RGPD et AI Act : 10 actions pour déployer l'IA en règle

Brancher ChatGPT sur vos mails, faire résumer des CV par un assistant, coller un fichier client dans un chatbot : ces gestes anodins vous font basculer sous deux réglementations à la fois, le RGPD et l'AI Act. Bonne nouvelle, se mettre en règle ne demande pas un cabinet d'avocats. Voici 10 actions concrètes, dans l'ordre où les mener.

RGPD et AI Act : qui est concerné, et depuis quand ?

Dès que vous utilisez un outil d'IA dans votre activité, vous êtes concerné par deux textes qui s'empilent. Le RGPD encadre tout traitement de données personnelles depuis 2018, et un assistant IA qui voit des noms, des emails ou des CV traite des données personnelles. L'AI Act, le règlement européen sur l'intelligence artificielle (règlement 2024/1689), ajoute une couche propre à l'IA, qui se déploie par étapes jusqu'en 2027. Les deux s'appliquent en parallèle : l'AI Act précise lui-même qu'il joue « sans préjudice du RGPD ».

La distinction qui change tout, c'est votre rôle. L'AI Act sépare le fournisseur (celui qui développe le système et le met sur le marché, comme OpenAI ou Mistral) du déployeur (celui qui l'utilise sous sa propre autorité). Si vous vous contentez d'utiliser ChatGPT, Copilot ou Gemini en interne, vous êtes déployeur, et vos obligations sont plus légères que celles du fournisseur. Mais elles existent.

Côté calendrier, plusieurs échéances sont déjà passées. Les pratiques interdites (notation sociale, manipulation, certaines reconnaissances biométriques) sont prohibées depuis le 2 février 2025. Les obligations sur les modèles à usage général s'appliquent depuis le 2 août 2025. Les règles de transparence arrivent en août 2026. Quant aux systèmes à « haut risque » (RH, crédit, santé, justice), leur échéance principale a été repoussée à décembre 2027 par l'accord dit « omnibus » du 7 mai 2026. Ce qui ne change pas : les sanctions. L'AI Act prévoit jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et le RGPD jusqu'à 20 millions ou 4 %. Les deux peuvent se cumuler.

Cadrer vos outils d'IA (actions 1 à 4)

Avant de poser la moindre règle, il faut savoir ce que vous déployez réellement. La majorité des dérapages viennent d'outils utilisés sans que personne ne l'ait décidé.

1. Inventoriez tous les outils d'IA déjà en place

On ne protège bien que ce qu'on a recensé. Faites la liste des outils d'IA réellement utilisés dans l'entreprise : assistants conversationnels, générateurs d'images, fonctions IA glissées dans vos logiciels (Notion, Canva, votre CRM), extensions de navigateur. Le « shadow AI », ces outils adoptés par les équipes sans validation, est le premier angle mort. Une enquête interne de cinq lignes par mail révèle souvent dix outils dont la direction ignorait l'existence.

2. Déterminez votre rôle : déployeur ou fournisseur

Votre rôle au sens de l'AI Act conditionne vos obligations. Dans 90 % des cas, une PME ou un indépendant qui utilise un outil du marché est déployeur. Attention au glissement : si vous affinez un modèle, le réhabillez à votre marque et le proposez à des tiers, vous pouvez devenir fournisseur, avec des obligations bien plus lourdes. Écrivez noir sur blanc, pour chaque outil de votre inventaire, dans quelle case vous tombez.

3. Choisissez et documentez une base légale RGPD

Tout traitement de données personnelles par une IA a besoin d'une base légale, et vous devez pouvoir la nommer. La CNIL a tranché en juin 2025 : pour développer un système d'IA, l'intérêt légitime est la base la plus adaptée dans la majorité des cas. Mais elle n'est pas un blanc-seing. Il faut un intérêt clair et précis, un lien avec votre activité, et des garanties pour les personnes. Pour un usage courant côté déployeur (un assistant qui traite des données RH ou client), formalisez la base retenue et la raison dans un court document. C'est ce papier qu'on vous demandera en cas de contrôle.

4. Sachez quelles données entrent dans l'IA, et ce qu'on en fait

La question la plus simple est aussi la plus oubliée : que tape-t-on dans l'outil, et où vont ces données ? Cartographiez les données qui transitent par chaque IA (noms de clients, données de santé, secrets d'affaires, code source) et lisez ce que le fournisseur en fait. Réutilise-t-il vos saisies pour entraîner ses modèles ? Beaucoup d'offres grand public le font par défaut, comme l'a montré l'épisode où vos données nourrissent l'IA des plateformes. Les offres « entreprise » coupent en général cette réutilisation : vérifiez-le dans le contrat, pas dans la brochure.

Protéger les données et les personnes (actions 5 à 7)

Une fois le périmètre cadré, le cœur du RGPD reste le même qu'ailleurs : le moins de données possible, pour le bon motif, avec des personnes informées.

5. Minimisez et surveillez où partent les données

Le principe de minimisation impose de n'envoyer à l'IA que les données strictement utiles à la tâche. Pas besoin du fichier client complet pour faire reformuler un email : anonymisez, tronquez, remplacez les noms par des étiquettes. Surveillez aussi la destination. Utiliser une IA américaine revient souvent à transférer des données hors de l'Union européenne, ce qui ajoute ses propres règles, un sujet de friction permanent entre les deux continents comme on l'a vu sur pourquoi le RGPD agace tant les États-Unis. Privilégiez les hébergements et offres européens quand les données sont sensibles.

