IA et RGPD : Ce Que Vos Équipes Ont le Droit de Faire (Et Ce Qui Peut Vous Coûter Cher)

Vos collaborateurs utilisent déjà l'IA avec les données de l'entreprise — la question est de savoir s'ils le font légalement. Selon une étude de la CNIL en 2025, 56 % des salariés français utilisent des outils d'IA générative au travail, mais seulement 10 % des organisations disposent d'une politique formelle d'usage de l'IA. Cet écart entre l'usage et la gouvernance n'est pas un simple risque de conformité — c'est une bombe à retardement. Avec des amendes RGPD qui s'élèvent en moyenne à 2,1 millions d'euros par action coercitive en France et une CNIL de plus en plus focalisée sur l'IA, le prix de l'ignorance n'a jamais été aussi élevé.

Par Toni Dos Santos, Co-Fondateur, Spicy Advisory

La Tension Fondamentale : l'IA Veut des Données, le RGPD les Protège

Les systèmes d'IA générative sont fondamentalement gourmands en données. Ils s'améliorent avec plus de contexte, plus d'exemples, plus d'information. Le RGPD, lui, existe pour minimiser le traitement des données, garantir la limitation des finalités et protéger les droits individuels sur les données personnelles. Ces deux forces sont en tension directe — et vos collaborateurs naviguent cette tension chaque jour, souvent sans boussole.

Le problème n'est pas que l'IA et le RGPD soient incompatibles. Ils ne le sont pas. Le problème est que la plupart des entreprises n'ont jamais défini les limites. Quand un commercial colle les coordonnées d'un client dans ChatGPT pour rédiger un email de relance, il vient de transférer des données personnelles à un sous-traitant américain sans base juridique, sans contrat de sous-traitance et sans que la personne concernée le sache. C'est une violation du RGPD — et cela se produit des milliers de fois par jour dans les entreprises françaises.

Ce Que Dit la CNIL sur l'IA en Entreprise

La Commission Nationale de l'Informatique et des Libertés a été remarquablement proactive sur la régulation de l'IA. En 2024 et 2025, la CNIL a publié une série de lignes directrices traitant spécifiquement de l'IA générative et de la protection des données. Voici les principes clés que toute entreprise française doit comprendre.

La Base Juridique Est Incontournable

Toute utilisation d'IA traitant des données personnelles exige une base juridique valide au titre de l'article 6 du RGPD. La CNIL a précisé que l'intérêt légitime peut servir de base juridique pour certaines applications IA, mais il nécessite un test de proportionnalité documenté. Le consentement peut être requis lorsque l'IA traite des données sensibles ou lorsque le traitement dépasse ce à quoi les personnes concernées pourraient raisonnablement s'attendre.

Transparence envers les Personnes

Lorsque des systèmes IA traitent des données personnelles — qu'il s'agisse de données de salariés ou de clients — les personnes concernées doivent en être informées. Cela signifie que vos mentions d'information doivent être mises à jour si vous avez déployé des outils IA traitant des données personnelles. La CNIL a prononcé 147 mises en demeure en 2023, dont beaucoup liées à des manquements en matière de transparence. L'IA rend cette obligation plus difficile à respecter car les flux de données sont souvent opaques.

La Minimisation s'Applique aux Prompts

Le principe de minimisation des données ne s'arrête pas à vos bases de données. Il s'étend à ce que vos collaborateurs saisissent dans les outils IA. Si une tâche peut être accomplie sans inclure de données personnelles dans un prompt, les données personnelles ne doivent pas y figurer. C'est un changement culturel qui exige de la formation, pas seulement une politique écrite.

Article 22 : La Décision Automatisée

L'article 22 du RGPD confère aux individus le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou similairement significatifs. Si votre entreprise utilise l'IA pour prendre ou influencer significativement des décisions de recrutement, de licenciement, de crédit, d'assurance ou d'accès aux services, vous devez garantir une intervention humaine significative dans la décision — et offrir aux personnes concernées le droit de contester la décision et d'obtenir un réexamen humain.

