Checklist RGPD et IA : 10 points à vérifier avant de déployer un outil d'intelligence artificielle

Le déploiement d'un outil d'intelligence artificielle en entreprise ne se limite pas à choisir la bonne solution technique. Avant d'intégrer ChatGPT Enterprise, Microsoft Copilot ou un modèle propriétaire dans vos processus, il est impératif de vérifier que cette utilisation respecte le Règlement Général sur la Protection des Données (RGPD). Une erreur à ce stade peut coûter jusqu'à 4 % du chiffre d'affaires mondial en sanctions.

En bref : Cette checklist couvre les 10 points essentiels à valider avant tout déploiement d'IA en entreprise : finalité, base légale, données sensibles, droit à l'oubli, sous-traitance, documentation, droit d'accès, sécurité, DPO et gouvernance. Elle s'adresse aux DPO, juristes et DSI qui doivent sécuriser juridiquement leurs projets IA.

1. Définir la finalité précise du traitement

Le RGPD impose que chaque traitement de données personnelles ait une finalité déterminée, explicite et légitime. L'IA ne fait pas exception.

Ce qu'il faut vérifier

• La finalité est-elle documentée dans le registre des traitements ?
• L'outil IA est-il utilisé pour une seule finalité ou plusieurs ?
• Les données traitées sont-elles strictement nécessaires à cette finalité ?

Exemple concret

Un cabinet de recrutement utilise l'IA pour analyser des CV. La finalité est "sélectionner les candidats les plus pertinents pour un poste donné". Il est interdit d'utiliser ces mêmes données pour évaluer la santé du candidat (données sensibles) ou pour créer un profil générique réutilisable sans consentement.

Rappel : Le principe de minimisation des données (article 5 du RGPD) s'applique pleinement aux traitements IA. Plus les données sont nombreuses, plus le risque est élevé.

2. Identifier la base légale appropriée

Tout traitement de données doit reposer sur l'une des six bases légales du RGPD. Dans le contexte de l'IA, trois bases sont principalement concernées.

Point de vigilance

L'intérêt légitime (article 6.1.f) est souvent invoqué à tort pour des traitements IA. Il nécessite un test d'équilibre formel : l'intérêt de l'entreprise doit primer sans porter atteinte aux droits et libertés fondamentaux de la personne concernée. Pour un traitement IA impliquant du profilage ou des décisions automatisées, le consentement explicite est souvent plus sûr juridiquement.

3. Évaluer le traitement des données sensibles

L'article 9 du RGPD interdit le traitement des données sensibles (santé, opinions politiques, origine ethnique, biometrie, etc.) sauf exceptions strictes. Les modèles d'IA peuvent déduire ces catégories de données à partir de données apparemment anodines.

Ce qu'il faut vérifier

• L'outil IA a-t-il accès à des données de santé, de localisation précise ou biométriques ?
• Le modèle pourrait-il inférer indirectement des données sensibles ?
• Une analyse d'impact sur la protection des données (AIPD) est-elle requise ?

Cas d'usage à risque

Les chatbots internes alimentés par des conversations RH peuvent traiter des données de santé (arrêts maladie), des opinions religieuses (demandes de congés) ou des situations familiales. Sans anonymisation préalable, ce traitement viole l'article 9.

4. Gérer le droit à l'oubli et la rectification

Le RGPD accorde aux personnes un droit d'accès, de rectification et d'effacement de leurs données (articles 15 à 17). Or, les modèles d'IA entraînés sur des données personnelles "mémorisent" ces informations dans leurs paramètres.

La difficulté technique

Contrairement à une base de données relationnelle où l'on peut supprimer une ligne, un modèle de langage (LLM) ne permet pas d'effacer une donnée spécifique sans réentraînement coûteux. Si un client demande l'effacement de ses données, comment garantir qu'elles ne réapparaissent plus dans les générations du modèle ?

