RGPD et IA générative : ce que votre DPO doit savoir en 2026

L'IA générative crée des risques RGPD que peu d'entreprises anticipent

Un directeur administratif d'une PME de 90 salariés dans le secteur médical nous a contactés en urgence en janvier 2026. Son équipe commerciale utilisait ChatGPT depuis 8 mois pour rédiger des propositions, en injectant systématiquement des données clients dans leurs prompts : noms de patients, pathologies, coordonnées de prescripteurs. Des données de santé envoyées à des serveurs américains sans base légale, sans information des personnes concernées, sans évaluation d'impact.

Le risque ? Jusqu'à 4% du chiffre d'affaires d'amende (320 000 euros pour cette entreprise) et un préjudice réputationnel auprès de clients institutionnels soumis eux-mêmes à des obligations strictes.

Ce cas n'est pas isolé. En 2026, 67% des PME françaises utilisent l'IA générative (baromètre BPI France), mais seules 12% ont formalisé un cadre d'usage conforme au RGPD. Cet écart est un angle mort que votre DPO doit combler maintenant.

AI Act et RGPD : le cadre légal 2026 en 5 points

Le règlement européen sur l'intelligence artificielle (AI Act), entré en application progressive depuis août 2024, s'ajoute au RGPD pour former un cadre juridique à deux niveaux. Voici ce que votre DPO doit retenir.

1. L'IA générative est classée "à risque limité" par l'AI Act

Les modèles de fondation (GPT-4, Claude, Mistral) et les systèmes d'IA à usage général relèvent de la catégorie "risque limité" de l'AI Act. Obligations principales : transparence (informer que le contenu est généré par IA), documentation technique, et respect du droit d'auteur sur les données d'entraînement.

2. Le RGPD s'applique intégralement aux usages d'IA générative

L'AI Act ne remplace pas le RGPD, il s'y ajoute. Dès qu'un prompt contient des données personnelles (nom, email, adresse IP, données RH, données clients), le traitement tombe sous le RGPD. Base légale, information, droits des personnes, registre des traitements : tout s'applique.

3. L'obligation de transparence est renforcée

Depuis février 2025, tout contenu généré par IA doit être identifié comme tel. Emails, rapports, synthèses, images : si un LLM a contribué à la production, le destinataire doit en être informé. Les conditions exactes d'application font encore l'objet d'interprétations, mais le principe est clair.

4. L'analyse d'impact (AIPD) devient quasi-systématique

Pour tout usage d'IA générative impliquant des données personnelles à grande échelle, une analyse d'impact relative à la protection des données est requise. Une PME qui utilise un LLM pour traiter des candidatures RH, analyser des dossiers clients, ou scorer des prospects entre dans ce cas.

5. Les sanctions sont cumulables

Une non-conformité peut entraîner des sanctions au titre de l'AI Act (jusqu'à 35 millions d'euros ou 7% du CA mondial) ET du RGPD (jusqu'à 20 millions d'euros ou 4% du CA). Les autorités de contrôle (CNIL en France) ont annoncé des campagnes ciblées sur les usages d'IA en entreprise pour 2026.

Trois risques majeurs : données d'entraînement, prompts, outputs

L'IA générative crée des flux de données personnelles à trois niveaux distincts. Chacun porte des risques RGPD spécifiques.

Risque 1 : les données d'entraînement

Les LLM sont entraînés sur des milliards de documents issus du web. Ces données contiennent inévitablement des informations personnelles : noms, adresses, profils professionnels. Un modèle peut "recracher" ces données dans ses réponses, créant une fuite non intentionnelle.

Pour une PME utilisatrice, la responsabilité est indirecte mais réelle. Si vous utilisez un modèle dont les données d'entraînement violent le RGPD, vous participez à la chaîne de traitement. La CNIL recommande de vérifier les engagements de l'éditeur sur la conformité de ses données d'entraînement.

