RGPD et IA générative : ce qu'une PME française doit verrouiller avant de déployer
Checklist RGPD concrète pour déployer l'IA générative en PME française : hébergement UE, DPA, données sensibles, registre, sensibilisation. Sans jargon.
Pourquoi cet article
En 2026, déployer ChatGPT, Claude, Gemini ou Dust.tt en PME française sans toucher au RGPD est rigoureusement impossible. Soit vous traitez de la donnée client, soit vous traitez de la donnée salarié, soit les deux. La CNIL a publié plusieurs recommandations sur l'IA générative en 2024 et 2025. Voici la checklist concrète que nous appliquons sur tous nos déploiements.
Pas de jargon, pas de paranoïa, juste ce qui doit être verrouillé avant la mise en production.
1. Choisir un outil avec un hébergement traçable
À vérifier : où sont stockés vos prompts et leurs réponses ?
- ChatGPT Team / Enterprise : hébergement US, transferts UE encadrés par clauses contractuelles types.
- Claude for Work : idem.
- Gemini Workspace : possibilité d'hébergement régional UE (à activer).
- Dust.tt : hébergement UE (AWS Paris), un avantage net pour les PME françaises.
- Copilot M365 : hérite des conditions Microsoft 365, généralement UE selon votre tenant.
Règle pratique : pour des données sensibles (santé, finance, RH, juridique), privilégiez un hébergement UE. Pour de la rédaction généraliste, les clauses contractuelles types suffisent.
2. Signer un DPA (Data Processing Agreement)
Chaque fournisseur d'IA met à disposition un DPA (accord de traitement des données). C'est obligatoire dès lors que vous traitez de la donnée personnelle via leur outil. Le DPA précise les responsabilités de chacun, la durée de conservation, les droits des personnes.
À faire : téléchargez le DPA, faites-le valider par votre DPO (ou votre conseil), conservez-le. C'est l'affaire d'une heure.
3. Cartographier les données que vous allez injecter
Avant tout déploiement, posez 4 questions :
- Quelles données vont entrer dans l'outil ? (textes clients, fichiers RH, contrats, code interne).
- Sont-elles personnelles ? (nom, email, adresse, données de santé, opinions).
- Sont-elles sensibles au sens RGPD ? (santé, religion, opinions politiques, données biométriques).
- Quel est le besoin réel ? (faut-il vraiment toutes les pseudonymiser ? toutes les exclure ?).
Règle d'or : données sensibles = anonymisation systématique avant injection, ou outil avec hébergement UE et DPA renforcé. Pas d'exception.
4. Mettre à jour votre registre des traitements
Le déploiement d'un outil IA générique crée un nouveau traitement au sens RGPD. Il doit apparaître dans votre registre, avec :
- Finalité (ex. "assistance à la rédaction de devis").
- Catégories de données.
- Destinataires (le fournisseur IA, vos équipes).
- Durée de conservation des échanges.
- Mesures de sécurité.
C'est 20 minutes de travail par traitement, à faire une fois. La CNIL le contrôle en priorité.
5. Sensibiliser les équipes (le maillon humain)
90 % des incidents RGPD liés à l'IA en 2025 viennent d'un même geste : un salarié colle un fichier client complet dans ChatGPT grand public. Sans formation, ce geste est inévitable.
Au minimum, votre charte d'usage IA doit contenir :
- Outils autorisés (et lesquels sont interdits, comme les versions gratuites grand public).
- Types de données interdits à l'injection.
- Process de validation avant envoi externe.
- Personne référente en cas de doute.
6. Documenter les décisions automatisées
Si l'IA participe à une décision concernant une personne (scoring candidat, priorisation client, calcul tarifaire personnalisé), l'article 22 RGPD s'applique :
- Information de la personne.
- Droit à une intervention humaine (relisez notre article sur Parallel Intelligence).
- Droit de contester la décision.
C'est exactement pourquoi nous gardons systématiquement un humain dans la boucle de décision.
7. Prévoir la fin (et la portabilité)
À tout moment, vous devez pouvoir :
- Supprimer un historique de conversation contenant des données personnelles.
- Récupérer ou supprimer une base de connaissances injectée dans un agent.
- Changer de fournisseur sans perdre vos prompts critiques.
Bon réflexe : versionnez vos prompts et bases de connaissances dans un dépôt interne (Git, Notion, drive). L'outil IA n'est qu'un consommateur.
La checklist en une vue
- Hébergement traçable, UE pour les données sensibles.
- DPA signé avec chaque fournisseur.
- Cartographie des données injectées.
- Registre des traitements à jour.
- Charte d'usage et sensibilisation des équipes.
- Documentation des décisions automatisées (article 22).
- Versioning interne des prompts et bases.
Ce qu'il faut retenir
Le RGPD n'est pas un frein à l'IA en PME. C'est un cadre qui, bien posé, vous protège des trois pires scénarios : fuite de données client, action CNIL, perte de confiance interne. Nos déploiements LOOP, AGENT et SYSTEM intègrent cette checklist par défaut. Si vous préparez votre premier déploiement IA, parlons-en avant que les données ne sortent.
Article connexe : Former ses équipes à l'IA, 5 erreurs à éviter.
À propos de l'auteur
Benjamin Gombeaud
Fondateur de GYRUS. Opérateur IA quotidien depuis 2022, utilisateur Dust.tt depuis 2025. Forme et déploie l'IA dans des PME françaises avec un seul principe : Parallel Intelligence — l'IA amplifie les humains, elle ne les remplace pas.
En savoir plus →À lire ensuite
7 cas d'usage IA rentables dès le premier mois en TPE
Sept cas d'usage IA actionnables tout de suite en TPE et PME, avec temps gagné par cas. Devis, relances, CR, veille, support, recrutement, reporting.
Parallel Intelligence : pourquoi l'IA sans humain dans la boucle échoue en PME
L'automatisation pure de l'IA en PME échoue dans 7 cas sur 10. Trois échecs typiques et le contre-modèle Parallel Intelligence qui place l'humain au centre.
Former ses équipes à l'IA avec son OPCO : mode d'emploi 2026
Comment financer une formation IA via votre OPCO en 2026 : étapes concrètes, délais réels, rôle de Qualiopi, pièges à éviter. Guide pour dirigeants de PME.