Vous avez adopte l’IA dans votre entreprise, ou vous vous appretez a le faire. La question qui revient toujours, du dirigeant comme du DPO : « est-ce qu’on a le droit ? ». La reponse courte est oui — mais a condition de respecter deux reglements qui se cumulent : le RGPD, qui protege les donnees personnelles depuis 2018, et l’EU AI Act, qui encadre les systemes d’IA depuis 2024. Bonne nouvelle : la conformite tient surtout a une poignee de reflexes concrets. Voici lesquels.
RGPD et AI Act : deux reglements, pas un choix
C’est le premier malentendu a lever. Beaucoup d’entreprises croient que l’EU AI Act « remplace » le RGPD pour les projets IA. C’est faux. Les deux textes cohabitent et s’appliquent en meme temps :
- Le RGPD (reglement UE 2016/679) encadre le traitement de donnees personnelles, quel que soit l’outil utilise. Des qu’une IA lit, stocke ou genere des donnees relatives a des personnes identifiables, il s’applique.
- L’EU AI Act (reglement UE 2024/1689) encadre le systeme d’IA lui-meme, selon son niveau de risque, qu’il manipule ou non des donnees personnelles.
Autrement dit : un outil de tri de CV dope a l’IA est a la fois un traitement de donnees personnelles (RGPD) et un systeme d’IA a haut risque (AI Act). Vous devez respecter les deux. Si le vocabulaire de l’IA vous echappe encore (LLM, token, RAG, profilage), notre lexique IA remet les mots essentiels en place.
Le RGPD regarde les donnees. L’AI Act regarde le systeme. Quand une IA touche a des donnees personnelles, les deux reglements s’appliquent simultanement — ce n’est jamais l’un ou l’autre.
Les 6 obligations RGPD qui s’appliquent a vos usages d’IA
Le RGPD n’a pas de chapitre special « IA ». Ce sont ses principes classiques qui s’appliquent, mais l’IA les met sous tension. Voici les six qui comptent le plus.
1. Une base legale pour chaque traitement
Tout usage d’IA sur des donnees personnelles doit reposer sur une des bases legales de l’article 6 : consentement, execution d’un contrat, obligation legale, ou interet legitime. L’interet legitime est souvent mobilise pour l’IA, mais il exige un test de mise en balance documente entre votre interet et les droits des personnes. La base se choisit avant de lancer le projet, pas apres coup.
2. La minimisation des donnees
Ne donnez a l’IA que les donnees strictement necessaires a la finalite. Copier-coller un fichier client entier dans un chatbot pour « voir ce qu’il en dit » viole directement ce principe. Anonymisez ou pseudonymisez quand c’est possible.
3. La limitation des finalites
Les donnees collectees pour une raison (ex. gestion de la paie) ne peuvent pas etre reutilisees pour entrainer un modele ou alimenter un autre usage sans base legale et information nouvelles. L’IA rend ce detournement tentant : resistez-y.
4. La transparence
Les personnes concernees (clients, salaries, candidats) doivent etre informees qu’une IA traite leurs donnees, dans quel but, et avec quelles consequences. C’est une obligation des articles 12 a 14 — et l’AI Act ajoute sa propre obligation de transparence pour les chatbots et les contenus generes.
5. La securite et l’encadrement du sous-traitant
Votre fournisseur d’IA est un sous-traitant au sens du RGPD : il vous faut un contrat (DPA) qui encadre ce qu’il fait de vos donnees, garantit qu’il ne les utilise pas pour entrainer ses modeles sans votre accord, et assure un niveau de securite suffisant (article 32).
6. Le respect des droits des personnes
Acces, rectification, effacement, opposition : les personnes gardent leurs droits, meme quand leurs donnees transitent par une IA. Vous devez etre capable de retrouver et de supprimer les donnees d’une personne — ce qui est loin d’etre trivial avec certains outils.
Ne saisissez jamais de donnees personnelles, de secrets d’affaires ou de documents confidentiels dans la version grand public et gratuite d’un outil d’IA. Pour un usage professionnel, passez sur une offre entreprise (par ex. ChatGPT Team/Enterprise, Claude Team, Le Chat Pro) qui n’entraine pas ses modeles sur vos donnees et offre un cadre contractuel. Notre comparatif des outils d’IA pour les PME detaille, pour chaque solution, l’hebergement des donnees et le niveau RGPD.
