RGPD et IA générative : 5 erreurs à ne jamais commettre

RGPD et IA générative : 5 erreurs à ne jamais commettre

Catégorie : Conformité | Durée de lecture : 6 min

Introduction

"On utilise ChatGPT depuis 6 mois, on n'a jamais eu de problème." Cette phrase me glace le sang. Non pas que ChatGPT soit dangereux en soi, mais parce qu'elle révèle une méconnaissance des risques RGPD liés à l'IA générative.

La CNIL et les autorités européennes ont durci leur position depuis 2024. Les sanctions tombent, et elles sont lourdes : jusqu'à 4 % du chiffre d'affaires mondial. Dans cet article, je vous présente les 5 erreurs les plus courantes que je constate en mission, et surtout, comment les éviter.

Erreur 1 : Envoyer des données clients ou RH dans ChatGPT

Le problème

Vous copiez un email contenant le nom, l'email et le numéro de téléphone d'un client dans ChatGPT pour rédiger une réponse. Vous demandez à l'IA de synthétiser une liste de candidats avec leurs coordonnées. Vous uploadez un fichier Excel contenant des données de facturation.

Vous venez de transférer des données personnelles à un sous-traitant (OpenAI) sans contrat DPA et sans base légale.

La règle RGPD

Toute transmission de données personnelles à un outil tiers (même un outil IA) constitue un traitement qui doit :

1. Avoir une base légale (consentement, intérêt légitime, exécution d'un contrat)
2. Être documentée dans votre registre de traitements
3. Faire l'objet d'un contrat de sous-traitance (DPA)
4. Informer les personnes concernées

Comment l'éviter

• Règle d'usage claire : interdire l'envoi de données nominatives dans ChatGPT gratuit ou Plus (versions individuelles sans DPA)
• ChatGPT Team ou Enterprise : ces versions incluent un DPA et garantissent que vos données ne servent pas à entraîner les modèles. Privilégiez-les.
• Anonymisation : si vous devez traiter des exemples, anonymisez systématiquement (remplacer les noms par "Client A", "Commercial 1", etc.)
• Alternative : utiliser Copilot dans Microsoft 365 (DPA inclus) ou des solutions européennes comme Mistral

Erreur 2 : Ne pas informer les personnes concernées

Le problème

Vous déployez un chatbot IA sur votre site pour répondre aux questions des visiteurs. Vous utilisez une IA pour analyser les CV reçus et présélectionner les candidats. Vous automatisez l'envoi d'emails personnalisés à vos clients.

Vous traitez des données personnelles par IA sans informer les personnes.

La règle RGPD

L'article 13 impose d'informer les personnes de tout traitement automatisé, et l'article 22 encadre spécifiquement les décisions entièrement automatisées. Vous devez indiquer :

• L'existence d'un traitement automatisé
• La finalité (ex : "présélection des candidatures")
• Le droit de demander une intervention humaine
• Le droit de contester la décision

Comment l'éviter

• Mention dans la politique de confidentialité : ajouter une section "Utilisation de l'intelligence artificielle" expliquant les traitements automatisés en place
• Mention contextualisée : sur le formulaire de candidature, indiquer "Vos candidatures sont présélectionnées par un système automatisé. Vous pouvez demander un examen humain."
• Chatbot : message d'accueil précisant "Je suis un assistant IA. Vos questions sont traitées automatiquement."

Erreur 3 : Pas de contrat DPA avec les fournisseurs IA

Le problème

Vous souscrivez à un outil IA (génération de contenu, transcription, analyse de sentiments) sans vérifier s'il existe un Data Processing Agreement (DPA). Vous considérez que "c'est juste un outil" et que vous restez responsable des données.

Légalement, votre fournisseur IA est un sous-traitant. Sans DPA, vous êtes en infraction.

