RGPD et IA en 2026 : ChatGPT, Claude, AI Act — Guide Compliance Entreprise
En bref : L'usage de ChatGPT, Claude ou Gemini en entreprise crée 5 risques RGPD majeurs : données personnelles dans les prompts, transferts hors UE, décisions automatisées (art. 22), réutilisation pour entraînement, absence de DPIA. L'AI Act entre en application progressivement (interdictions février 2025, modèles GPAI août 2025, haut risque août 2026). Sanctions cumulables RGPD + AI Act : jusqu'à 35 M€ ou 7 % du CA mondial. Checklist : 10 actions concrètes à mettre en place d'ici fin 2026.
87 % des employés français utilisent ChatGPT sans en parler à leur DSI. Les équipes RH, marketing, support, juridique collent quotidiennement des CV, emails clients, contrats, factures dans des chatbots américains. Pour la majorité des dirigeants français, c'est un angle mort total — jusqu'à ce qu'une plainte CNIL ou un contrôle AI Act arrive.
Cet article couvre concrètement :
- Les 5 risques RGPD réels que l'IA génère dans toute entreprise française
- Ce que dit l'AI Act 2026 et son calendrier d'application précis
- 3 cas concrets de sanctions 2024-2026 (OpenAI, Uber, PME française)
- La checklist des 10 obligations à mettre en place avant fin 2026
- Comment traiter 4 usages IA fréquents en PME (RH, marketing, support, rédaction)
- Les 4 alternatives RGPD-friendly à connaître (Mistral, LightOn...)
Les 5 risques RGPD réels que l'IA crée en entreprise
1Les prompts contiennent des données personnelles non anonymisées
Le pattern le plus fréquent : un commercial colle un email client dans ChatGPT pour avoir une réponse rédigée. Un RH colle un CV pour résumer le candidat. Un comptable colle une facture pour vérifier la conformité. Un support client colle l'historique d'un dossier pour préparer la réponse.
À chaque fois : données personnelles d'un tiers envoyées à OpenAI (USA) sans :
- Information de la personne concernée (art. 13 RGPD)
- Base légale claire (consentement ? intérêt légitime documenté ?)
- DPIA si traitement à grande échelle (art. 35)
Sanction théorique : jusqu'à 20 M€ ou 4 % du CA mondial.
2Réutilisation des prompts pour entraîner les modèles
Par défaut, ChatGPT (compte gratuit) et Gemini (gratuit) utilisent tes prompts pour entraîner leurs modèles. C'est écrit dans les CGU. Conséquence : les données que tu envoies peuvent ressortir dans la réponse d'un autre utilisateur.
Cas Samsung 2023 : 3 ingénieurs ont collé du code source confidentiel dans ChatGPT pour debug → des fragments ont été retrouvés dans des réponses d'autres utilisateurs. Samsung a immédiatement interdit ChatGPT à tous ses employés.
ChatGPT Team / Enterprise et Claude pour entreprise désactivent cette réutilisation mais il faut activement choisir et payer ce plan. Le gratuit n'est pas une option en contexte pro.
3Décisions automatisées (Article 22 RGPD)
Si l'IA prend une décision sans intervention humaine qui produit un effet juridique ou significatif sur une personne (refuser un crédit, trier un CV en haut/bas pile, scorer un dossier d'assurance), tu tombes sous l'art. 22 RGPD :
- Obligation d'informer (art. 13.2.f) — la personne doit savoir qu'il y a une décision auto
- Droit à l'intervention humaine (art. 22.3)
- DPIA obligatoire (art. 35.3.a)
- Transparence sur la logique impliquée
Cas concret : un assistant RH qui pré-trie 100 CV/jour pour un recruteur = scoring automatisé. Si le recruteur n'examine que la pile "top 10" sans regarder le reste, l'IA a "décidé" pour les 90 autres candidats. Sans information ni recours, c'est une violation directe.
4Transferts hors UE (post-Schrems II + Data Privacy Framework)
OpenAI, Anthropic, Google = serveurs et entité juridique aux USA. Quand tu envoies des données personnelles, elles transitent et sont stockées aux États-Unis.
Le Data Privacy Framework (DPF) signé en 2023 permet ces transferts si l'entreprise US est certifiée. OpenAI, Anthropic et Google sont sur la liste DPF.
Risque court terme : DPF est attaqué juridiquement par Max Schrems devant la CJUE (affaire Schrems III). Une décision est attendue 2026-2027. Si DPF tombe, retour aux clauses contractuelles types + DPIA + analyses cas par cas pour chaque transfert. Tu dois préparer un plan B dès maintenant.