6. Informez les personnes et préservez leurs droits

Les personnes dont vous traitez les données ont le droit de savoir qu'une IA entre en jeu, et de garder la main. Mettez à jour votre politique de confidentialité pour mentionner l'usage d'outils d'IA et la finalité. Si un client écrit à un « conseiller » qui est en réalité un chatbot, il doit pouvoir le savoir et joindre un humain. Et les droits classiques (accès, rectification, suppression, opposition) continuent de s'appliquer aux données passées dans l'IA : prévoyez comment vous y répondrez concrètement.

7. Faites une analyse d'impact (AIPD) quand le risque l'exige

L'analyse d'impact relative à la protection des données, l'AIPD, devient obligatoire dès qu'un traitement présente un risque élevé pour les personnes. Profilage à grande échelle, données sensibles (santé, opinions), décision automatisée qui affecte quelqu'un : ces cas réclament une AIPD avant le lancement, pas après l'incident. La CNIL publie des fiches pratiques et des modèles qui rendent l'exercice faisable en interne pour un cas simple. Ne la confondez pas avec une formalité : c'est le document qui prouve que vous avez réfléchi aux risques avant de déployer.

Encadrer l'usage au quotidien (actions 8 à 10)

La conformité ne tient pas dans un classeur. Elle vit dans les gestes quotidiens des équipes, et c'est là que l'AI Act vous attend déjà.

8. Formez vos équipes : l'acculturation à l'IA est obligatoire

C'est l'obligation la plus ignorée, et elle est déjà en vigueur. L'article 4 de l'AI Act impose, depuis le 2 février 2025, un niveau « suffisant » de maîtrise de l'IA pour toute personne qui en utilise au nom de l'organisation. Pas besoin d'un diplôme : une sensibilisation adaptée aux usages réels suffit, mais elle doit exister et être tracée. Notez les formations suivies, même courtes. Le contrôle de cette règle démarre le 2 août 2026, autant prendre de l'avance.

9. Signalez les contenus générés par IA

À partir d'août 2026, certains contenus produits par IA devront être identifiés comme tels. L'article 50 de l'AI Act impose la transparence : un utilisateur doit savoir qu'il parle à un chatbot, et un contenu artificiel (image, son, vidéo « deepfake », texte d'information) doit être signalé comme généré ou manipulé par une IA. Concrètement, prévoyez dès maintenant la mention « contenu généré par IA » sur vos visuels et textes concernés, et un marquage clair sur vos interfaces conversationnelles. C'est plus simple à intégrer dès la conception qu'à rajouter en catastrophe.

10. Gardez un humain dans la boucle et écrivez une charte IA

Aucune décision qui engage une personne ne devrait reposer sur la seule IA. Une recommandation d'embauche, un refus de crédit, une réponse client sensible : un humain valide, corrige et assume. Formalisez ces règles dans une charte d'usage de l'IA, courte et lisible : quels outils sont autorisés, quelles données sont interdites de saisie, qui valide quoi, comment signaler un problème. Une page suffit. C'est elle qui transforme dix bonnes intentions en réflexe d'équipe.

Par où commencer si vous partez de zéro ?

Si la liste paraît lourde, commencez par les trois actions à effet immédiat : l'inventaire (action 1), la charte d'usage (action 10) et la sensibilisation des équipes (action 8). Ces trois-là règlent l'essentiel des risques du quotidien et ne coûtent que du temps. Le reste (base légale, AIPD, transferts) se traite outil par outil, en partant des plus exposés, ceux qui touchent des données clients ou RH. La conformité n'est pas un mur à franchir d'un coup, c'est une habitude à installer.

Pour aller plus loin, parcourez nos autres articles sur l'intelligence artificielle.

FAQ

Une petite entreprise est-elle vraiment concernée par l'AI Act ?

Oui. L'AI Act ne fixe pas de seuil de taille. Une TPE qui utilise un chatbot client est déployeur et doit respecter la transparence et l'acculturation. Les obligations lourdes visent surtout les systèmes à haut risque et les fournisseurs, mais le socle s'applique à tout le monde.

Utiliser ChatGPT fait-il de moi un fournisseur d'IA ?

Non, vous êtes déployeur. Vous ne devenez fournisseur que si vous développez un système, l'adaptez profondément puis le proposez à des tiers sous votre nom. Le simple usage d'un outil du marché reste du déploiement.

Quelle base légale RGPD pour un usage d'IA en entreprise ?

La CNIL considère l'intérêt légitime comme la plus adaptée dans la majorité des cas, à condition de respecter ses conditions et de prévoir des garanties. Pour certains usages, le consentement ou l'exécution d'un contrat peuvent être plus pertinents. L'important est de choisir, documenter et pouvoir le justifier.

Puis-je mettre des données clients dans un outil d'IA grand public ?

À éviter sans précaution. Beaucoup d'offres gratuites réutilisent vos saisies pour entraîner leurs modèles, et envoient les données hors de l'Union. Préférez une offre entreprise qui désactive cette réutilisation, minimisez les données, et anonymisez quand c'est possible.

Que risque-t-on en cas de non-conformité ?

Les amendes vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'AI Act, et jusqu'à 20 millions ou 4 % pour le RGPD. Les deux régimes peuvent se cumuler. Au-delà du montant, c'est la confiance des clients qui est en jeu.

Sources

• CNIL : recommandations sur le développement des systèmes d'IA : référence officielle française sur l'articulation RGPD et IA
• CNIL : l'intérêt légitime comme base légale pour développer une IA : cadre la base la plus utilisée et ses conditions
• CNIL : les fiches pratiques IA : fiches concrètes pour chaque étape d'un projet IA
• EU AI Act Explorer : Article 4 (AI literacy) : texte et portée de l'obligation d'acculturation à l'IA
• EU AI Act Explorer : calendrier d'application : échéances officielles du règlement européen sur l'IA