· 5 min de lecture

RGPD et IA : les 3 erreurs que font les PME françaises avec leurs données

Données dans le cloud US, sous-traitance non déclarée, absence de DPA : les 3 erreurs RGPD les plus fréquentes quand on intègre l'IA — et comment les corriger.

RGPD IAconformité IA entreprisedonnées IA RGPD France

Depuis 2023, l'IA est partout dans les PME françaises. Copilot dans les emails, ChatGPT dans les processus RH, des SaaS IA branchés sur les CRM, des outils de génération de contenu alimentés par des données clients. Le problème ? Dans la majorité des cas, personne n'a vérifié la conformité RGPD avant de brancher quoi que ce soit. Et les risques sont réels : amendes CNIL, responsabilité civile, perte de confiance client.

Erreur n°1 : envoyer des données vers le cloud américain sans DPA valide

C'est l'erreur la plus répandue et la moins visible. Vous utilisez un outil IA américain — OpenAI, Anthropic, Google, Microsoft — et vos données partent sur des serveurs américains pour être traitées. Le Cloud Act américain de 2018 autorise le gouvernement américain à exiger l'accès à ces données, même si elles sont stockées en Europe.

Ce que dit le RGPD : tout transfert de données personnelles vers un pays tiers (hors UE/EEE) doit être encadré. Les mécanismes existants — décision d'adéquation EU-US Data Privacy Framework, clauses contractuelles types — offrent une couverture juridique partielle. Mais plusieurs arrêts de la Cour de justice de l'UE ont déjà invalidé des cadres précédents (Safe Harbor en 2015, Privacy Shield en 2020). Rien ne garantit que l'actuel EU-US DPF sera maintenu.

  • Avez-vous un Data Processing Agreement (DPA) signé avec chaque outil IA que vous utilisez ?
  • Ce DPA spécifie-t-il où vos données sont traitées et stockées ?
  • Vos contrats clients autorisent-ils le transfert de leurs données vers des tiers américains ?
  • Votre registre de traitements mentionne-t-il ces outils IA comme sous-traitants ?

La solution pratique : soit vous choisissez des fournisseurs avec des instances européennes garanties contractuellement (Azure EU Data Boundary, Google Cloud EU regions avec engagement contraignant), soit vous déployez vos modèles sur une infrastructure souveraine française ou européenne. La deuxième option est plus contraignante techniquement, mais elle élimine le risque à la racine.

Erreur n°2 : utiliser un prestataire IA sans le déclarer comme sous-traitant

Quand vous confiez à un prestataire IA le traitement de données personnelles — même indirectement, via un outil qu'il développe pour vous — ce prestataire devient un sous-traitant au sens du RGPD. Et en tant que responsable de traitement, vous avez des obligations légales à son égard.

Article 28 du RGPD : tout sous-traitant doit faire l'objet d'un contrat spécifique détaillant les instructions de traitement, les mesures de sécurité, les obligations en cas de violation, et les clauses de restitution ou destruction des données en fin de contrat.

En pratique, 80 % des PME qui intègrent un prestataire IA n'ont pas de DPA formalisé. Elles signent un bon de commande ou un devis, pas un contrat de sous-traitance RGPD.

Ce que vous devez vérifier : votre prestataire IA a-t-il signé un DPA avec vous ? Ce DPA couvre-t-il les sous-traitants qu'il utilise lui-même (infrastructure cloud, modèles tiers) ? Votre registre de traitements est-il à jour avec ces nouvelles chaînes de responsabilité ?

Un prestataire sérieux vous propose un DPA sans que vous ayez à le demander. S'il hésite, c'est soit qu'il ne maîtrise pas le sujet, soit qu'il préfère ne pas vous exposer sa chaîne de sous-traitance. Dans les deux cas, c'est un signal d'alerte.

Erreur n°3 : ne pas mettre à jour le registre de traitements

Le registre de traitements est l'inventaire documenté de tous les traitements de données personnelles de votre entreprise. Il est obligatoire pour toute organisation de plus de 250 salariés, et fortement recommandé en dessous. Mais surtout, il doit refléter la réalité de vos traitements actuels.

Depuis l'adoption généralisée des outils IA, beaucoup de registres sont devenus des reliques. Ils décrivent des traitements qui datent de 2019 et ignorent complètement les nouveaux flux : données RH dans un outil de génération de fiches de poste par IA, données clients dans un CRM enrichi par IA, emails commerciaux générés à partir de données prospects.

  • Chaque outil IA utilisé en entreprise doit apparaître dans le registre
  • La finalité du traitement doit être clairement définie (pas "amélioration du service")
  • La base légale doit être identifiée : intérêt légitime, contrat, consentement...
  • Les durées de conservation doivent être précisées, y compris pour les logs IA
  • Les mesures de sécurité (chiffrement, contrôle d'accès, pseudonymisation) doivent être documentées

La CNIL a publié des lignes directrices spécifiques sur l'IA en 2024. Elle distingue les responsabilités entre les éditeurs de modèles IA et les entreprises qui les utilisent. En tant qu'utilisateur d'un outil IA, vous restez responsable de la conformité de l'usage que vous en faites — même si le modèle lui-même est développé par un tiers.

La conformité RGPD dans un projet IA n'est pas un frein à l'innovation — c'est une condition de sa durabilité. Les PME françaises qui ont résolu ces trois points dormant mieux : elles ne craignent pas un contrôle CNIL, elles ne risquent pas de perdre un client B2B qui demande une attestation de conformité, et elles ne dépendent pas d'un prestataire opaque. Si vous voulez faire le point sur votre exposition RGPD en lien avec vos projets IA — sans jargon juridique et sans obligation — un audit de 30 minutes suffit à identifier vos priorités.

Votre projet IA : où en êtes-vous vraiment ?

30 minutes. Gratuit. Sans engagement. Un diagnostic honnête sur votre situation, vos risques RGPD, et ce qui peut réellement être mis en production.

Demander un audit IA gratuit →
Curieux de voir ça en pratique dans des entreprises similaires ?Voir comment nous avons aidé des PME similaires →
← Tous les articles