IA générative et données personnelles : les risques que vos équipes ignorent
Article RGPDMinute RGPD
Chaque jour, des milliers de salariés saisissent des données personnelles dans des outils d’IA générative sans en mesurer les conséquences juridiques. Tour d’horizon des risques majeurs et des réflexes à adopter.
Pourquoi l’IA générative n’est pas un simple outil bureautique
Un assistant IA, c’est pratique. En quelques secondes, il rédige un e-mail, synthétise un contrat, reformule une procédure disciplinaire. C’est précisément ce qui en fait un outil risqué.
Contrairement à un traitement de texte, chaque prompt envoyé à un modèle d’IA constitue une communication de données à un tiers. Dès lors que ces données sont personnelles, le RGPD s’applique dans toute sa rigueur.
Le Comité européen de la protection des données (CEPD / EDPB) l’a confirmé à plusieurs reprises depuis 2023 : l’usage d’outils d’IA par les organisations est soumis au même cadre juridique que n’importe quel autre traitement de données.
À retenir
Le RGPD ne distingue pas les traitements « modernes » des traitements « classiques ».
Envoyer un prompt contenant des données personnelles = réaliser un traitement au sens de l’article 4 RGPD.
L’entreprise en est responsable, qu’elle le sache ou non.
Le prompt : un traitement de données à part entière
C’est le premier réflexe à avoir. Avant même de penser aux contrats avec les fournisseurs, la question se pose dès la saisie.
Ce que vos équipes font sans le savoir
Imaginez un responsable RH qui saisit dans ChatGPT : « Rédige une lettre d’avertissement pour Jean Dupont, commercial, suite à trois absences injustifiées en mars 2024 ». En une phrase, il vient de transmettre à un tiers :
l’identité complète d’un salarié,
son poste et son service,
une donnée disciplinaire — potentiellement sensible.
Ce scénario, reproduit des centaines de fois par jour dans les entreprises, déclenche plusieurs obligations RGPD simultanément.
Exemple concret
Autres cas fréquents observés en entreprise :
– Un juriste colle un extrait de contrat client pour en demander une synthèse
– Un service marketing partage une liste de prospects pour générer des e-mails de relance
– Un médecin du travail saisit des éléments médicaux pour rédiger un compte-rendu
– Un manager demandé une analyse de performance nominative
Article 5 RGPD — minimisation des données :
Les données transmises doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Un prompt verbeux qui inclut des informations inutiles viole ce principe.
Article 6 RGPD — base légale :
Tout traitement doit reposer sur une base légale (intérêt légitime, exécution d’un contrat, etc.). L’utilité pratique ne suffit pas.
Article 28 RGPD — sous-traitance :
Dès lors que le fournisseur d’IA traite des données pour votre compte, il devient sous-traitant. Un contrat encadrant ce traitement est obligatoire.
Référence CEPD
L’EDPB a rappelé dans son statement sur l’IA générative (2023) que les organisations doivent s’assurer que l’utilisation d’outils d’IA repose sur une base juridique valide et respecte
le principe de minimisation des données.
(Source : EDPB Statement on generative AI, edpb.europa.eu)
Bonne pratique
Avant de saisir un prompt : demandez-vous si les données sont vraiment nécessaires.
Pseudonymisez ou anonymisez dès que possible (ex : remplacer « Jean Dupont » par « le salarié X »).
Établissez une liste des données autorisées / interdites dans les prompts.
Réutilisation des données : qui fait quoi avec vos informations ?
C’est souvent la question que personne ne pose lors du déploiement d’un outil d’IA. Et pourtant, elle est déterminante.
Le problème des conditions contractuelles opaques
La plupart des fournisseurs d’IA grand public prévoient dans leurs CGU la possibilité d’utiliser les données des utilisateurs pour améliorer leurs modèles. Cette clause, souvent noyée dans des dizaines de pages, a des conséquences directes en droit RGPD.
Si le fournisseur utilise les données transmises à ses propres fins (entraînement, amélioration du modèle), il ne peut plus être qualifié de simple sous-traitant. Il devient responsable de traitement à part entière avec des conséquences majeures.
Exemple concret
Scénario typique : une entreprise utilise un outil d’IA pour synthétiser des appels clients.
Les transcriptions contiennent des noms, adresses, historiques d’achats.
Le fournisseur utilise ces données pour améliorer son modèle — sans que l’entreprise le sache.