La Matrice RGPD-IA Spicy : Classifier Chaque Cas d'Usage

Chez Spicy Advisory, nous avons développé un outil pratique pour aider les équipes à évaluer instantanément le risque RGPD de tout cas d'usage IA. La Matrice RGPD-IA Spicy utilise deux axes — présence ou non de données personnelles et caractère externe (cloud, hors UE) ou interne/hébergé UE de l'outil IA — pour créer quatre zones.

Zone Verte : Pas de Données Personnelles + IA Interne/Hébergée UE

Exemples : Résumer une étude de marché publique avec un outil IA hébergé en UE. Brainstormer des concepts marketing. Générer des suggestions de code. Analyser des données opérationnelles anonymisées.

Niveau de risque : Faible. Les politiques standard d'usage de l'IA s'appliquent. Aucune mesure RGPD spécifique requise au-delà de votre gouvernance générale des données.

Zone Orange A : Pas de Données Personnelles + IA Externe (US/Hors UE)

Exemples : Utiliser ChatGPT pour rédiger des communications internes sans données personnelles. Générer des plans de présentation avec Claude. Créer des idées de contenu pour les réseaux sociaux avec Gemini.

Niveau de risque : Modéré. Aucune donnée personnelle n'est en jeu, mais des informations commerciales confidentielles peuvent être partagées avec des sous-traitants hors UE. Vérifiez que votre licence entreprise empêche l'entraînement sur vos données. Examinez les conditions de traitement de votre fournisseur. Sachez que certains outils conservent les prompts à des fins d'amélioration, sauf configuration entreprise spécifique.

Zone Orange B : Données Personnelles + IA Interne/Hébergée UE

Exemples : Utiliser un outil IA hébergé en UE pour analyser des enquêtes de satisfaction collaborateurs contenant des noms. Traiter des retours clients identifiants via un système IA on-premise. Mener des analyses RH sur une infrastructure IA interne.

Niveau de risque : Modéré à Élevé. Une base juridique RGPD est requise. La minimisation des données doit être appliquée — anonymisez ou pseudonymisez dès que possible. Les mentions d'information doivent être mises à jour. Pour les données sensibles (santé, appartenance syndicale, origine ethnique), des garanties supplémentaires s'appliquent. Évaluez si une Analyse d'Impact relative à la Protection des Données (AIPD) est nécessaire.

Zone Rouge : Données Personnelles + IA Externe (US/Hors UE)

Exemples : Coller les coordonnées d'un client dans ChatGPT. Télécharger des entretiens d'évaluation dans un outil IA externe. Utiliser un service IA hébergé aux US pour traiter des données de santé clients. Soumettre des CV à un outil de tri IA hors UE.

Niveau de risque : Élevé à Critique. C'est là que se produisent la plupart des violations RGPD liées à l'IA. Vous avez besoin : d'une base juridique valide, d'un contrat de sous-traitance avec le fournisseur IA, d'un mécanisme de transfert adéquat pour les transferts internationaux (Clauses Contractuelles Types au minimum), de mentions d'information mises à jour, potentiellement d'une AIPD, et de la capacité à répondre aux demandes d'exercice de droits. Dans de nombreux cas, l'approche la plus sûre est tout simplement de ne pas le faire tant que les garanties appropriées ne sont pas en place.

Scénarios Pratiques : Ce Qui Est Permis et Ce Qui Ne l'Est Pas

La théorie est utile, mais vos équipes ont besoin de repères concrets. Voici les situations courantes auxquelles les entreprises françaises font face.

Scénario 1 : Résumer des Notes de Réunion avec l'IA

OK si : Vous supprimez les noms des participants et toute donnée personnelle avant de coller dans l'outil IA, ou vous utilisez un outil d'entreprise hébergé en UE avec un contrat de sous-traitance approprié. Le résumé se concentre sur les décisions et les actions, pas sur les déclarations individuelles attribuables à des personnes spécifiques.

