ForgiaPro
AccueilGuidesIA & RGPD
Tous les guides
Conformité12 minMis à jour : mars 2026

Utiliser l'IA en conformité avec le RGPD

En France, 67% des entreprises citent le RGPD comme frein principal à l'adoption de l'IA. Pourtant, utiliser l'IA de façon conforme n'est pas compliqué — à condition de savoir où regarder.

Amende maximale : 4% du CA annuel mondial

La CNIL a renforcé ses contrôles sur l'usage professionnel des outils IA en 2026. Les sanctions ne concernent pas que les grandes entreprises.

Les 5 risques RGPD des outils IA à connaître

Entraînement des modèles avec vos données

Certains outils utilisent les textes que vous saisissez pour améliorer leurs modèles. Vos données clients ou stratégiques peuvent ainsi finir dans l'entraînement d'un modèle public.

Hébergement hors UE sans garanties

Si les serveurs sont aux USA et qu'il n'y a pas de DPA ni de clauses contractuelles types (CCT), le transfert de données personnelles est illégal au sens du RGPD.

Absence de base légale pour le traitement

Utiliser un outil IA pour traiter des données RH, médicales ou financières sans base légale (consentement, obligation légale, intérêt légitime) expose à des sanctions.

Sous-traitants non déclarés

Un outil IA peut lui-même utiliser des sous-traitants (hébergeurs cloud, modèles tiers) que vous n'avez pas évalués.

Pas de droit à l'effacement garanti

Le RGPD garantit aux personnes le droit à l'effacement. Si votre outil IA ne peut pas supprimer les données d'un individu sur demande, vous êtes en infraction.

Outils à risque — ce qu'il faut savoir

Outil
Point de vigilance RGPD
ChatGPT (plan gratuit)
moyen

Données utilisées pour l'entraînement par défaut. Option opt-out dans les réglages.

Gemini (Google)
moyen

Données stockées sur des serveurs US. DPA disponible sur Google Workspace uniquement.

Midjourney
élevé

Serveurs USA, pas de DPA clair, pas d'option d'hébergement UE.

Zapier
élevé

Serveurs aux USA, conformité RGPD complexe, clauses contractuelles types requises.

Outils IA recommandés pour la conformité RGPD

Mistral Le Chat

Entreprise française. Données hébergées en France. DPA disponible.

Make

Basé en République Tchèque (UE). ISO 27001. DPA disponible. Serveurs européens.

Pennylane

Entreprise française. Données hébergées en France. Conforme droit français.

Claude (Team/Enterprise)

DPA disponible. Pas d'utilisation des données pour l'entraînement. Option hébergement EU.

Voir tous les outils conformes RGPD

Checklist : 6 questions avant d'adopter un outil IA

Où sont hébergées les données (pays, région) ?

Un DPA (Data Processing Agreement) est-il disponible et signable ?

L'outil utilise-t-il vos données pour entraîner ses modèles ?

Quels sont les sous-traitants de l'outil (hébergeurs, modèles tiers) ?

Le droit à l'effacement des données est-il garanti et comment l'exercer ?

L'outil dispose-t-il d'une certification ISO 27001 ou SOC 2 ?

Ce que surveille la CNIL en 2026

La CNIL a publié en 2024 ses recommandations spécifiques sur l'IA générative. En 2026, ses contrôles portent principalement sur :

L'usage d'outils IA sur des données RH (CV, évaluations, données de paie)
Les chatbots IA en contact avec des clients particuliers
L'usage d'IA pour des prises de décision automatisées (crédit, embauche)
Les transferts de données vers des modèles entraînés hors UE

Questions fréquentes

Peut-on utiliser ChatGPT en entreprise en France ?

Oui, mais avec précautions. Sur le plan Business ou Enterprise, OpenAI propose un DPA et ne réutilise pas les données pour l'entraînement. Sur le plan gratuit, désactivez l'option d'amélioration du modèle dans les réglages. Ne saisissez jamais de données personnelles de clients, employés ou patients.

Qu'est-ce qu'un DPA et pourquoi c'est important ?

Un DPA (Data Processing Agreement ou accord de traitement des données) est un contrat qui définit comment le prestataire traite vos données personnelles. Le RGPD impose d'en avoir un avec tout sous-traitant qui accède à des données personnelles. Sans DPA, vous êtes en infraction.

La CNIL peut-elle sanctionner une PME qui utilise ChatGPT ?

Oui. La CNIL a déjà mis en demeure des entreprises pour usage non conforme d'outils IA. Les amendes peuvent aller jusqu'à 4% du CA annuel mondial ou 20 millions d'euros. Les contrôles se sont intensifiés en 2025-2026 sur les outils IA en milieu professionnel.

Comment savoir si un outil IA est conforme RGPD ?

Vérifiez : 1) L'existence d'un DPA signable, 2) La localisation des serveurs (préférez UE), 3) La politique sur l'entraînement des modèles (vos données servent-elles à entraîner ?), 4) Les certifications (ISO 27001 est un bon signal). Notre page outils RGPD liste les solutions validées.

Mon outil IA est basé aux USA — que faire ?

Plusieurs options : 1) Passer sur un plan Business avec DPA, 2) Activer l'hébergement en région UE quand c'est disponible, 3) Migrer vers un équivalent européen pour les usages sensibles. Pour les données RH ou médicales, préférez systématiquement des solutions européennes.

Recevez les mises à jour RGPD et IA directement dans votre boîte mail

S'abonner à la newsletter
Guides liés
L'IA pour les PME françaises →Tous les outils conformes RGPD →