Chartia
Tous les articles

RGPD

RGPD + IA : ce que la CNIL attend quand vos équipes utilisent l'IA générative

6 min de lecture

On parle beaucoup de l'AI Act, mais pour une TPE française, le texte qui encadre déjà — aujourd'hui, concrètement — vos usages d'IA générative, c'est le RGPD. La CNIL l'a rappelé dans ses recommandations sur l'IA : pas besoin d'attendre de nouvelles règles, les règles existent. Voici ce que cela signifie en pratique quand vos équipes utilisent ChatGPT, Copilot ou un autre assistant.

Le principe de base : un prompt peut être un traitement de données

Dès qu'une information permettant d'identifier une personne — un nom, un email, un poste dans une petite structure, un dossier client — entre dans un outil d'IA, vous traitez des données personnelles au sens du RGPD. Cela déclenche des obligations bien connues : une base légale, une finalité définie, une information des personnes concernées, et l'inscription au registre des traitements.

La question n'est pas « utilisons-nous l'IA ? » mais « que mettons-nous dedans ? ». C'est le contenu des prompts qui crée l'obligation.

Les quatre attentes concrètes de la CNIL

1. Savoir ce que vous faites

Impossible d'être conforme sans inventaire. Quels outils, pour quels usages, avec quelles données ? C'est exactement le rôle d'un registre des systèmes d'IA — le pendant IA de votre registre RGPD, les deux devant se répondre.

2. Minimiser les données dans les prompts

La règle pratique la plus efficace : anonymiser avant de coller. « Rédige une relance pour un client en retard de paiement » fonctionne aussi bien que la même phrase avec le nom de la société et le montant. Cette seule habitude élimine une grande partie du risque.

3. Paramétrer les outils

Désactiver l'utilisation des conversations pour l'entraînement quand l'option existe, préférer les offres professionnelles aux comptes gratuits personnels, et vérifier où les données sont hébergées. Un compte ChatGPT personnel gratuit et un abonnement d'équipe correctement configuré n'offrent pas du tout les mêmes garanties.

4. Garder l'humain dans la boucle

Aucune décision produisant des effets sur une personne (recrutement, évaluation, octroi ou refus d'un service) ne doit être déléguée à l'IA sans intervention humaine réelle. Pour une TPE, le plus simple est de l'interdire tout court dans la charte — ces usages relèvent de toute façon du « haut risque » de l'AI Act.

Par où commencer sans se noyer

La bonne nouvelle : pour une TPE, la mise en conformité RGPD + IA tient dans un triptyque bien connu — un inventaire des usages, une charte qui fixe les règles (dont l'anonymisation des prompts et la relecture humaine), et une sensibilisation tracée de l'équipe. Le même socle répond à la fois à la CNIL et à l'article 4 de l'AI Act : autant le construire une fois, proprement, et le garder à jour.

Faites le point en 10 questions

Le diagnostic Chartia vous dit, gratuitement, quelles obligations IA s'appliquent réellement à votre entreprise.

Cet article a une visée informative et ne constitue pas un conseil juridique individualisé.