Accueil→Guides→Outils IA conformes RGPD PME

RGPDGuide 2026 10 min

Outils IA conformes RGPD pour PME : le guide 2026

ChatGPT, Mistral, Copilot — l'IA s'impose dans les PME françaises. Mais quels outils peut-on utiliser sans risquer une sanction CNIL ? Comparatif des principaux outils, checklist de conformité et bonnes pratiques 2026.

4 %

du CA mondial — amende max RGPD

2025

Contrôles CNIL sur les LLM débutés

1 DPA

obligatoire par fournisseur IA

Ce que dit la CNIL en 2025

La CNIL a publié des recommandations sur l'IA générative en 2024 et lancé des contrôles en 2025. Position claire : toute saisie de données personnelles dans un LLM constitue un traitement soumis au RGPD, quelle que soit la finalité. Cela inclut les noms de clients, emails, numéros de téléphone, données RH ou médicales.

Comparatif des outils IA — conformité RGPD 2026

La conformité RGPD d'un outil IA dépend de trois critères clés : la localisation des données (UE ou hors UE), l'existence d'un DPA signable, et la politique de réentraînement des modèles sur vos données.

Mistral AI (Le Chat Pro)

PME soumises à contraintes sectorielles, données sensibles

Élevée

Hébergement

France / UE

DPA dispo

Oui

Réentraînement

Non (par défaut)

Prix indicatif

À partir de 14 €/mois

Entreprise française, serveurs en Europe

Modèles open-source auto-hébergeables

DPA disponible pour entreprises

Pas de réentraînement sur vos données

ChatGPT Enterprise / API OpenAI

Usage général, productivité bureautique

Moyenne (avec DPA)

Hébergement

USA (avec garanties)

DPA dispo

Oui (Enterprise)

Réentraînement

Non (Enterprise)

Prix indicatif

À partir de 25 $/user/mois

DPA disponible pour ChatGPT Enterprise

Transfert hors UE — clauses contractuelles types obligatoires

Version grand public : NON conforme pour données pro

API : configurable, mais nécessite expertise technique

Microsoft Copilot for M365

PME déjà sous Microsoft 365

Élevée (avec config)

Hébergement

UE possible

DPA dispo

Oui

Réentraînement

Non

Prix indicatif

30 €/user/mois

S'intègre dans l'environnement M365 existant

Données traitées dans le tenant Microsoft de l'entreprise

Conformité RGPD héritée du contrat M365

Pas de données utilisées pour entraîner les modèles

Google Gemini for Workspace

PME sous Google Workspace

Moyenne (avec config)

Hébergement

UE possible

DPA dispo

Oui

Réentraînement

Configurable

Prix indicatif

19 €/user/mois

Inclus dans les abonnements Google Workspace Business+

Désactiver l'entraînement humain dans la console admin

Vérifier les paramètres de résidence des données

Pas de version grand public pour usage pro

Claude (Anthropic) API / Teams

Rédaction avancée, analyse de documents

Moyenne (avec DPA)

Hébergement

USA

DPA dispo

Oui

Réentraînement

Non (par défaut)

Prix indicatif

Teams : 25 $/user/mois

DPA disponible pour Claude Teams et API

Pas de réentraînement sur les conversations professionnelles

Hébergement US — clauses contractuelles types nécessaires

Performances élevées sur les tâches complexes

Checklist conformité RGPD pour l'IA en PME

Cette checklist couvre les étapes essentielles pour déployer un outil IA dans votre PME en restant conforme au RGPD. Elle est basée sur les recommandations de la CNIL et le cadre RGPD (Règlement UE 2016/679).

Avant d'adopter un outil IA

Identifier les données personnelles susceptibles d'être traitées

Vérifier si le fournisseur est sous-traitant UE ou hors UE

Exiger et signer un DPA avec le fournisseur

Documenter le traitement dans le registre RGPD de l'entreprise

Identifier la base légale du traitement (intérêt légitime, consentement…)

Configuration de l'outil

Désactiver l'utilisation des données pour l'entraînement des modèles

Activer les options de résidence des données en UE si disponibles

Configurer les accès utilisateurs (pas de comptes partagés)

Activer les journaux d'audit si l'outil le propose

Formation des équipes

Rédiger une charte d'usage des outils IA (même courte)

Former à ne pas saisir de données personnelles sans vérification

Rappeler l'obligation de vérifier les outputs IA avant utilisation

Désigner un référent IA / RGPD en interne

Suivi continu

Vérifier les mises à jour des politiques de confidentialité des fournisseurs

Mettre à jour le registre des traitements si l'usage évolue

Revoir les DPA à chaque renouvellement de contrat

Documenter les incidents et les signaler à la CNIL si nécessaire

Le DPA : pourquoi et comment le signer

Le DPA (Data Processing Agreement) est l'accord contractuel qui encadre le rôle du fournisseur IA comme sous-traitant de vos données. Il est obligatoire dès que vous lui confiez des données personnelles, même indirectement (article 28 du RGPD).

Demandez le DPA au fournisseur

La plupart des fournisseurs professionnels (OpenAI, Microsoft, Google, Mistral) mettent leur DPA à disposition dans leur espace client ou sur demande. Si un fournisseur refuse de signer un DPA, c'est un signal d'alarme.