Decision automatisee : l’article 22, le piege le plus courant
C’est l’article du RGPD que l’IA fait exploser. L’article 22 pose un principe fort : une personne a le droit de ne pas faire l’objet d’une decision fondee uniquement sur un traitement automatise qui produit des effets juridiques la concernant ou l’affecte de maniere significative.
Traduction concrete : vous ne pouvez pas laisser une IA decider seule d’une embauche, d’un licenciement, de l’octroi d’un credit ou de la resiliation d’un contrat. Il faut :
- une intervention humaine reelle (pas un simple clic de validation),
- la possibilite pour la personne de contester la decision,
- une information claire sur la logique du traitement.
Ce point rejoint directement l’EU AI Act, qui classe le recrutement et la gestion RH parmi les usages a haut risque. Si vous utilisez l’IA cote RH, lisez notre guide de l’IA au recrutement : il detaille comment garder l’humain dans la boucle et eviter les biais.
Quand faut-il une analyse d’impact (AIPD) ?
L’AIPD — analyse d’impact relative a la protection des donnees — est obligatoire des qu’un traitement est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes. Beaucoup de projets IA cochent au moins une de ces cases :
- profilage ou scoring a grande echelle,
- traitement de donnees sensibles (sante, opinions, biometrie),
- surveillance systematique (ex. monitoring des salaries),
- decision automatisee avec effet significatif.
La bonne nouvelle : ce sont souvent les memes usages que l’EU AI Act classe en haut risque. Une AIPD bien menee vous fait donc avancer sur les deux tableaux a la fois. En cas de doute, la CNIL recommande de la realiser — c’est aussi votre meilleure preuve de bonne foi en cas de controle.
Une PME veut deployer un outil d’IA qui note automatiquement les tickets support pour prioriser les clients « a risque de churn ». Donnees personnelles + scoring a grande echelle = AIPD recommandee. L’analyse revele qu’il faut informer les clients, documenter la logique de scoring, et garder un agent humain sur les decisions de resiliation. Trois semaines de travail, et un projet defendable.
Transferts hors UE : ou vont vos donnees ?
La majorite des outils d’IA grand public sont americains. Or le RGPD encadre strictement les transferts de donnees personnelles hors de l’Union europeenne. Trois points a verifier :
- L’hebergement : ou les donnees sont-elles stockees et traitees ? Certaines offres entreprise proposent un hebergement UE.
- Le cadre du transfert : le fournisseur adhere-t-il au EU-US Data Privacy Framework, ou signe-t-il des clauses contractuelles types (CCT/SCC) ?
- La souverainete : pour les donnees les plus sensibles, une alternative europeenne comme Mistral (Le Chat) — entreprise francaise, hebergement en Europe — reduit fortement le risque juridique.
Le cas des salaries : ne pas oublier le dialogue social
Point specifiquement francais : deployer un outil d’IA qui traite les donnees de vos salaries (evaluation, monitoring, aide a la decision RH) implique en general d’informer et consulter le CSE (comite social et economique), et de mettre a jour votre registre des traitements et vos mentions d’information internes. Le sujet n’est pas que technique : il est aussi social.
Votre checklist de conformite IA + RGPD
Si vous ne deviez garder qu’une feuille de route combinee, la voici :
- Cartographier vos usages d’IA et les donnees personnelles impliquees.
- Fixer une base legale pour chaque traitement.
- Minimiser : ne donner a l’IA que le strict necessaire, jamais de donnees perso dans un outil public.
- Encadrer le fournisseur : contrat de sous-traitance (DPA), pas d’entrainement sur vos donnees, hebergement verifie.
- Informer les personnes concernees (clients, salaries, candidats).
- Realiser une AIPD pour les usages a risque eleve.
- Garder un humain dans la boucle des decisions a effet significatif (article 22).
- Consulter le CSE et mettre a jour le registre des traitements pour les usages RH.
- Documenter : c’est votre preuve de conformite en cas de controle CNIL.
Et pour la partie AI Act (litteratie, charte, formation, referent IA), tout est detaille dans notre article dedie : EU AI Act : l’article 4 et ce que votre entreprise doit faire avant aout 2026.
Verifiez votre exposition en 5 minutes
Avant de vous lancer dans un chantier de conformite, le plus utile est de savoir ou vous en etes. Spicy Advisory propose un diagnostic rapide et gratuit qui situe votre entreprise face a l’AI Act et au RGPD, et pointe vos priorites.