Solutions opérationnelles

• Segmentation des données : utiliser des bases vectorielles (RAG) plutôt que le fine-tuning du modèle. La suppression d'un document vectorisé est instantanée.
• Clause contractuelle : s'assurer que le fournisseur d'IA (OpenAI, Anthropic, etc.) garantit l'effacement des données d'entraînement sur demande.
• Données synthétiques : pour les phases d'entraînement, privilégier des jeux de données synthétiques ou anonymisés.

5. Maîtriser la sous-traitance et les transferts de données

Utiliser un outil d'IA hébergé dans le cloud implique nécessairement une sous-traitance de traitement (article 28 du RGPD) et souvent un transfert de données hors UE.

Questions à poser à votre fournisseur

• Où sont hébergées les données ? (USA, Europe, autre ?)
• Le fournisseur est-il certifié ISO 27001 ou SOC 2 Type II ?
• Le Data Processing Agreement (DPA) est-il conforme aux clauses contractuelles types de la Commission européenne ?
• Les données sont-elles utilisées pour améliorer le modèle du fournisseur ?

Attention : OpenAI, Anthropic et la plupart des grands fournisseurs américains ont des DPAs, mais les données peuvent transiter par des serveurs aux États-Unis. Si vous traitez des données sensibles, envisagez des solutions souveraines (OVHcloud AI, Mistral AI, Hugging Face déployé en Europe) ou des modèles auto-hébergés.

6. Documenter le traitement dans le registre

L'article 30 du RGPD impose de tenir un registre des activités de traitement exhaustif. Chaque outil IA doit y figurer avec :

• La finalité et les catégories de données traitées
• Les catégories de destinataires (fournisseur IA inclus)
• Les transferts vers un pays tiers
• Les mesures de sécurité mises en œuvre
• Les délais prévus pour l'effacement

Modèle d'entrée registre

Traitement : Analyse de CV par IA (outil XYZ)
Responsable : DRH
Finalité : Présélection des candidats
Données : Nom, prénom, expérience, formation, compétences
Base légale : Exécution des mesures précontractuelles
Sous-traitant : XYZ Inc. (USA)
Transfert : Oui, clauses contractuelles types signées
Sécurité : Chiffrement AES-256, accès restreint
Conservation : 2 ans après la fin du processus de recrutement

7. Informer les personnes concernées

L'article 13 du RGPD impose d'informer les personnes au moment de la collecte de leurs données. Si vous déployez un outil IA qui traite des données de clients, de prospects ou d'employés, vous devez mettre à jour votre politique de confidentialité.

Éléments obligatoires

• Mentionner explicitement l'utilisation de l'IA
• Décrire la logique sous-jacente (si c'est un profilage)
• Indiquer les conséquences pour la personne concernée
• Rappeler les droits (accès, rectification, opposition, portabilité)

Exemple de formulation

"Nous utilisons des outils d'intelligence artificielle pour [finalité précise]. Ces traitements sont encadrés par nos procédures de conformité RGPD. Vous disposez d'un droit d'opposition à tout moment en contactant notre DPO."

8. Sécuriser les données en amont et en aval

L'article 32 du RGPD impose un niveau de sécurité adapté au risque. Les outils d'IA introduisent des vecteurs d'attaque spécifiques.

Menaces spécifiques à l'IA

• Prompt injection : un utilisateur malveillant injecte des instructions dans le prompt pour extraire des données
• Fuite de données via les prompts : les employés collent des données clients dans ChatGPT public
• Hallucinations : le modèle génère des informations personnelles fictives qui peuvent porter atteinte à la réputation

Mesures de sécurité minimales

• Désactiver l'historique des conversations sur les outils publics
• Déployer un gateway IA interne qui logue et filtre les prompts
• Former les équipes au prompt engineering sécurisé
• Anonymiser les données avant envoi à l'API du fournisseur

Pour aller plus loin sur la sécurité des LLMs, consultez notre article sur les erreurs de prompt engineering à éviter et notre atelier dédié à la défense contre les injections de prompt.

9. Impliquer le DPO dès la conception

L'article 35 du RGPD impose une Analyse d'Impact sur la Protection des Données (AIPD) pour les traitements à haut risque. L'utilisation de l'IA pour des décisions automatisées (profilage, scoring, recrutement) entre presque systématiquement dans cette catégorie.