Vérifiez les clauses clés

Localisation des données, durée de conservation, sous-traitants ultérieurs, procédure en cas de violation de données. Pour les transferts hors UE, vérifiez la présence des Clauses Contractuelles Types (CCT) de la Commission européenne.

Signez et archivez

Conservez le DPA signé dans votre dossier de conformité RGPD. Il doit être mis à jour à chaque renouvellement de contrat ou changement significatif des conditions du service.

Documentez dans votre registre

Inscrivez le traitement dans votre registre des activités de traitement (obligatoire pour les entreprises de plus de 250 salariés, recommandé pour toutes). Mention : finalité, base légale, catégories de données, durée de conservation.

Cas d'usage à risque élevé : ce qu'il ne faut pas faire

Coller un fichier CSV de clients (noms, emails, téléphones) dans ChatGPT pour faire un tri ou une analyse — sans DPA signé avec OpenAI.

Utiliser un LLM grand public pour rédiger des fiches de paie ou traiter des données de santé de salariés.

Partager des contrats ou accords de confidentialité contenant des données personnelles de tiers dans un outil IA sans vérifier la politique de confidentialité.

Laisser un salarié utiliser son compte personnel ChatGPT (gratuit) pour des tâches professionnelles impliquant des données clients.

Ignorer les mises à jour des CGU des fournisseurs — OpenAI, Google et Microsoft modifient régulièrement leurs politiques d'entraînement.

Aller plus loin : IA souveraine et auto-hébergement

Pour les PME traitant des données très sensibles (santé, données financières, secrets industriels), l'auto-hébergement d'un LLM open-source offre la souveraineté maximale : aucune donnée ne quitte vos serveurs.

Français

Mistral (modèles open-source)

Mistral 7B, Mixtral — déployables en interne via Ollama ou une instance cloud privée. Performances comparables à GPT-3.5 sur beaucoup de tâches.

Open source

Ollama + LLaMA 3

Solution technique pour PME avec une équipe IT. Fait tourner des LLMs en local (Mac M-series, serveur Linux). Gratuit, aucune donnée externe.

Souverain

Albert (État français)

LLM développé par la DINUM pour les administrations françaises. En cours d'ouverture aux acteurs privés — à surveiller pour les PME en lien avec le secteur public.

Questions fréquentes

ChatGPT est-il conforme au RGPD pour une utilisation professionnelle ?

ChatGPT (OpenAI) n'est pas automatiquement conforme au RGPD dans sa version grand public. Pour une utilisation professionnelle conforme, vous devez utiliser l'API OpenAI ou ChatGPT Enterprise, signer un DPA (Data Processing Agreement), et ne jamais saisir de données personnelles sans base légale. La CNIL a rappelé en 2025 que toute transmission de données personnelles à un LLM est un traitement soumis au RGPD.

Mistral AI est-il plus conforme au RGPD que ses concurrents américains ?

Mistral AI (entreprise française, données hébergées en Europe) offre une conformité RGPD plus directe : pas de transfert hors UE, serveurs en France, DPA disponible pour les entreprises. Pour les PME soumises à des contraintes sectorielles fortes (santé, finance, RH), Mistral est souvent le choix le plus sûr. Mistral propose aussi des modèles auto-hébergeables pour une souveraineté totale.

Puis-je utiliser GitHub Copilot pour coder avec des données client ?

GitHub Copilot for Business permet de désactiver la collecte de données pour l'entraînement des modèles. Vous devez quand même vérifier que les extraits de code envoyés ne contiennent pas de données personnelles en dur (clés API, mots de passe, données utilisateur). Microsoft a signé un DPA conforme RGPD pour Copilot Business — vérifiez votre contrat et les paramètres de confidentialité.

Qu'est-ce qu'un DPA et est-ce suffisant pour être conforme ?

Le DPA (Data Processing Agreement / Accord de traitement des données) est un contrat obligatoire entre votre entreprise (responsable de traitement) et le fournisseur IA (sous-traitant). Il formalise les obligations de chacun. Le DPA est nécessaire mais pas suffisant : vous devez aussi documenter la base légale du traitement, l'inscrire dans votre registre des traitements, et informer les personnes concernées si leurs données sont traitées par l'IA.

Comment former mes équipes à l'utilisation RGPD des outils IA ?

Trois règles simples à enseigner : (1) Ne jamais coller de données personnelles (noms, emails, numéros clients) dans un prompt sans avoir vérifié la conformité de l'outil. (2) Traiter les outputs IA comme des brouillons à vérifier — un LLM peut halluciner des informations. (3) Signaler tout incident ou doute à la personne responsable de la conformité. Une charte d'usage IA interne, même courte, est un premier pas efficace.

La CNIL peut-elle contrôler l'usage des IA en PME ?

Oui. La CNIL a lancé en 2024-2025 plusieurs contrôles ciblant l'utilisation des LLM, notamment dans les secteurs RH et santé. Les sanctions pour une PME peuvent aller jusqu'à 20 millions d'euros ou 4 % du CA mondial — mais en pratique, les premières sanctions visent les manquements répétés après mise en demeure. La CNIL privilégie l'accompagnement pour les PME de bonne foi.

Guides liés

IA pour PME — Guide complet →Démarrer avec l'IA en freelance →Automatisation no-code →

Ressources

Explorer tous les guides PME

Fiscalité, juridique, RH, outils — tous les guides pour gérer et développer votre PME.

Tous les guides