Risque 2 : les prompts

C'est le risque le plus immédiat et le plus fréquent. Chaque prompt envoyé à un LLM cloud est un transfert de données. Si votre commercial écrit "Rédige un email de relance pour M. Dupont, directeur achats chez Metalex, qui nous a commandé 45 000 euros de tubes inox le mois dernier", il vient de transférer des données personnelles (nom, fonction, entreprise) et des données commerciales confidentielles à un tiers.

Avec ChatGPT, ces données transitent par des serveurs américains. Même avec un DPA (Data Processing Agreement), le transfert UE-USA reste juridiquement fragile depuis l'invalidation du Privacy Shield par la CJUE (arrêt Schrems II). Le nouveau EU-US Data Privacy Framework est en place, mais sa solidité juridique est contestée par plusieurs autorités européennes de protection des données.

Risque 3 : les outputs

Les réponses générées par un LLM peuvent contenir des données personnelles issues des données d'entraînement ou des prompts précédents (dans les systèmes avec mémoire). Un assistant IA qui "se souvient" des conversations passées peut involontairement exposer des informations d'un utilisateur à un autre.

De plus, si vous utilisez les outputs de l'IA pour prendre des décisions affectant des personnes (recrutement, notation client, scoring), l'article 22 du RGPD sur les décisions automatisées entre en jeu, avec des obligations supplémentaires d'information et de recours.

ChatGPT au bureau : ce que les CGU disent vraiment

Beaucoup de PME utilisent ChatGPT sans avoir lu les conditions d'utilisation. Voici ce qu'elles prévoient, version simplifiée.

ChatGPT gratuit et Plus

OpenAI se réserve le droit d'utiliser vos conversations pour l'entraînement (sauf désactivation manuelle). Données aux USA, pas de DPA. Impropre à un usage professionnel avec données personnelles.

ChatGPT Team

Données non utilisées pour l'entraînement. DPA disponible. Données aux USA avec garanties contractuelles. Minimum acceptable pour un usage professionnel, insuffisant pour des données sensibles.

ChatGPT Enterprise

Isolation des données, chiffrement renforcé, DPA complet, résidence européenne possible. Coût élevé (50-60$/utilisateur/mois minimum, engagement annuel).

Notre recommandation : pour une PME, ChatGPT Team est un minimum. Pour des données sensibles, privilégiez les solutions européennes ou l'auto-hébergement, conformément aux recommandations CNIL de décembre 2025.

Solutions conformes : auto-hébergement et IA souveraine

Il existe des alternatives qui permettent d'utiliser l'IA générative en entreprise sans compromettre la conformité RGPD.

L'auto-hébergement de modèles ouverts

Déployer un modèle comme Mistral, Llama ou Qwen sur votre propre infrastructure élimine le problème de transfert de données. Vos prompts et vos données ne quittent jamais votre réseau. Le RGPD s'applique toujours (vous restez responsable du traitement), mais vous maîtrisez l'intégralité de la chaîne.

Notre article sur les erreurs RGPD en auto-hébergement IA détaille les pièges à éviter dans cette approche. L'auto-hébergement résout le problème de transfert mais ne dispense pas des autres obligations : base légale, registre, droits des personnes, sécurité.

Coût indicatif : serveur GPU dédié à partir de 80-150 euros/mois pour un modèle 7B, 300-600 euros/mois pour un modèle 70B. A comparer au coût de la non-conformité.

Les offres cloud souveraines

Mistral AI (Le Chat Pro, API hébergée en France), OVHcloud AI Endpoints, Scaleway Generative APIs : plusieurs acteurs proposent des LLM hébergés en France ou en Europe, avec des garanties RGPD natives.

L'approche hybride

La solution la plus pragmatique : un modèle souverain pour les données personnelles ou confidentielles, et un modèle cloud américain pour les taches sans données sensibles (rédaction générale, recherche). Cette approche nécessite de classifier vos cas d'usage et de former les équipes sur les règles de routage. C'est un exercice de gouvernance qui rejoint les enjeux de souveraineté numérique en PME.