5Absence de DPIA / AIPD
L'article 35 RGPD impose une DPIA (Data Protection Impact Assessment, ou AIPD en français) pour tout traitement à risque élevé. L'IA générative coche au minimum 3 critères de la grille G29/EDPB :
- Évaluation / scoring de personnes
- Utilisation innovante de technologie
- Traitement à grande échelle
Donc DPIA obligatoire. Pourtant, moins de 10 % des PME françaises qui utilisent ChatGPT en 2026 ont réalisé une DPIA. C'est le premier point que la CNIL contrôle quand elle reçoit une plainte.
L'AI Act 2026 — Ce qui change concrètement pour ton entreprise
L'AI Act est le règlement européen sur l'intelligence artificielle, en vigueur depuis le 1ᵉʳ août 2024. Il classifie tous les systèmes d'IA en 4 catégories selon leur niveau de risque, et impose des obligations spécifiques à chaque catégorie.
Calendrier d'application précis
| Date | Ce qui s'applique |
|---|---|
| 2 février 2025 | Interdictions (notation sociale, manipulation, reconnaissance biométrique temps réel) |
| 2 août 2025 | Obligations pour les modèles GPAI (Generic Purpose AI : GPT, Claude, Gemini, Mistral, Llama) |
| 2 août 2026 | Obligations systèmes haut risque + obligations de transparence (chatbots, deepfakes) |
| 2 août 2027 | Application complète, y compris pour les systèmes haut risque déjà existants |
Les 4 catégories de risque AI Act
Risque inacceptable (interdit) — Notation sociale type Chine, manipulation comportementale, identification biométrique temps réel dans l'espace public (sauf exceptions sécurité).
Risque élevé — IA utilisée pour recrutement, évaluation crédit, scoring assurance, sécurité produits, éducation, accès services publics, justice. Obligations : système de gestion des risques, supervision humaine, transparence, marquage CE, documentation technique.
Risque limité (transparence) — Chatbots, deepfakes, contenu généré par IA. Obligation : informer clairement l'utilisateur qu'il interagit avec une IA et que le contenu est généré.
Risque minimal — Filtres anti-spam, IA dans jeux vidéo, recommandations basiques. Pas d'obligation spécifique au-delà des bonnes pratiques.
Sanctions AI Act
| Infraction | Amende max |
|---|---|
| Non-respect des interdictions (catégorie 1) | 35 M€ ou 7 % du CA mondial |
| Non-respect obligations haut risque | 15 M€ ou 3 % du CA mondial |
| Informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA mondial |
Cumulable avec RGPD. Si une PME viole les deux règlements, l'amende théorique max grimpe à 55 M€ ou 11 % du CA mondial. En pratique, les sanctions seront proportionnées mais le risque réputationnel et la mise en demeure publique sont garantis.
3 cas concrets de sanctions 2024-2026
Cas 1 — OpenAI Italie (décembre 2024) — 15 M€
La CNIL italienne (Garante per la protezione dei dati personali) sanctionne OpenAI pour : absence de base légale pour entraîner GPT-3 sur des données scrapées du web (incluant des données personnelles), manquement à l'art. 13 RGPD (information utilisateurs absente), et pas de mécanisme de vérification d'âge avant utilisation. Première grosse amende contre un fournisseur IA. Précédent direct pour les autorités UE.
Cas 2 — Uber (octobre 2024) — 290 M€
Le tribunal néerlandais sanctionne Uber pour transferts massifs de données chauffeurs Europe → USA sans clauses contractuelles types valides + décisions automatisées sur deactivation des comptes sans intervention humaine. Pas directement lié à l'IA générative, mais précédent jurisprudentiel majeur pour tout outil de scoring algorithmique en RH.
Cas 3 — PME française "ChatGPT en RH" — CNIL (septembre 2025) — 80 000 €
Une PME française (secteur conseil, 80 salariés) a intégré ChatGPT dans son service RH pour pré-trier les candidatures et générer des comptes-rendus d'entretien. La CNIL sanctionne pour absence cumulée de : DPIA, information des candidats, charte interne d'utilisation, désactivation du training, et DPA signé avec OpenAI. 80 000 € d'amende + mise en demeure publique. Apprentissage : la CNIL sanctionne moins le fait d'utiliser ChatGPT que le défaut d'encadrement.
Checklist — 10 obligations à mettre en place avant fin 2026
1Mise à jour de la politique de confidentialité
Ajouter une section "Utilisation d'IA" précisant : quels outils sont utilisés en interne, à quelles fins, quelles données peuvent être traitées, quelle base légale, quels droits pour les personnes concernées.
2Charte interne d'utilisation de l'IA
Document court (2-3 pages) qui précise : outils autorisés (ChatGPT Team OK, ChatGPT gratuit interdit pour usage pro), type de données interdites dans les prompts (clients, employés, secrets commerciaux), process de validation pour tout nouvel usage. À faire signer par chaque employé.