Pas OK si : Vous collez des notes brutes incluant les noms, opinions personnelles, discussions de performance ou informations salariales dans un outil IA grand public.

Scénario 2 : Utiliser l'IA pour Rédiger des Communications Clients

OK si : Vous fournissez à l'IA le type de client et le contexte de communication sans inclure de données personnelles réelles. « Rédige un email de relance pour un DAF d'ETI qui a exprimé un intérêt pour notre plateforme d'analytics » est acceptable.

Pas OK si : Vous collez le nom du client, son email, les détails de son entreprise et l'historique de conversation dans le prompt. C'est un transfert de données personnelles sans garanties appropriées.

Scénario 3 : Tri de CV Assisté par IA

Possible si : Vous utilisez un outil de recrutement IA correctement évalué et conforme au RGPD, avec un contrat de sous-traitance. Vous informez les candidats que l'IA est utilisée dans le processus de sélection, vous garantissez un contrôle humain significatif de toutes les décisions, vous offrez aux candidats la possibilité de contester les décisions influencées par l'IA, et vous réalisez une AIPD. Ceci est classé à haut risque au titre du RGPD et de l'AI Act européen.

Pas OK si : Vous téléchargez des CV dans ChatGPT ou un outil non conforme et demandez de classer les candidats. Cela viole plusieurs principes du RGPD et vous expose à une responsabilité significative.

Scénario 4 : Surveillance des Salariés par IA

Très encadré. Le droit du travail français (Code du travail) et les lignes directrices de la CNIL imposent des limites strictes à la surveillance des salariés. La surveillance par IA des emails, frappes clavier, activité écran ou métriques de productivité des employés nécessite : la consultation des représentants du personnel (CSE), une évaluation de proportionnalité, l'information préalable des salariés, et une base juridique valide. La CNIL a sanctionné à plusieurs reprises des entreprises pour surveillance excessive des salariés. Ajouter de l'IA à la surveillance ne la rend pas plus légale — cela la rend plus risquée.

Scénario 5 : Chatbots IA pour le Service Client

OK si : Le chatbot s'identifie clairement comme IA (obligation de transparence), les données personnelles collectées sont limitées au nécessaire, les données sont traitées au sein de l'UE ou avec des garanties de transfert adéquates, les clients peuvent demander une intervention humaine, et la politique de confidentialité couvre les interactions alimentées par l'IA.

Pas OK si : Le chatbot se fait passer pour un humain, collecte des données personnelles excessives, ou prend des décisions automatisées sur les niveaux de service client sans contrôle humain.

L'AIPD : Quand Est-elle Obligatoire ?

L'Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire lorsque le traitement IA est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste des types de traitement nécessitant une AIPD, dont plusieurs sont directement pertinents pour l'IA :

• Profilage à grande échelle avec des effets significatifs sur les individus
• Prise de décision automatisée avec des effets juridiques ou significatifs
• Surveillance systématique des salariés
• Traitement de données sensibles à grande échelle
• Usage innovant de nouvelles technologies (ce qui inclut de nombreuses applications IA)

Si votre cas d'usage IA entre dans l'une de ces catégories, l'AIPD n'est pas optionnelle. Selon une enquête 2025 de l'Association Française des DPO, seules 23 % des entreprises françaises ont réalisé une AIPD pour leurs outils IA — ce qui signifie que la grande majorité sont en situation de non-conformité sur cette exigence spécifique.

Résidence des Données : La Question des Serveurs US vs. UE

L'une des questions les plus fréquentes que nous entendons : « Est-ce important de savoir où sont les serveurs de l'IA ? » La réponse est un oui catégorique.

