Le RGPD en une phrase

Le Règlement général sur la protection des données (RGPD) encadre la manière dont une organisation collecte, utilise et conserve les données personnelles : tout ce qui permet d'identifier une personne, directement ou non — un nom, un e-mail, un numéro de téléphone, un dossier client, une fiche salarié. L'idée est simple : ces données appartiennent aux personnes concernées, et l'entreprise qui les traite en est responsable. Elle doit savoir pourquoi elle les utilise, sur quelle base, combien de temps elle les garde, et en informer les intéressés.

Ce que l'IA change concrètement

Utiliser un outil d'IA, c'est très souvent lui envoyer des données. Quand on demande à un assistant de résumer un compte rendu, de rédiger une réponse client ou de trier des candidatures, on lui transmet le contenu correspondant — qui peut contenir des informations personnelles. Trois différences importent :

  • Les données sortent de l'entreprise : elles transitent par un service tiers, qui devient sous-traitant au sens du RGPD.
  • L'hébergement n'est pas toujours en Europe : de nombreux outils traitent les données hors UE, avec des garanties variables sur les transferts.
  • Les données peuvent être réutilisées : certains services grand public s'en servent pour entraîner leurs modèles, sauf réglage ou offre professionnelle contraire.

Les points d'attention

Quelques repères permettent de rester du bon côté de la ligne. D'abord, ne pas confier de données personnelles à un outil non conforme : avant tout envoi sensible, vérifier que le service offre des garanties sérieuses, sinon anonymiser. Ensuite, s'assurer d'une base légale (intérêt légitime, exécution d'un contrat, consentement selon le cas) et de l'information des personnes concernées. Côté fournisseurs, un contrat de sous-traitance avec les clauses attendues et un hébergement maîtrisé sont indispensables. Enfin, la question des durées de conservation : on ne garde pas indéfiniment un historique de conversations ou de documents transmis à l'IA.

Le principe reste le même qu'avant l'IA : une donnée personnelle ne se promène pas sans raison, sans cadre et sans garde-fous.

Le lien avec le Shadow AI

Le risque RGPD le plus courant n'est pas théorique : il vient des usages non cadrés. Quand des collaborateurs utilisent, de bonne foi, des outils d'IA non validés — le fameux Shadow AI — ils y collent parfois des données clients, des dossiers du personnel ou des informations confidentielles, vers des services sans contrat et hors du contrôle de l'entreprise. Or l'entreprise reste responsable de ces traitements, même lorsqu'elle ne les a pas autorisés. C'est pourquoi encadrer les usages relève autant de la conformité que de la sécurité.

Des précautions concrètes

Sans transformer l'entreprise en administration, quelques gestes réduisent nettement le risque : choisir des outils à garanties européennes ou une solution souveraine et sécurisée pour les données sensibles ; rédiger une charte courte disant ce qu'on peut et ne peut pas confier à l'IA ; anonymiser ou pseudonymiser avant l'envoi quand c'est possible ; tenir un registre des outils utilisés et vérifier leurs conditions ; et former les équipes aux bons réflexes. La souveraineté numérique et la protection des données vont ici de pair.

Cet article a une vocation pédagogique et ne constitue pas un conseil juridique. Chaque situation mérite une analyse propre : pour un traitement sensible ou à grande échelle, rapprochez-vous de votre délégué à la protection des données ou d'un juriste.

Vos usages de l'IA sont-ils sous contrôle ? Le diagnostic ORBIT identifie les données exposées, les outils non cadrés et les précautions à mettre en place, sans jargon.

Faire mon diagnostic

Questions fréquentes

Peut-on utiliser un outil d'IA avec des données personnelles ?

Oui, mais à des conditions : une base légale, l'information des personnes concernées, un outil offrant des garanties suffisantes (contrat de sous-traitance conforme, hébergement maîtrisé) et qui ne réutilise pas les données sensibles pour s'entraîner. En cas de doute, anonymiser avant l'envoi et consulter un juriste.

Le Shadow AI pose-t-il un problème au regard du RGPD ?

Oui. Des collaborateurs peuvent coller des données personnelles vers des services non validés, sans contrat et parfois hors UE. L'entreprise reste responsable de ces traitements même sans les avoir autorisés. Cadrer les usages est donc autant une question de conformité que de sécurité.

À lire ensuite