→ Conséquence : traitement sans base légale, violation de l’article 5(1)(b) RGPD (incompatibilité des finalités).
La question clé : quelle est la qualification juridique ?
L’EDPB insiste sur la nécessité de clarifier les rôles avant tout déploiement :
Sous-traitant (art. 28 RGPD) : le fournisseur agit uniquement sur instruction de l’entreprise, sans réutiliser les données à ses propres fins.
Responsable conjoint (art. 26 RGPD) : les deux parties déterminent ensemble les finalités du traitement.
Responsable distinct : le fournisseur détermine ses propres finalités — l’entreprise perd alors le contrôle.
Référence CEPD
Le groupe de travail EDPB sur ChatGPT (2023-2024) a insisté sur la nécessité de clarifier les rôles (responsable / sous-traitant) et d’encadrer contractuellement l’usage des données.
(Source : EDPB task force on ChatGPT, edpb.europa.eu)
Bonne pratique
Lisez les CGU : cherchez les clauses sur l’« utilisation des données » et l’« entraînement des modèles ».
Exigez un Data Processing Agreement (DPA) conforme à l’art. 28 RGPD.
Préférez les offres « entreprise » ou « API » qui garantissent contractuellement la non-réutilisation.
Transferts hors UE : un risque souvent invisible
Il suffit d’un prompt pour franchir les frontières européennes — sans que personne dans l’entreprise n’en soit conscient.
Pourquoi presque tous les grands outils d’IA posent ce problème
OpenAI, Google (Gemini), Microsoft (Copilot), Anthropic, Meta (Llama) : les acteurs dominants de l’IA générative sont tous américains. Dès lors que leurs serveurs traitent des données de résidents européens, on se trouve face à un transfert de données hors Union européenne, soumis au chapitre V du RGPD.
Ce n’est pas une question de bonne foi du fournisseur : c’est une contrainte légale qui s’impose à l’entreprise qui utilise l’outil.
Le cadre juridique en trois outils
Data Privacy Framework (DPF) : depuis juillet 2023, les entreprises américaines certifiées peuvent recevoir des données de l’UE. Vérifiez si votre fournisseur est bien listé sur le registre officiel.
Clauses Contractuelles Types (CCT) : solution de repli si le DPF ne s’applique pas. À signer avec le fournisseur avant tout usage.
Transfer Impact Assessment (TIA) : analyse obligatoire pour évaluer si le niveau de protection du pays destinataire est équivalent au droit européen.
Exemple concret
Une entreprise française utilise un outil IA hébergé sur des serveurs US.
Elle n’a pas vérifié la certification DPF du fournisseur, ni signé de CCT.
→ Chaque prompt constitue un transfert illégal de données hors UE.
→ Risque de sanction par la CNIL : jusqu’à 4 % du chiffre d’affaires mondial.
Référence CEPD
L’EDPB rappelle que tout transfert international doit être encadré et, le cas échéant, faire l’objet d’un Transfer Impact Assessment (TIA) selon les recommandations post-Schrems II (Recommandations 01/2020 et versions actualisées, edpb.europa.eu).
Bonne pratique
Vérifiez la certification DPF : https://www.dataprivacyframework.gov
En l’absence de DPF : signez des CCT avant tout déploiement, documentez le TIA dans votre registre des traitements et privilégiez les solutions avec hébergement en Europe si les données sont sensibles.
Confidentialité : le risque vient souvent de l’intérieur
Les failles de sécurité liées à l’IA générative ne sont pas toujours d’ordre technique. La majorité des incidents observés trouvent leur origine dans un usage non encadré par des collaborateurs bien intentionnés.
Des situations que vous avez probablement déjà croisées
Un manager copie-colle une procédure disciplinaire complète dans un chatbot pour la « reformuler ».
Un juriste demande à l’IA de résumer un contrat confidentiel avec des données d’un tiers.
Un service commercial transmet une base prospects à un outil de génération d’e-mails.
Un DRH utilise un assistant IA pour préparer des entretiens d’évaluation nominatifs.
Dans chacun de ces cas, l’intention est innocente. Mais l’impact juridique est réel.
La mémorisation des modèles : un risque technique spécifique
Au-delà des usages humains, les modèles d’IA eux-mêmes peuvent poser problème. Des recherches ont démontré que certains grands modèles de langage peuvent restituer des données personnelles présentes dans leurs données d’entraînement — un phénomène appelé « memorization ».