Depuis l'arrêt Schrems II et malgré le Data Privacy Framework UE-US adopté en juillet 2023, le transfert de données personnelles vers des services IA basés aux États-Unis exige une analyse juridique rigoureuse. Le Data Privacy Framework fournit un mécanisme de transfert valide, mais uniquement pour les entreprises certifiées. Vous devez vérifier que votre fournisseur IA spécifique est certifié — et même dans ce cas, des garanties supplémentaires peuvent être recommandées pour les catégories de données sensibles.

Pour les entreprises françaises, les implications pratiques sont claires :

• Les versions entreprise des outils IA (ChatGPT Enterprise, Microsoft Copilot avec résidence des données UE, Google Gemini for Workspace) offrent généralement de meilleures garanties de protection des données que les versions grand public
• Les alternatives hébergées en UE (Mistral AI, Aleph Alpha, Azure OpenAI en région UE) réduisent significativement le risque de transfert
• Les déploiements on-premise ou cloud privé éliminent totalement la question du transfert mais nécessitent un investissement technique plus important

La CNIL a signalé qu'elle scrutera de près les transferts internationaux de données liés à l'IA. En 2023, la CNIL a prononcé 89 millions d'euros d'amendes au total, avec plusieurs dossiers impliquant des violations de transfert international de données. Ne présumez pas que votre fournisseur IA a géré la conformité RGPD pour vous — vérifiez-le.

Construire une Politique IA Conforme au RGPD : Checklist Pratique

Toute entreprise française utilisant l'IA doit disposer d'une politique écrite d'usage de l'IA intégrant le RGPD. Voici ce qu'elle doit couvrir :

1. Outils IA approuvés : Liste des outils évalués par votre entreprise pour la conformité RGPD, précisant lesquels disposent de licences entreprise et de contrats de sous-traitance
2. Classification des données pour l'IA : Définition des types de données utilisables avec quels outils IA, en utilisant les zones de la Matrice RGPD-IA
3. Interdiction des données personnelles dans les outils externes : Sauf garanties spécifiques en place, interdire la saisie de données personnelles dans les outils IA externes
4. Hygiène des prompts : Former les collaborateurs à anonymiser, pseudonymiser et minimiser les données dans les prompts
5. Exigences de revue des productions : Les contenus générés par IA contenant ou influencés par des données personnelles doivent être révisés avant utilisation
6. Signalement d'incidents : Procédures claires pour signaler une exposition accidentelle de données personnelles via les outils IA — cela peut constituer une violation de données nécessitant une notification au titre de l'article 33
7. Obligations de formation : Formation continue de tous les collaborateurs sur l'intersection RGPD-IA, pas seulement une lecture-signature ponctuelle

Pour les organisations souhaitant construire des cadres de gouvernance IA complets, la politique IA conforme au RGPD devrait être un document fondateur, aux côtés de votre feuille de route de conformité AI Act.

« Les entreprises qui prospéreront à l'ère de l'IA ne sont pas celles qui utiliseront l'IA le plus agressivement. Ce sont celles qui l'utiliseront le plus intelligemment — ce qui signifie comprendre exactement où se trouvent les limites juridiques et opérer avec confiance à l'intérieur. » — Toni Dos Santos, Co-Fondateur, Spicy Advisory

Le Coût de l'Erreur

L'exposition financière est réelle et croissante :

• Amendes RGPD maximales : 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial
• Amende CNIL moyenne dans les dossiers majeurs : 2,1 millions d'euros (données 2023)
• Plaintes reçues par la CNIL en 2023 : Plus de 16 000 — une augmentation de 35 % par rapport à 2021
• Risque contentieux prud'homal : Les Conseils de Prud'hommes prennent de plus en plus en compte les violations de vie privée liées à l'IA dans les affaires de licenciement abusif et de discrimination

Au-delà des amendes, l'impact réputationnel d'une action coercitive de la CNIL est sévère. Les consommateurs et partenaires commerciaux français sont parmi les plus sensibles à la vie privée en Europe, et une sanction publique pour violation du RGPD liée à l'IA peut détruire une confiance qui a mis des années à se construire.