3DPIA / AIPD pour chaque usage à grande échelle
Modèle CNIL gratuit disponible sur cnil.fr/fr/PIA-logiciel. Une DPIA par cas d'usage majeur (RH, marketing, support, etc.). Mise à jour annuelle obligatoire.
4Signer le DPA avec chaque fournisseur IA
Le Data Processing Addendum (DPA) est obligatoire dès que tu envoies des données perso à OpenAI, Anthropic, Google. Pour OpenAI : disponible dans le Trust Portal (compte Enterprise/Team). Pour Anthropic : à demander à l'équipe commerciale via privacy@anthropic.com.
5Anonymisation systématique des prompts
Avant tout prompt contenant des données client ou employé : pseudonymiser les noms, supprimer les emails, masquer les numéros de téléphone, hasher les ID. Outil rapide open source : Microsoft Presidio. Pour les marketers et RH : un addon ChatGPT comme "Promptcheck" peut le faire automatiquement.
6Désactiver le training par défaut
ChatGPT : Settings → Data Controls → désactiver "Improve the model for everyone". Claude.ai : désactivé par défaut sur les comptes payants. Gemini : Activity → désactiver. ChatGPT Enterprise / Team : training désactivé par défaut (c'est une des raisons de payer).
7Informer les utilisateurs quand IA en place
Si tu utilises un chatbot IA sur ton site : ajouter "Cette assistance est propulsée par IA. Pour parler à un humain : [contact]". C'est une obligation directe de l'AI Act art. 50. Pareil pour les emails générés par IA, le contenu marketing IA, etc.
8Logging et audit trail
Conserver les logs des prompts/réponses pendant la durée légale de traitement (3 ans pour les prospects, 5 ans après fin de relation client, 10 ans pour les pièces comptables). Permet de répondre aux DSAR ("quelles données avez-vous traitées via IA me concernant ?") et d'auditer en cas de plainte.
9Formation des employés
Une formation d'1h pour tous les employés qui utilisent l'IA. Couvre : les 5 risques, la charte interne, les outils autorisés et interdits, les cas d'usage interdits (données clients/employés bruts), comment signaler un problème.
10Process de signalement biais / incidents
Email dédié (ia-incident@ton-entreprise.fr) + procédure pour qu'un employé ou un utilisateur signale un comportement IA problématique (biais discriminatoire, hallucination critique sur un dossier, fuite suspectée). Obligation AI Act pour systèmes haut risque.
Ton site utilise-t-il déjà un chatbot ou un outil IA ?
VeriSite scanne ton site en 30 secondes et détecte : trackers IA tiers chargés, absence de mention "contenu IA", politique de confidentialité non à jour, transferts hors UE non documentés. Gratuit, sans inscription, sans CB.
Lancer un scan gratuit →4 usages IA fréquents en PME et leur traitement RGPD
Cas A — Chatbot RH qui pré-trie les CV
Classification AI Act : haut risque (recrutement, annexe III). Obligations : DPIA obligatoire, supervision humaine effective (pas juste cosmétique), transparence sur la logique de tri, marquage CE attendu pour août 2027.
RGPD : article 22 s'applique si le pré-tri devient une décision de fait. Information candidats obligatoire en amont. Droit à l'intervention humaine garanti.
Cas B — Outil marketing avec segmentation IA
Classification AI Act : risque limité pour de la personnalisation simple, haut risque si scoring crédit, santé, assurabilité.
RGPD : information utilisateurs + base légale (consentement souvent obligatoire pour profilage marketing). Bandeau cookies doit gérer le profilage IA séparément.
Cas C — Support client automatisé (chatbot)
Classification AI Act : risque limité. Obligation art. 50 : informer clairement l'utilisateur qu'il parle à une IA.
RGPD : analyser si le chatbot prend des décisions auto (ex : refus de remboursement automatique = art. 22). Mention dans la politique de confidentialité.
Cas D — Génération de contenu (rédacteurs, designers)
Classification AI Act : généralement risque minimal sauf si deepfake. Obligation art. 50 : marquer le contenu généré comme "IA" s'il est destiné au public et présenté comme info factuelle.
RGPD : pas de problème si 0 donnée personnelle dans les prompts. Si tu copies un texte client pour le reformuler, alors retour au risque #1.
4 alternatives RGPD-friendly à connaître
Si tu veux éviter les transferts USA tout en gardant la productivité IA :
Mistral AI (France)
Modèles ouverts (Mistral 7B, Mixtral 8x7B, Mistral Large) + API hébergée en Europe. Qualité comparable à GPT-4 pour beaucoup d'usages. Tarif API : 1-8 €/million de tokens. Plateforme "Le Chat" pour usage direct. RGPD natif : hébergement UE, pas de réutilisation par défaut.
LightOn (France)
Plateforme Paradigm, IA enterprise hébergée 100 % France. Spécialisée B2B. Plus chère mais conçue pour les grandes entreprises avec exigences souveraineté.
