RGPD et outils IA : ce que les entreprises françaises doivent savoir en 2026
Utiliser ChatGPT ou Claude avec des données clients peut violer le RGPD. En 2026, voici ce que les entreprises françaises doivent faire (et éviter).
L'adoption massive des outils IA dans les entreprises françaises crée un angle mort juridique que beaucoup de dirigeants ignorent : le RGPD s'applique à l'utilisation de ces outils dès lors qu'ils traitent des données personnelles. En 2026, la CNIL a clarifié ses positions et renforcé ses contrôles sur les entreprises qui utilisent des assistants IA avec des données de clients, collaborateurs ou partenaires. Les sanctions peuvent atteindre 4 % du chiffre d'affaires mondial. Ce guide explique les obligations concrètes pour les PME françaises.
RGPD conformité outils IA : les bases à connaître
Le RGPD (Règlement Général sur la Protection des Données) s'applique dès qu'une entreprise traite des données personnelles de personnes physiques résidant dans l'Union européenne. Une donnée personnelle est toute information permettant d'identifier directement ou indirectement une personne : nom, email, numéro de téléphone, adresse IP, identifiant client, mais aussi données de comportement ou de préférences associées à un individu. Quand vous utilisez ChatGPT pour rédiger un email avec le nom et les informations d'un client, quand vous uploadez un contrat avec des données de collaborateurs, ou quand votre chatbot IA stocke les conversations avec vos clients : vous traitez des données personnelles et le RGPD s'applique. Cela ne signifie pas que vous ne pouvez pas utiliser ces outils — cela signifie que vous devez le faire dans un cadre légal approprié.
Le problème des transferts hors UE
La majorité des outils IA leaders (OpenAI, Anthropic, Google Gemini, Microsoft Azure OpenAI) sont des entreprises américaines dont les serveurs principaux sont situés aux États-Unis. Le transfert de données personnelles vers un pays tiers à l'UE (y compris les États-Unis) est soumis à des garanties spécifiques depuis l'invalidation du Privacy Shield en 2020. Depuis juillet 2023, le nouveau Data Privacy Framework (DPF) entre l'UE et les États-Unis permet aux entreprises américaines certifiées de recevoir des données de l'UE. OpenAI, Microsoft et Google sont certifiés DPF. Anthropic (Claude) a également des engagements contractuels de traitement conformes au RGPD. Cela ne signifie pas que le transfert est sans condition : vous devez avoir une base légale pour le traitement initial et vous assurer que le fournisseur offre les garanties suffisantes via ses clauses contractuelles types (CCT).
Les obligations concrètes pour votre PME
Cinq obligations pratiques s'imposent aux PME françaises qui utilisent des outils IA traitant des données personnelles. Première obligation : tenir le registre des activités de traitement. Vous devez documenter pour chaque outil IA utilisé : la finalité du traitement, les catégories de données traitées, les destinataires (incluant les sous-traitants IA), la durée de conservation, et les garanties de sécurité. C'est une obligation légale du RGPD, applicable aux entreprises de plus de 250 salariés de façon formelle, mais recommandée pour toutes les PME. Deuxième obligation : informer les personnes concernées. Si vous utilisez l'IA pour traiter des données de clients ou de collaborateurs, vous devez les en informer dans votre politique de confidentialité. Troisième obligation : conclure un DPA (Data Processing Agreement) avec vos fournisseurs d'IA. La plupart des outils proposent ce contrat dans leurs conditions d'utilisation enterprise. Quatrième obligation : ne pas traiter de catégories de données sensibles sans analyse approfondie. Les données de santé, données biométriques, données d'orientation sexuelle ou données d'opinion politique nécessitent une analyse d'impact (DPIA) avant tout traitement IA. Cinquième obligation : s'assurer de la possibilité d'exercice des droits (accès, rectification, suppression) sur les données traitées par l'IA.
Ce que vous pouvez faire sans risque en 2026
Pour utiliser les outils IA en conformité RGPD, plusieurs pratiques sécurisées sont applicables immédiatement. Utiliser des versions Enterprise ou Team des outils (ChatGPT Team, Claude Team, Gemini for Workspace) : ces versions incluent un engagement contractuel de non-utilisation des données pour l'entraînement et un DPA. Ne jamais saisir de données personnelles dans les versions gratuites ou sans compte professionnel : les versions gratuites de ChatGPT, Claude ou Gemini utilisent les conversations pour l'entraînement. Pseudonymiser les données avant de les soumettre à l'IA : remplacer les noms réels par des pseudonymes (Client_A, Salarié_3) avant d'analyser des données sensibles. Utiliser des modèles IA hébergés en Europe quand disponibles : Microsoft Azure OpenAI avec région Europe Ouest, Google Cloud avec région Europe. Limiter les données traitées au strict nécessaire (principe de minimisation des données).
Les secteurs les plus exposés aux risques RGPD-IA
Certains secteurs présentent des risques RGPD spécifiques liés à l'IA. Les professions de santé : utiliser l'IA pour analyser des dossiers médicaux, générer des comptes-rendus de consultation ou traiter des données de santé nécessite une analyse d'impact obligatoire et des garanties renforcées. Les RH et le recrutement : utiliser l'IA pour scorer des candidatures, analyser les performances des collaborateurs ou prédire les risques de démission touche à des données sensibles et peut créer des discriminations indirectes. La finance et les assurances : le profilage automatisé des clients pour des décisions financières est encadré par des règles spécifiques du RGPD (article 22) qui garantissent un droit à une décision humaine. Les cabinets d'avocats et d'expertise comptable : traiter des données de clients via des outils IA cloud sans DPA est particulièrement risqué compte tenu du secret professionnel. Pour chaque usage IA de votre entreprise, le guide de conformité RGPD de ForgiaPro vous aide à évaluer le niveau de risque et les actions prioritaires à mettre en place.