Quand une AIPD est obligatoire

• Évaluation systématique de aspects personnels (profiling)
• Traitement à grande échelle de données sensibles
• Surveillance systématique d'une zone accessible au public
• Utilisation de nouvelles technologies (l'IA est explicitement mentionnée)

Processus recommandé

1. Le projet IA est soumis au DPO avant tout achat ou déploiement
2. Le DPO réalise ou valide l'AIPD
3. L'AIPD est soumise à la CNIL si le risque résiduel est élevé
4. Le registre des traitements est mis à jour

10. Instaurer une gouvernance IA interne

La conformité RGPD ne se résume pas à une checklist ponctuelle. Elle nécessite une gouvernance continue.

Comité IA / RGPD

Constituez un comité transverse (DSI, DPO, juriste, RH, métiers) qui se réunit trimestriellement pour :

• Réviser les nouveaux outils IA proposés
• Examiner les incidents et demandes d'exercice de droits
• Mettre à jour la politique d'utilisation de l'IA
• Suivre l'évolution réglementaire (AI Act, Digital Services Act)

Documentation à maintenir à jour

• Politique d'utilisation des outils IA (chatbots, génération de contenu, analyse de données)
• Guide des bonnes pratiques pour les collaborateurs
• Procédure de signalement des incidents
• Registre des traitements (article 30)

Conclusion

Le déploiement d'un outil d'IA en entreprise est une opportunité majeure, mais il ne doit pas se faire au détriment de la conformité RGPD. Cette checklist des 10 points couvre les aspects juridiques, techniques et organisationnels essentiels. En l'appliquant systématiquement, vous transformez la conformité en avantage compétitif : vos clients et partenaires valorisent la sécurité de leurs données.

Prochaine étape : Téléchargez notre guide complet sur l'AI Act pour anticiper la réglementation européenne sur l'intelligence artificielle, ou demandez un audit RGPD-IA personnalisé pour votre organisation.

FAQ

Une entreprise peut-elle utiliser ChatGPT gratuit avec des données clients ?

Non. La version gratuite de ChatGPT envoie les données aux serveurs d'OpenAI et les utilise potentiellement pour l'entraînement. Pour un usage professionnel, il faut impérativement souscrire à ChatGPT Enterprise ou une offre avec DPA (Data Processing Agreement) et désactiver l'utilisation des données pour l'entraînement.

Le RGPD s'applique-t-il aux données anonymisées utilisées pour entraîner un modèle ?

Si les données sont véritablement anonymisées (impossible de réidentifier la personne), le RGPD ne s'applique pas. Cependant, l'anonymisation réelle est techniquement difficile avec l'IA. La pseudonymisation (remplacement des identifiants directs) ne suffit pas — le RGPD s'applique toujours.

Quel délai a-t-on pour répondre à une demande de suppression dans un système IA ?

Le RGPD impose un délai d'un mois (extensible à 3 mois en cas de complexité). Dans un système IA, ce délai est souvent difficile à tenir si le modèle a été entraîné sur les données. D'où l'intérêt d'architectures RAG (Retrieval-Augmented Generation) où la suppression est instantanée.

L'AI Act remplace-t-il le RGPD ?

Non. L'AI Act est complémentaire. Il régule les systèmes d'IA selon leur niveau de risque, tandis que le RGPD protège les données personnelles quelle que soit la technologie utilisée. Un outil IA doit être conforme aux deux réglementations.

Comment former les équipes au RGPD + IA sans les noyer dans le juridique ?

Privilégiez des ateliers pratiques de 3h30 avec des cas concrets de votre secteur. Nos ateliers IA incluent un module conformité RGPD adapté aux métiers (RH, marketing, juridique, finance).

Guillaume Hochard est fondateur d'Ikasia, cabinet de formation et conseil en intelligence artificielle. Il accompagne les entreprises dans leur conformité réglementaire et leur transformation IA.