Analyse
IA générative et RGPD : 5 pièges que les PME françaises ignorent
L’angle mort RGPD de l’IA en PME
En 2026, 85 % des PME françaises utilisent au moins un outil d’IA générative (ChatGPT, Claude, Copilot, Mistral). Mais la majorité ne sait pas que chaque prompt contenant une donnée personnelle — nom de client, adresse email, numéro de contrat — constitue un traitement de données au sens du RGPD.
Le résultat : des violations involontaires, systématiques et souvent invisibles. Un commercial qui copie-colle un email client dans ChatGPT pour rédiger une réponse. Un RH qui soumet des CV à Claude pour présélection. Un comptable qui envoie une facture nominative à Mistral pour extraction. Chaque usage est un traitement RGPD non documenté, non encadré, potentiellement non conforme.
Voici les cinq pièges les plus fréquents et comment les corriger.
Piège 1 : envoyer des données personnelles dans la version gratuite
Le problème
Les versions gratuites de ChatGPT (OpenAI) et Le Chat (Mistral) utilisent par défaut les conversations pour entraîner les modèles. Quand un employé saisit des données personnelles de clients dans ces versions, ces données entrent dans le pipeline d’entraînement du fournisseur — un transfert de données non autorisé au sens RGPD.
La solution
- Politique d’entreprise claire : interdire l’utilisation des versions gratuites pour tout traitement impliquant des données personnelles
- Migrer vers des plans business : Claude Team/Enterprise, ChatGPT Team/Enterprise, Mistral API — aucun de ces plans n’utilise les données client pour l’entraînement
- Former les équipes : la formation IA Art. 4 AI Act doit inclure un volet RGPD
Piège 2 : pas de base légale identifiée
Le problème
Tout traitement de données personnelles nécessite une base légale RGPD (consentement, intérêt légitime, exécution d’un contrat, etc.). Or, envoyer des données clients à un LLM ne rentre pas facilement dans les cases :
- Consentement : vos clients ont-ils consenti à ce que leurs données soient analysées par une IA ? Probablement pas
- Intérêt légitime : possible, mais nécessite un test de mise en balance documenté
- Exécution du contrat : uniquement si le traitement IA est nécessaire au service vendu
La solution
Documentez la base légale pour chaque usage IA impliquant des données personnelles. L’intérêt légitime est la base la plus courante pour les PME, mais il exige un test de proportionnalité écrit : quel est l’intérêt de la PME, quel est l’impact sur les droits des personnes, les garanties mises en place suffisent-elles ?
Piège 3 : transferts hors UE non encadrés
Le problème
Quand vous utilisez l’API Claude (Anthropic, siège aux USA), l’API OpenAI (USA) ou Google Gemini (USA), les données transitent par des serveurs situés hors de l’Union européenne. Depuis l’arrêt Schrems II et le Data Privacy Framework de 2023, ces transferts sont légaux vers les USA sous conditions — mais ils doivent être documentés et les clauses contractuelles types (SCCs) doivent être en place.
La solution
| Fournisseur | Hébergement UE | DPA disponible | Transfert hors UE |
|---|---|---|---|
| Anthropic (Claude API) | Option région UE (AWS eu-west) | Oui | Avec DPA + SCCs |
| OpenAI (API) | Azure Europe disponible | Oui | Avec DPA + SCCs |
| Mistral (API) | Serveurs France (Les Ulis Q3 2026) | Oui | Non (UE natif) |
| Mistral (self-hosted) | Vos serveurs | N/A | Non |
Mistral offre un avantage de souveraineté pour les PME qui veulent éviter tout transfert hors UE. Pour Claude et GPT, signez le DPA (Data Processing Agreement) du fournisseur et documentez les transferts dans votre registre.
Piège 4 : absence dans le registre des traitements
Le problème
Le registre des traitements RGPD (article 30) doit lister tous les traitements de données personnelles de l’entreprise. Or, les usages d’IA générative n’y figurent presque jamais :
- « Claude pour rédiger des emails clients » → traitement non déclaré
- « GPT pour résumer des entretiens candidats » → traitement non déclaré
- « Mistral pour analyser des avis clients » → traitement non déclaré
Chaque usage est un traitement distinct qui doit apparaître dans le registre avec sa finalité, sa base légale, les catégories de données et les destinataires.