Une entreprise qui déploie un tel modèle sans garanties peut se voir qualifier de responsable de traitement d’un contenu qu’elle n’a jamais produit.
L’article 32 RGPD et ses implications pratiques
L’article 32 RGPD impose des mesures techniques et organisationnelles appropriées. Appliqué à l’IA générative, cela se traduit concrètement par :
une politique interne d’usage de l’IA (qui peut utiliser quoi, dans quel contexte),
une liste des types de données interdites dans les prompts,
une sensibilisation régulière des équipes,
une traçabilité des usages dans les services à risque.
Référence CEPD
L’EDPB souligne l’importance des mesures organisationnelles et de la gouvernance dans l’usage des systèmes d’IA, y compris la formation des personnels et la mise en place de politiques internes adaptées. (EDPB, déclarations 2023-2024, edpb.europa.eu)
Bonne pratique
Rédigez une « charte IA » accessible à tous les collaborateurs. Ajoutez l’IA générative à votre plan de formation sécurité / RGPD annuel. Mettez en place une procédure de signalement des usages problématiques. Testez régulièrement les outils déployés pour détecter d’éventuelles fuites de données.
Plan d’action : 6 réflexes à adopter
La mise en conformité n’est pas un chantier infranchissable. Elle suit une logique simple : cartographier, qualifier, encadrer, former.
1. Cartographiez les usages : recensez les outils d’IA utilisés dans chaque service et identifiez les données potentiellement traitées.
2. Qualifiez le rôle du fournisseur : sous-traitant ? Responsable conjoint ? La réponse conditionne toutes les obligations contractuelles.
3. Signez un DPA : si le fournisseur est sous-traitant, un contrat conforme à l’article 28 RGPD est obligatoire.
4. Vérifiez les transferts internationaux : DPF, CCT, TIA — chaque flux de données hors UE doit être justifié et documenté.
5. Mettez à jour votre registre : ajoutez chaque usage d’IA générative comme activité de traitement.
6. Évaluez la nécessité d’une AIPD : si le traitement implique des données sensibles, des profils RH ou un scoring, une Analyse d’Impact sur la Protection des Données est obligatoire.
En résumé
L’IA générative n’est pas interdite par le RGPD. Elle est simplement soumise aux mêmes règles que tout autre traitement de données — avec une complexité supplémentaire liée à l’opacité des modèles et à leur localisation hors UE.
Le risque principal n’est pas technologique. Il est organisationnel. Ce qui expose les entreprises, c’est l’absence de cadre interne : pas de politique d’usage, pas de contrat adapté, pas de formation des équipes.
Les autorités de contrôle européennes, et en particulier la CNIL, ont clairement signalé que l’IA constituera un axe prioritaire de leurs programmes d’inspection dans les prochaines années. Se préparer aujourd’hui, c’est éviter de subir demain.
Se former pour agir : la formation RGPD & IA Act
Comprendre les risques, c’est essentiel. Savoir les gérer concrètement, c’est ce que permet une formation dédiée. La formation RGPD & IA Act d’Actecil Academy a été conçue pour répondre précisément aux enjeux abordés dans cet article — et aller encore plus loin.
Pour qui ?
• Dirigeants et décideurs souhaitant cadrer leur stratégie IA
• DPO et responsables conformité en charge de la gouvernance des données
• Chefs de projet IA pilotant des déploiements internes
• Juristes et responsables juridiques accompagnant des projets technologiques
• Toute personne souhaitant maîtriser les obligations RGPD liées à l’IA
Ce que vous apprendrez
En 7 heures de formation (classe virtuelle ou présentiel), la formation couvre l’intégralité du périmètre réglementaire
Sanctions et mesures correctrices : la CNIL publie le bilan 2025
Le 9 février 2026, la Commission nationale de l’informatique et des libertés (CNIL) a publié son bilan annuel des sanctions et mesures correctrices prononcées en 2025, avec un montant total d’amendes de 486 839 500 euros pour l’année écoulée.
Bilan 2025 : sanctions, IA et nouvelles priorités pour les DPO
2025, encore une belle année riche en événements en matière de protection des données personnelles.
Non pas par une refonte du RGPD, mais par une accumulation de signaux forts : sanctions ciblées, nouvelles réglementations applicables, explosion des usages de l’IA et la multiplication des incidents liés aux prestataires.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
