Article rédigé avec assistance IA, validé et préfacé par Maxence Méheust.

Vous utilisez ChatGPT pour répondre à des e-mails clients. Votre commerciale fait relire ses propositions par Claude. Votre RH demande à Copilot de trier les CV reçus. Question simple : êtes-vous en règle avec le RGPD ?

Spoiler : ça dépend. Et la réponse n’a pas grand-chose à voir avec l’AI Act dont tout le monde parle. Le règlement général sur la protection des données (RGPD) existe depuis 2018, il s’applique aussi à l’IA, et la CNIL met désormais la pression sur les entreprises qui le négligent.

Illustration éditoriale RGPD et IA — dirigeant TPE devant un écran ChatGPT, gardien européen en arrière-plan

RGPD et AI Act : deux textes, deux logiques, qui s’additionnent

Le premier malentendu à dissiper tient en une phrase : l’AI Act ne remplace pas le RGPD. Les deux textes s’appliquent en parallèle dès qu’un système d’IA touche à des données personnelles. Pour un dirigeant de PME, cela veut dire que la conformité IA en 2026 a deux jambes — pas une.

Le RGPD régit la donnée personnelle : qui a le droit de la traiter, sur quelle base légale, comment la personne peut s’y opposer, où elle peut être stockée. L’AI Act régit le système d’IA lui-même : son niveau de risque, sa documentation technique, sa supervision humaine. Si vous utilisez un outil IA classé « à haut risque » (ressources humaines, scoring crédit, justice prédictive…), vous cumulez les obligations des deux textes.

Les sanctions aussi se cumulent en théorie : jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial pour le RGPD, jusqu’à 35 M€ ou 7 % pour l’AI Act. Pour une PME, ce n’est pas l’amende stratosphérique qui menace — c’est la mise en demeure publique et le contrôle qui mobilise vos équipes pendant des semaines.

Que se passe-t-il quand vous tapez « Bonjour M. Dupont… » dans ChatGPT ?

Voilà le geste banal qui pose problème dans la majorité des PME. Un commercial qui copie-colle un e-mail client dans ChatGPT pour le reformuler. Une assistante qui demande à Claude un résumé d’une réunion avec des noms dedans. Un dirigeant qui upload un contrat client pour analyse rapide.

À ce moment précis, vous transférez des données personnelles (nom, prénom, situation contractuelle) vers les serveurs d’une entreprise tierce, souvent américaine. Le RGPD vous demande alors : sur quelle base légale ? Avec quelles garanties contractuelles ? Le client a-t-il été informé que son dossier passe par un système d’IA externe ?

Une donnée client dans ChatGPT — ce qui se passe vraiment
Saisiee-mail client copié dans le prompt
Transitflux chiffré vers serveurs OpenAI / Anthropic
Traitementmodèle distant, parfois entraînement par défaut
Vos obligationsbase légale · DPA · information client · registre

La règle simple, en une phrase : un compte ChatGPT Plus ou Claude Pro personnel à 20 €/mois n’est pas conforme pour traiter des données clients identifiantes. Pas de contrat de sous-traitance (DPA), entraînement sur vos saisies par défaut, pas de garantie de localisation des données. Pour un usage professionnel avec des données clients, il faut basculer sur les versions Enterprise ou Team d’OpenAI ou Anthropic, qui incluent un DPA, désactivent l’entraînement, et permettent depuis 2025 le stockage en Union européenne[1].

Conforme RGPD

  • ChatGPT Enterprise ou TeamDPA inclus, entraînement désactivé
  • Claude Team ou EnterpriseDPA inclus, data residency UE possible
  • Mistral Le Chat Pro / Entreprisehébergement souverain UE
  • Registre des traitements à jourl'usage IA y est inscrit
  • AIPD réalisée si données sensiblesRH, scoring, décision automatisée

Pas conforme

  • ChatGPT Pro perso à 20 €pour traiter des données clients identifiantes
  • Aucun contrat de sous-traitance (DPA) signéavec le fournisseur IA
  • Données clients tapées sans cadree-mails, contrats, dossiers RH
  • Politique de confidentialité non mise à jourl'usage IA n'y figure pas
  • Aucune information donnée aux personnes concernéesclients, candidats, salariés

Comment fonctionnent les transferts hors UE en 2026 ?

Depuis juillet 2023, le Data Privacy Framework (DPF) permet aux entreprises américaines certifiées (OpenAI, Anthropic, Microsoft, Google le sont toutes) de recevoir des données européennes sans formalité supplémentaire. C’est ce cadre qui rend possible l’usage massif de ChatGPT en entreprise française aujourd’hui.

Mais ce cadre est fragile. Le Tribunal de l’Union européenne a confirmé sa validité en septembre 2025 en rejetant le recours du député Latombe[2]. Mais Max Schrems prépare un nouveau recours (Schrems III), et les évolutions politiques américaines de 2026 — restructuration du PCLOB, FTC affaiblie — inquiètent même la Commission européenne[3].