La solution
Ajoutez une section « Traitements IA » dans votre registre. Pour chaque usage :
Traitement : Résumé d'emails clients via Claude API
Finalité : Amélioration de la réactivité du service commercial
Base légale : Intérêt légitime (test de proportionnalité documenté)
Données : Nom, email, contenu de la demande client
Destinataire : Anthropic (sous-traitant, DPA signé)
Transfert hors UE : Oui (USA, SCCs en place)
Durée : Pas de stockage côté Anthropic (API, pas d'entraînement)Piège 5 : pas d’analyse d’impact (DPIA)
Le problème
Une analyse d’impact relative à la protection des données (DPIA, article 35 RGPD) est obligatoire quand un traitement présente un risque élevé pour les droits et libertés des personnes. L’utilisation d’IA pour des décisions automatisées impactant des personnes (scoring, sélection, profilage) entre dans cette catégorie.
La CNIL a publié une liste de traitements nécessitant une DPIA qui inclut explicitement les traitements utilisant l’IA avec des données personnelles à grande échelle.
La solution
Réalisez une DPIA pour les usages IA à risque élevé :
- Filtrage de CV avec IA → DPIA obligatoire
- Scoring de clients → DPIA obligatoire
- Chatbot client avec historique de conversation → DPIA recommandée
- Résumé de documents internes → DPIA non requise (données internes, pas de décision automatisée)
La DPIA n’est pas un document de 100 pages. Pour une PME, une analyse de 5-10 pages couvrant les risques, les mesures de mitigation et la consultation du DPO suffit.
Le plan d’action RGPD × IA en 5 étapes
| Étape | Action | Délai |
|---|---|---|
| 1 | Inventorier tous les usages IA avec données personnelles | Semaine 1 |
| 2 | Migrer les usages critiques vers des plans business (pas de gratuit) | Semaine 2 |
| 3 | Signer les DPA des fournisseurs IA utilisés | Semaine 2 |
| 4 | Mettre à jour le registre des traitements RGPD | Semaine 3 |
| 5 | Réaliser les DPIA pour les usages à risque élevé | Semaine 4 |
Ce plan est compatible avec le calendrier AI Act qui exige la même cartographie des outils IA avant le 2 août 2026. Les deux démarches se font en parallèle.
Les bonnes pratiques au quotidien
La règle d’or : anonymiser avant de prompter
Avant d’envoyer des données à un LLM, remplacez les données personnelles par des placeholders :
- « Jean Dupont, jean.dupont@client.fr » → « [CLIENT_1], [EMAIL_1] »
- Ré-injectez les données réelles dans la réponse après traitement
Cette technique élimine 90 % du risque RGPD sans perdre la valeur du traitement IA.
Utiliser les API plutôt que les interfaces web
Les API offrent un meilleur contrôle : pas d’historique de conversation stocké (sauf demande explicite), DPA en place, pas d’entraînement sur vos données. Préférez l’API Claude ou l’API Mistral à l’interface web pour tout traitement de données sensibles.
Documenter, documenter, documenter
En cas de contrôle CNIL, la capacité à montrer un registre à jour, des DPA signés et des processus documentés fait la différence entre une simple mise en demeure et une amende. Le RGPD récompense les efforts de bonne foi.
FAQ
La CNIL contrôle-t-elle vraiment les usages IA des PME ?
Pas encore de manière systématique, mais la tendance s’accélère. La CNIL a annoncé en 2025 un programme de contrôle ciblé sur l’IA générative, avec un focus sur les entreprises qui traitent des données personnelles sensibles (santé, RH, finance). Les PME ne sont pas à l’abri : un signalement d’un salarié ou d’un client suffit à déclencher un contrôle.
Mistral self-hosted résout-il tous les problèmes RGPD ?
Non, mais il en résout un majeur : le transfert hors UE. En hébergeant Mistral sur vos propres serveurs, les données ne quittent pas votre infrastructure. Cependant, les autres obligations RGPD restent : base légale, registre des traitements, DPIA pour les usages à risque élevé. Le self-hosting ne dispense pas de la conformité RGPD.
Faut-il un consentement des clients pour utiliser l’IA sur leurs données ?
Pas nécessairement. Le consentement est une base légale parmi d’autres. L’intérêt légitime de l’entreprise (améliorer son service, gagner en productivité) est souvent plus adapté que le consentement pour les usages IA en B2B. Mais il faut documenter le test de proportionnalité et offrir un droit d’opposition (article 21 RGPD). En B2C, le consentement est plus souvent requis, surtout pour le profilage.
Agissez avant que la CNIL ne frappe
Les 5 pièges RGPD de l’IA en PME sont tous corrigibles en quelques semaines. Le plan d’action tient en un mois. Le vrai risque n’est pas l’amende — c’est la perte de confiance de vos clients quand ils apprennent que leurs données transitent par des LLM américains sans encadrement. Commencez par l’inventaire cette semaine.