La règle RGPD

L'article 28 impose un contrat écrit entre le responsable de traitement (vous) et le sous-traitant (le fournisseur IA) précisant :

• Les obligations du sous-traitant (sécurité, confidentialité, suppression des données)
• L'interdiction de sous-traiter sans autorisation
• L'assistance en cas de demande d'exercice de droits ou de violation de données

Comment l'éviter

• Vérifier AVANT de souscrire : demander le DPA avant de signer. Les fournisseurs sérieux le fournissent sur demande ou le mettent en ligne.
• Vérifier la localisation des données : où sont hébergées les données ? Transferts hors UE ? Clauses contractuelles types (CCT) en place ?
• Liste des fournisseurs approuvés : centraliser au niveau IT/juridique les outils IA autorisés avec DPA validé

Fournisseurs avec DPA disponibles : OpenAI (Team/Enterprise), Microsoft (Azure OpenAI, Copilot), Anthropic (Claude), Mistral AI.

Erreur 4 : Absence de registre de traitement pour les usages IA

Le problème

Vous utilisez l'IA dans plusieurs contextes (rédaction d'emails, qualification de leads, analyse de documents), mais aucun de ces usages n'est documenté dans votre registre des traitements RGPD.

En cas de contrôle CNIL, vous ne pouvez pas démontrer la conformité de vos traitements IA.

La règle RGPD

L'article 30 impose à toute organisation de tenir un registre des traitements de données personnelles. Chaque usage IA traitant des données personnelles doit y figurer.

Comment l'éviter

Créer une fiche de traitement pour chaque usage IA significatif, incluant :

• Finalité : "Qualification automatisée de leads entrants"
• Base légale : "Intérêt légitime de l'entreprise (prospection commerciale)"
• Catégories de données : "Nom, email, entreprise, téléphone, message"
• Destinataires : "Équipe commerciale, fournisseur IA (OpenAI via API)"
• Durée de conservation : "6 mois dans l'outil IA, 2 ans dans le CRM"
• Mesures de sécurité : "Chiffrement, accès restreint, anonymisation après traitement"

Documenter = se protéger. Un registre à jour montre votre bonne foi et facilite la défense en cas de contrôle.

Erreur 5 : Décisions 100 % automatisées sans validation humaine

Le problème

Vous utilisez l'IA pour rejeter automatiquement des candidatures, bloquer des transactions suspectes, ou refuser des demandes de crédit, sans qu'un humain ne valide la décision.

L'article 22 du RGPD interdit les décisions entièrement automatisées produisant des effets juridiques ou affectant significativement les personnes.

La règle RGPD

Les décisions automatisées (refus, sélection, tarification) ne sont autorisées que si :

1. Elles sont nécessaires à l'exécution d'un contrat
2. Elles sont autorisées par la loi
3. La personne a donné son consentement explicite

ET dans tous les cas : la personne doit pouvoir demander une intervention humaine, exprimer son point de vue et contester la décision.

Comment l'éviter

• Principe : l'IA recommande, l'humain décide. L'IA présélectionne des candidats, mais un recruteur valide. L'IA détecte une transaction suspecte, mais un agent décide du blocage.
• Validation humaine obligatoire pour toute décision à impact significatif (refus, sanction, tarification différenciée)
• Droit de contestation : prévoir un process pour que la personne puisse demander un réexamen humain

Exemple concret : votre IA de qualification de leads attribue un score A/B/C. Les leads C sont marqués "à revoir" mais ne sont pas automatiquement rejetés. Un commercial valide la décision.

En résumé : 5 réflexes conformité IA

Pour rester conforme au RGPD dans vos usages IA :

1. Pas de données sensibles dans les outils IA sans DPA (ChatGPT gratuit, outils non validés)
2. Informer les personnes que leurs données sont traitées par IA (politique de confidentialité, mentions contextuelles)
3. Signer un DPA avec chaque fournisseur IA traitant des données personnelles
4. Documenter les traitements IA dans votre registre RGPD
5. L'IA recommande, l'humain décide pour toute décision à impact significatif

Le RGPD n'est pas un frein à l'IA. C'est un cadre de sécurité qui protège vos clients, vos employés, et votre entreprise. Une IA conforme est une IA durable.

Besoin d'un audit de conformité de vos usages IA ? Je vous aide à identifier les risques et à mettre en place les garde-fous adaptés.