Concrètement pour un dirigeant : ne misez pas tout sur le DPF. Privilégiez les fournisseurs qui proposent un stockage UE explicite — OpenAI le fait depuis février 2025, Anthropic via AWS Bedrock Ireland depuis 2024 — et gardez les Clauses Contractuelles Types (CCT) comme filet de sécurité dans vos contrats de sous-traitance.

Quels outils LLM choisir selon votre niveau de risque ?

Pas besoin de comparer 30 plateformes — quatre options couvrent l’essentiel des situations PME en 2026, du dirigeant qui veut juste rédiger plus vite jusqu’au cabinet qui traite des données sensibles.

ChatGPT Enterprise / Team (OpenAI)

  • Conformité : DPA inclus, entraînement désactivé, data residency UE depuis février 2025, certifié DPF
  • Prix : Team 25 $/utilisateur/mois (mini 2 utilisateurs) · Enterprise sur devis (à partir de ~60 $/utilisateur)
  • Pour qui : PME 5-50 personnes qui veulent un cadre RGPD simple sans changer d’outil

Claude Team / Enterprise (Anthropic)

  • Conformité : DPA inclus, entraînement désactivé, data residency UE via AWS Bedrock Ireland ou GCP Vertex EU
  • Prix : Team 30 $/utilisateur/mois (mini 5 utilisateurs) · Enterprise sur devis
  • Pour qui : équipes qui privilégient la qualité de raisonnement et travaillent sur des documents longs

Mistral Le Chat Entreprise (Mistral, France)

  • Conformité : hébergement 100 % UE (Paris, Suède), pas de dépendance DPF, conforme RGPD natif
  • Prix : Le Chat Pro 14,99 €/mois · Entreprise sur devis (déploiement on-premise possible)
  • Pour qui : santé, juridique, secteur public, dirigeants qui veulent un fournisseur souverain

Ollama / LLM en local (open source)

  • Conformité : aucune donnée ne sort de votre poste — pas de transfert, pas de DPA nécessaire
  • Prix : gratuit (sauf machine — comptez un PC avec 32 Go RAM ou un Mac M-series)
  • Pour qui : usages très sensibles (avocat, médecin, expert-comptable) ou tests internes

Faut-il toujours faire une AIPD pour un projet IA ?

L’analyse d’impact relative à la protection des données (AIPD) est obligatoire dès que votre projet IA coche 2 critères sur 9 définis par la CNIL[4]. Mauvaise nouvelle : la quasi-totalité des projets IA cochent au moins « usage innovant de technologies ». Donc dès que vous traitez des données personnelles avec un système d’IA, l’AIPD se pose vraiment.

En pratique, la frontière est lisible. Pour un usage léger — rédaction interne, brainstorming sans données clients, traduction d’un texte public — pas d’AIPD nécessaire. Pour un chatbot client qui traite des demandes nominatives, un outil de tri de CV, une analyse automatisée de contrats ou de dossiers RH — l’AIPD devient nécessaire.

Bonne nouvelle : ce n’est pas un document juridique de 50 pages. C’est une analyse documentée des risques pour les personnes concernées, avec les mesures de protection mises en place. La CNIL fournit un modèle gratuit et un logiciel open source (PIA) pour la conduire. Pour une PME sur un cas d’usage moyen, comptez une demi-journée à une journée de travail.

Comment appliquer le droit à l’oubli quand on a utilisé un LLM ?

Cas réel de plus en plus fréquent : un client vous demande de supprimer toutes ses données. Vous avez utilisé ChatGPT pour traiter ses dossiers depuis un an. Que faites-vous concrètement ?

Bonne nouvelle : la CNIL et le Comité européen de la protection des données (EDPB) ont reconnu en 2024-2025 qu’un effacement parfait dans un modèle déjà entraîné est techniquement irréaliste[6]. Personne ne vous demande de « désentraîner » un modèle de plusieurs centaines de milliards de paramètres.

Ce qui est attendu de vous tient en trois actions : transmettre la demande au fournisseur (OpenAI, Anthropic, Mistral) dans le mois, supprimer de votre côté les conversations stockées qui contiennent ces données, et documenter votre démarche dans le registre des traitements. Le fournisseur applique alors un filtre de sortie pour empêcher la génération de contenu sur la personne. C’est l’équivalent fonctionnel du droit à l’oubli, juridiquement accepté.

Les sanctions arrivent-elles vraiment en 2026 ?

La phase pédagogique est terminée. OpenAI s’est pris 15 M€ d’amende de la Garante italienne (équivalent de la CNIL) en décembre 2024 pour entraînement sans base légale claire et défaut d’information[7]. Clearview AI cumule plus de 100 M€ d’amendes en Europe pour scraping de photos sans base légale (20 M€ en France, 30,5 M€ aux Pays-Bas)[8].

Et la CNIL française a publié en avril 2026 ses priorités de contrôle pour l’année : le recrutement et l’IA générale arrivent en tête[5]. Pour une PME, le risque concret n’est pas l’amende stratosphérique — c’est la mise en demeure publique, le contrôle qui mobilise vos équipes pendant des semaines, et la perte de confiance client qui s’ensuit.

Le tout pour des sujets qui se règlent en amont avec un peu de méthode et quelques heures de cadrage.

