demande notamment des contrats de sous-traitance complets avec les fournisseurs de modèles de langage utilisés en contexte professionnel, et exerce une vigilance particulière sur les transferts hors UE. La situation évolue vite, et les PME ne sont pas exemptées.
Point 1 — Votre fournisseur d'IA est votre sous-traitant
Dès que vous envoyez des données personnelles (un email client, un nom, un numéro de commande) à un outil d'IA, ce fournisseur devient votre sous-traitant au sens de l'article 28 du RGPD. Cela signifie qu'un contrat écrit doit exister entre vous, appelé DPA (Data Processing Agreement).
Ce contrat doit préciser ce que le fournisseur peut faire avec vos données, les mesures de sécurité qu'il met en place, et les conditions dans lesquelles il peut faire appel à des sous-traitants. En 2026, vos contrats doivent garantir que vos données ne sont pas utilisées pour l'entraînement général des modèles sans votre accord explicite.
En pratique : avant d'activer un outil d'IA sur des données clients, vérifiez qu'un DPA est disponible et signé. La plupart des fournisseurs sérieux le proposent dans leurs conditions ou sur demande.
Exemple type : une PME utilise un assistant IA pour traiter ses emails de support client. Chaque email contient le nom du client, sa commande, parfois son adresse. Sans DPA signé avec le fournisseur de l'outil, ce traitement n'est pas conforme au RGPD, même si le fournisseur est reputé.
Point 2 — Où partent vos données ?
La majorité des fournisseurs d'IA grand public sont établis aux États-Unis. Quand vos données transitent vers leurs serveurs, c'est un transfert hors Union européenne. Ce transfert est encadré par le RGPD et n'est licite que sous certaines conditions.
En 2026, les entreprises doivent vérifier que leur fournisseur d'IA est certifié Data Privacy Framework ou qu'il a mis en place des clauses contractuelles types validées par la Commission européenne. À défaut, le transfert est illégal et expose l'entreprise à des sanctions de la CNIL.
Les fournisseurs subsérieux (OpenAI, Microsoft, Google, Anthropic entre autres) proposent des offres entreprises avec des garanties conformes. Les outils moins connus ou gratuits méritent une vérification spécifique. La question à poser : où sont hébergées mes données, et quelles garanties juridiques encadrent ce transfert ?
Point 3 — Vos données servent-elles à entraîner le modèle ?
C'est le point qui surprend le plus. Certains outils d'IA utilisent les données que vous leur envoyez pour améliorer ou entraîner leurs modèles. Si ces données contiennent des informations personnelles sur vos clients, c'est un traitement supplémentaire qui nécessite une base légale.
La plupart des offres entreprises désactivent cet entraînement par défaut. Les offres grand public souvent pas. Vérifiez les conditions d'utilisation, ou posez la question directement au fournisseur. Si la réponse est floue, c'est un signal d'alerte.
Exemple type : un responsable commercial colle un fichier de prospects dans un outil d'IA grand public pour obtenir une synthèse. Si l'outil utilise ces données pour entraîner son modèle, les informations de ces prospects peuvent influencer les réponses données à d'autres utilisateurs de la plateforme. Ce scénario, appelé shadow IT, est l'une des principales sources de risque RGPD liées à l'IA en entreprise.
Point 4 — Vos équipes savent-elles ce qu'elles ne doivent pas faire ?
78 % des employés français utilisant des outils d'IA générative au travail n'ont reçu aucune formation sur les risques RGPD associés. Un commercial qui colle un email client dans un outil grand public, un RH qui envoie un CV dans un assistant IA, un comptable qui transmet des données financières : autant de traitements non encadrés qui peuvent engager la responsabilité de l'entreprise.
La conformité RGPD n'est pas seulement un sujet juridique. C'est aussi un sujet de pratiques internes. Une note simple à vos équipes — quels outils sont autorisés, quelles données ne doivent jamais y être envoyées — réduit considérablement le risque.
Point 5 — Avez-vous informé vos clients ?
Si vous utilisez l'IA pour traiter des données de vos clients — qualification de leads, analyse de tickets support, génération de réponses — vos mentions d'information doivent le préciser. Le RGPD exige que les personnes concernées soient informées des traitements qui les concernent, y compris ceux automatisés.
Ce n'est pas une formalité complexe : une ligne supplémentaire dans votre politique de confidentialité suffit souvent. Mais l'oublier expose à une non-conformité facilement évitable.
Ce que le RGPD ne vous interdit pas
Utiliser l'IA sur des données personnelles n'est pas interdit. C'est encadré. La différence est importante : il ne s'agit pas de renoncer à ces outils, mais de les utiliser avec les bons contrats, les bonnes vérifications et les bonnes pratiques internes.
Les entreprises qui font cet effort ne se contentent pas d'éviter des sanctions. Elles bénéficient d'un avantage concurrentiel réel : leurs clients savent que leurs données sont traitées sérieusement. Dans un contexte où la confiance numérique est un enjeu croissant, c'est un argument de fond.
La liste de vérification pratique
Avant de déployer un outil d'IA sur des données personnelles, vérifiez ces cinq points :
- Un DPA est-il disponible et signé avec le fournisseur ?
- Où sont hébergées vos données — UE ou hors UE — et quelles garanties encadrent ce transfert ?
- Le fournisseur s'engage-t-il à ne pas utiliser vos données pour entraîner ses modèles ?
- Vos équipes savent-elles quels outils sont autorisés et quelles données ne doivent pas y être envoyées ?
- Vos mentions d'information client mentionnent-elles l'usage de l'IA ?
Cinq « oui » : vous avez un socle de conformité solide. Un « non » : c'est le premier point à corriger.
L'essentiel à retenir
Le RGPD s'applique intégralement à l'utilisation d'outils d'IA en PME. Dès que des données personnelles transitent vers un fournisseur, un contrat de sous-traitance est nécessaire, les conditions d'hébergement et de transfert doivent être vérifiées, et vos clients doivent être informés. Ce n'est pas une raison de ne pas utiliser l'IA — c'est une raison de le faire correctement, avec les bons outils et les bons contrats.
Vous déployez un outil d'IA et vous voulez vérifier que votre cadre est solide ? En un échange, nous passons en revue vos outils, vos flux de données et vos contrats fournisseurs. Faisons le point sur votre conformité.