Sanctions : pourquoi il ne faut pas attendre
Les deux reglements ont un regime de sanctions dissuasif, et ils se cumulent :
- RGPD : jusqu’a 20 M EUR ou 4 % du chiffre d’affaires annuel mondial (le montant le plus eleve).
- EU AI Act : jusqu’a 35 M EUR ou 7 % pour les pratiques interdites, 15 M EUR ou 3 % pour les autres manquements.
Un meme projet IA mal cadre peut donc vous exposer aux deux. Au-dela de l’amende, un incident de donnees lie a l’IA abime durablement la confiance de vos clients et de vos equipes. La conformite n’est pas un frein : c’est ce qui vous autorise a deployer l’IA vite et sereinement.
Se faire accompagner
Cartographier ses usages, choisir les bonnes bases legales, mener une AIPD et articuler RGPD et AI Act demande de la methode. Si vous voulez securiser la demarche et disposer de livrables solides, faites-vous accompagner.
Mettez votre IA en conformite RGPD et AI Act
Spicy Advisory accompagne les PME et ETI pour cartographier leurs usages d’IA, choisir leurs bases legales, mener leurs AIPD, batir leur charte et former leurs equipes. Commencez par le diagnostic gratuit pour situer vos priorites.
Faire le check AI Act & RGPD arrow_forwardEn resume
Le RGPD et l’EU AI Act ne s’opposent pas : ils se completent. Le premier protege les donnees personnelles que votre IA traite, le second encadre le systeme lui-meme. Les reflexes sont simples : une base legale, le strict necessaire de donnees, jamais de donnees perso dans un outil public, une AIPD pour les usages a risque, un humain sur les decisions importantes, et des transferts hors UE encadres. Faites-le des maintenant, et vous transformerez une contrainte reglementaire en avantage concurrentiel : une IA que vous pouvez deployer partout, sans crainte.
Questions fréquentes
Peut-on utiliser ChatGPT en respectant le RGPD ?
Oui, a condition de ne jamais saisir de donnees personnelles ou confidentielles dans la version grand public, de choisir une offre entreprise (ChatGPT Team ou Enterprise) qui n'entraine pas ses modeles sur vos donnees, d'informer les personnes concernees et de verifier l'encadrement des transferts hors UE. Pour un usage professionnel, privilegiez une offre payante avec engagement contractuel et, si la souverainete est critique, une alternative europeenne comme Mistral (Le Chat).
Quelle base legale pour utiliser l'IA sur des donnees personnelles ?
Comme tout traitement, un usage d'IA sur des donnees personnelles doit reposer sur l'une des bases legales du RGPD : le consentement, l'execution d'un contrat, une obligation legale ou l'interet legitime. L'interet legitime est souvent mobilise, mais il impose un test de mise en balance documente et le respect des droits des personnes. Le choix de la base doit etre fixe avant de lancer le traitement, pas apres.
Faut-il une analyse d'impact (AIPD) pour un projet IA ?
Une AIPD (analyse d'impact relative a la protection des donnees) est obligatoire des qu'un traitement est susceptible d'engendrer un risque eleve pour les droits des personnes : profilage a grande echelle, scoring, traitement de donnees sensibles, surveillance systematique. Beaucoup de projets IA tombent dans ces categories, et ce sont souvent les memes usages que l'EU AI Act classe en haut risque. En cas de doute, la CNIL recommande de la realiser.
Quelle difference entre le RGPD et l'EU AI Act ?
Le RGPD (reglement 2016/679, applicable depuis 2018) protege les donnees personnelles, quel que soit l'outil. L'EU AI Act (reglement 2024/1689) encadre les systemes d'IA eux-memes selon leur niveau de risque, qu'ils traitent ou non des donnees personnelles. Les deux sont complementaires : quand une IA traite des donnees personnelles, vous devez respecter les deux textes en meme temps.
L'IA peut-elle prendre une decision RH automatiquement ?
Non, pas seule. L'article 22 du RGPD interdit qu'une decision produisant des effets juridiques ou vous affectant de maniere significative (embauche, licenciement, refus de credit) soit fondee uniquement sur un traitement automatise. Un humain doit pouvoir examiner, contester et infirmer la decision. Cote AI Act, le recrutement est classe haut risque, ce qui ajoute des obligations de supervision humaine, de documentation et de qualite des donnees.