Par où commencer concrètement la mise en conformité ?

Pas besoin d’un chantier de 6 mois. Trois actions vous mettent à 80 % du chemin, et tiennent dans une journée à deux pour un dirigeant de TPE/PME.

Mise en conformité RGPD/IA — 3 étapes
Cartographiertous les outils IA et les données qui y transitent
Basculer en proEnterprise/Team avec DPA pour usages clients
Inscrire et informerregistre · politique de confidentialité · AIPD si sensible

Cartographier. Listez tous les outils IA utilisés dans l’entreprise et les types de données qui y transitent. Souvent, le périmètre est plus large qu’on ne croit : chaque collaborateur a son ChatGPT perso ouvert, l’assistante utilise Claude, un commercial teste Perplexity. Faites le tour en 1 heure d’entretien collectif.

Basculer en pro. Pour tout usage avec données clients identifiantes, passez sur Enterprise/Team avec DPA. Le surcoût est marginal — 25 à 30 € par utilisateur/mois — face au risque encouru. Si vous traitez des données très sensibles, regardez Mistral ou un LLM local.

Inscrire et informer. Ajoutez ces traitements à votre registre RGPD (modèle CNIL gratuit). Mettez à jour votre politique de confidentialité. Faites une AIPD pour les usages sensibles : RH, scoring, décision automatisée, chatbot client traitant des dossiers nominatifs.

Questions fréquentes

Un compte ChatGPT Plus à 20 €/mois est-il conforme au RGPD pour traiter des données clients ?

Non. Le compte personnel ne propose pas de contrat de sous-traitance (DPA), entraîne le modèle sur vos saisies par défaut, et ne garantit pas la localisation. Pour traiter des données clients identifiantes, il faut basculer sur ChatGPT Enterprise/Team ou Claude Team, qui incluent un DPA et désactivent l’entraînement.

Quelle différence concrète entre RGPD et AI Act ?

Le RGPD régit la donnée personnelle : qui la traite, sur quelle base, avec quelles garanties. L’AI Act régit le système d’IA : niveau de risque, documentation, supervision humaine. Les deux s’appliquent en parallèle dès qu’un système d’IA touche à des données personnelles, et les sanctions se cumulent en théorie.

Faut-il toujours faire une AIPD quand on utilise de l’IA en PME ?

Pas pour un usage léger sans données clients identifiantes (rédaction, brainstorming). Mais dès qu’un projet IA traite des données personnelles avec un usage innovant — chatbot client, tri de CV, analyse automatisée de contrats — l’analyse d’impact (AIPD) devient nécessaire. Comptez une demi-journée à une journée de travail.

Comment gérer une demande d’effacement de données quand on a utilisé ChatGPT pour un client ?

La CNIL et le Comité européen (EDPB) ont reconnu en 2024-2025 qu’un effacement parfait dans un modèle entraîné est techniquement irréaliste. Vous devez transmettre la demande au fournisseur sous un mois, supprimer les conversations stockées, et documenter votre démarche. Le fournisseur applique alors un filtre de sortie.

Et maintenant ?

La conformité RGPD pour les usages IA en 2026 ne demande ni armée de juristes ni outil hors de prix. Elle demande de cartographier vos usages réels, de basculer sur des comptes pro avec DPA quand des données clients sont en jeu, et de documenter ce que vous faites. C'est une demi-journée d'effort en amont qui évite des semaines de contrôle en aval — et qui protège, finalement, autant vos clients que votre entreprise.

Question à se poser cette semaine : si la CNIL vous appelait demain pour un contrôle, sauriez-vous lister précisément quels outils IA tournent dans votre entreprise et quelles données y passent ?

Manifeste BELE Audit IA PME — cartographier ses usages RGPD réglé, prochaine étape : cartographier vos usages IA réels et poser une charte interne. La méthode BELE pour démarrer.
Pour aller plus loin IA souveraine — ce qui existe vraiment en France en 2026 Hébergement souverain et data residency UE : les acteurs français concrets pour sortir de la dépendance au Data Privacy Framework.
Pour aller plus loin Piloter avec l'IA : décider, pas juste exécuter Comment utiliser l'IA pour mieux décider sans transgresser le RGPD — la méthode, les outils conformes, les pièges.

Sources

  1. OpenAI — Introducing Data Residency in Europe, février 2025.
  2. IAPP — European General Court dismisses Latombe challenge, upholds EU-US Data Privacy Framework, septembre 2025.
  3. IAPP — Schrems addresses emerging questions around EU-US Data Privacy Framework, 2026.
  4. CNIL — Réaliser une analyse d'impact si nécessaire (AIPD).
  5. Lock-T — Priorités de contrôle 2026 : la CNIL place le recrutement et l'IA sous haute surveillance, avril 2026.
  6. EDPB — Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, décembre 2024.
  7. Haas Avocats — La CNIL italienne condamne OpenAI à 15 millions d'euros, décembre 2024.
  8. Usine Digitale — RGPD : les Pays-Bas sanctionnent Clearview AI de 30,5 millions d'euros, septembre 2024.