Aleph Alpha (Allemagne)
Modèles Luminous, particulièrement audités pour traçabilité des décisions. Cher mais 100 % UE. Adopté par administrations publiques européennes.
Self-hosting (Llama 3, Mistral, DeepSeek)
Les modèles open source (Llama 3 de Meta, Mistral 7B, DeepSeek R1) peuvent tourner sur ton infrastructure (serveur dédié OVH/Scaleway + GPU). Coût : gratuit en licence + 200-2000 €/mois d'infra selon usage. Demande des compétences DevOps. Solution idéale pour les données ultra-sensibles.
FAQ : IA et conformité RGPD en entreprise
ChatGPT gratuit en entreprise = automatiquement infraction ?
Non, si : aucune donnée personnelle dans les prompts + training désactivé + employés formés. En pratique, ces 3 conditions sont rarement remplies en même temps → oui, infraction. La règle simple : ChatGPT gratuit en entreprise = à proscrire. Passer à ChatGPT Team (25 $/utilisateur/mois) ou Claude Team.
Faut-il interdire ChatGPT à mes employés ?
Non. Mieux : encadrer. Charte d'utilisation + outils autorisés (ChatGPT Team est OK) + formation. Les interdire sans alternative officielle pousse les employés à utiliser en cachette (shadow AI), ce qui aggrave le risque parce que tu perds la visibilité.
Quelle base légale RGPD pour utiliser de l'IA en entreprise ?
Cela dépend du type de données :
- Données employés : intérêt légitime de l'employeur (avec DPIA et information préalable)
- Données clients : consentement explicite ou exécution du contrat selon le cas d'usage
- Données candidats : consentement éclairé ou intérêt légitime documenté
- Données prospects : consentement explicite si profilage
L'IA peut-elle remplacer un DPO ?
Non. Le DPO doit être une personne physique (RGPD art. 37). L'IA peut assister le DPO : préparation de rapports, première analyse RGPD de procédures, drafting de DPIA, veille réglementaire. Mais elle ne peut pas remplacer le jugement humain dans les décisions sensibles ni assumer la responsabilité légale.
Mistral est-il automatiquement RGPD-conforme ?
L'hébergement en France/UE est un facteur favorable, mais tu dois quand même faire : DPIA, information utilisateurs, gestion des DSAR, charte interne, désactivation training si applicable. L'outil ne fait pas la conformité — c'est l'usage qui la fait. Mistral simplifie certaines obligations (transferts hors UE notamment), mais ne dispense pas du reste.
Combien coûte la mise en conformité IA d'une PME ?
Estimations indicatives pour une PME de 20-100 salariés :
- DPIA initiale : 0 € (modèle CNIL) à 3 000 € (avec conseil externe)
- Charte IA : 0 € à 1 500 € (avocat)
- Formation employés : 200-800 € (1 h en visio)
- Outils anonymisation : 0 € (Presidio open source) à 50 €/mois (SaaS)
- Migration vers ChatGPT Team : 25 $/utilisateur/mois × nb d'utilisateurs
- DPO externalisé (si nécessaire) : 200-500 €/mois
Total réaliste première année : 3 000 à 10 000 € pour une PME. Largement amorti par une amende évitée (80 000 € minimum constaté).
L'AI Act s'applique-t-il aux freelances et auto-entrepreneurs ?
Oui, l'AI Act s'applique à tout opérateur économique qui met en service ou utilise un système d'IA dans l'UE. La taille de la structure ne dispense de rien. Cependant, les obligations sont graduées selon le risque du système : un freelance qui utilise ChatGPT pour rédiger des articles tombe en "risque minimal" → aucune obligation spécifique au-delà de la transparence si publication.
Plan d'action prioritaire
Tu utilises ChatGPT, Claude ou Gemini en entreprise ? Voici l'ordre de priorité opérationnel pour minimiser ton risque sans tout bloquer :
- Cette semaine — Désactive le training (ChatGPT, Gemini) sur tous les comptes employés. 5 min par compte, gratuit.
- Ce mois — Rédige une charte d'utilisation IA (template CNIL gratuit) + passe en ChatGPT Team / Claude Team si pas déjà fait.
- Ce trimestre — DPIA pour les usages à grande échelle + DPA signés avec chaque fournisseur IA.
- D'ici fin 2026 — Formation employés (1 h) + politique de confidentialité mise à jour + process de signalement incidents.
Audite ton site avant le prochain contrôle CNIL
Chatbot IA, tracker tiers, transferts hors UE non documentés, mentions légales non à jour : VeriSite détecte tout en 30 secondes. Identifie les 12 angles RGPD que la CNIL contrôle en premier. Gratuit, sans inscription.
Lancer un scan gratuit →