Checklist RGPD pour déployer l'IA générative en PME

Voici la liste de contrôle que nous utilisons avec nos clients avant tout déploiement d'IA générative. Votre DPO devrait pouvoir cocher chaque point.

Gouvernance

• [ ] Un responsable IA est identifié (souvent le DPO ou le DSI)
• [ ] Une charte d'usage de l'IA générative est rédigée et diffusée
• [ ] Les cas d'usage autorisés et interdits sont listés explicitement
• [ ] Les collaborateurs sont formés sur les règles d'usage (quoi mettre dans un prompt, quoi ne jamais y mettre)

Conformité RGPD

• [ ] La base légale est identifiée pour chaque usage impliquant des données personnelles
• [ ] Le registre des traitements est mis à jour avec les traitements IA
• [ ] Une AIPD est réalisée pour les usages à risque (RH, scoring, profilage)
• [ ] Les personnes concernées sont informées de l'utilisation de l'IA dans le traitement de leurs données
• [ ] Les droits des personnes (accès, rectification, effacement, opposition) sont opérationnels

Contrats et fournisseurs

• [ ] Un DPA est signé avec chaque fournisseur de LLM cloud
• [ ] Les clauses de sous-traitance et de transfert hors UE sont vérifiées
• [ ] L'usage des données pour l'entraînement est explicitement exclu par contrat

Sécurité technique

• [ ] Les accès à l'IA sont authentifiés (SSO, MFA pour les données sensibles)
• [ ] Les prompts contenant des données personnelles sont journalisés avec une durée de rétention définie
• [ ] Les outputs IA sont vérifiés par un humain avant toute décision impactant des personnes
• [ ] Un process de gestion des incidents est en place (fuite de données via prompt, output inapproprié)

Formation

• [ ] Les collaborateurs savent distinguer données personnelles et données non personnelles
• ] Les techniques de [prompting professionnel incluent les bonnes pratiques RGPD (anonymisation, pseudonymisation dans les prompts)
• [ ] Le DPO est formé aux spécificités de l'IA générative (pas seulement au RGPD classique)

En pratique, une PME de 50 à 150 salariés met entre 3 et 5 jours à compléter cette checklist. Les OPCO prennent en charge une partie des formations liées à la conformité numérique : notre article sur le financement des formations IA via OPCO et Qualiopi détaille les dispositifs mobilisables.

Conclusion : la conformité RGPD-IA comme avantage concurrentiel

Le RGPD et l'IA générative ne sont pas contradictoires. Mais ils ne sont pas compatibles par défaut non plus. Sans cadre, l'usage spontané de ChatGPT et autres LLM par vos équipes crée des risques juridiques réels et croissants. La CNIL a clairement indiqué que les contrôles sur les usages d'IA en entreprise seraient une priorité en 2026.

La bonne nouvelle : les PME qui structurent leur usage de l'IA dès maintenant en tirent un double bénéfice. La conformité réglementaire d'abord, qui évite les sanctions et rassure les clients. L'efficacité opérationnelle ensuite, parce qu'un cadre d'usage clair permet aux équipes d'utiliser l'IA avec confiance, sans la crainte de "faire une bêtise".

Nos outils IA sur mesure intègrent la conformité RGPD dès la conception : données hébergées en France, pas de transfert vers des tiers non maîtrisés, traçabilité complète. Et nos formations IA en entreprise incluent systématiquement un volet RGPD adapté aux usages réels de vos équipes.

Votre DPO a besoin d'un état des lieux ? Un audit de conformité IA permet d'identifier en 2 heures vos expositions RGPD liées à l'IA générative et de prioriser les actions correctives. Mieux vaut le faire avant le contrôle de la CNIL qu'après.