RGPD et IA Générative, les angles morts que beaucoup d'entreprises sous-estiment encore

Une équipe motivée découvre les vertus de ChatGPT, copie un fichier client dans un prompt et obtient un magnifique résumé en trente secondes. Scène banale, et pourtant cauchemar du DPO. Le RGPD n'a pas disparu avec l'arrivée de l'IA Générative, il s'est compliqué silencieusement.

Depuis dix-huit mois, l'IA Générative s'est invitée dans la quasi-totalité des PME et ETI françaises, avec ou sans validation officielle. Beaucoup de DSI ont vu la vague arriver, certains DPO l'ont anticipée mais rares sont les organisations qui ont pris la mesure du chantier réglementaire. L'IA Générative n'a pas créé un nouveau RGPD, elle a élargi sa surface d'application et déplacé certains risques que les politiques internes n'avaient jamais réellement couverts.

Sur le papier, tout va bien. Une charte IA circule, un outil officiel a été choisi, le sujet est cadré. Sur le terrain, les équipes ouvrent un onglet de ChatGPT pour gagner trois heures sur une note de synthèse, le marketing teste un agent d'analyse client sans demander à personne, et la formation utilise des outils gratuits pour produire des supports d'animation. C'est précisément dans cet écart que se logent les angles morts du RGPD à l'ère de l'IA générative. On va les passer en revue, sans dramatiser, mais sans les minimiser.

‍

Ce que change vraiment l'IA générative pour le RGPD

‍

Le règlement n'a pas été réécrit. Mais l'IA Générative a modifié trois choses dans la vie réelle des entreprises. La nature des données échangées, la fréquence des traitements et l'identité des acteurs concernés. Auparavant, un traitement de données personnelles passait par un projet IT, un prestataire connu, une AIPD formalisée. Désormais, un traitement peut s'amorcer dans un prompt copié-collé par un manager intermédiaire qui n'a aucune conscience d'être en train de créer un nouveau flux de données.

Autre point souvent ignoré, la mémoire des modèles. Certains outils conservent les conversations pour entraîner leurs modèles, sauf option contractuelle explicite. Une donnée personnelle introduite dans un prompt peut donc nourrir indirectement un service tiers. Ce n'est pas théorique. La CNIL et plusieurs autorités européennes ont déjà engagé des procédures sur ce motif. Le risque n'est pas seulement technique, il est juridique, financier et réputationnel.

Et puis il y a l'effet de masse. Quand un outil est utilisé par dix collaborateurs, on peut tracer. Quand il est utilisé par 800, on doit organiser. Le passage à l'échelle de l'IA Générative dans une organisation oblige à industrialiser ce qui relevait jusqu'ici de la veille ou du cas par cas. Soyons clairs, cette industrialisation ne se fait pas avec un mail interne, elle se fait avec un dispositif RGPD repensé pour intégrer les usages IA.

Sans oublier l'AI Act qui s'applique en 2026 et qui ajoute une couche réglementaire au RGPD. Le règlement européen sur l'IA classe les systèmes par niveau de risque et impose des obligations spécifiques pour les usages dits à risque élevé. Pour une PME ou une ETI, l'enjeu n'est pas de tout maîtriser dans le détail, c'est d'éviter de se retrouver soudainement non conforme sur un cas d'usage qu'on pensait anodin. Articuler RGPD et AI Act dans un même cadre interne devient une condition de tranquillité, pas un luxe juridique.

‍

L'usage individuel non encadré, premier vrai trou dans la raquette

‍

On parlait du shadow IT, on parle désormais de shadow IA. Plusieurs études du marché diffusées en 2025 indiquent que plus de 70% des collaborateurs reconnaissent avoir déjà utilisé un outil d'IA non validé par leur entreprise. Pour le RGPD, c'est un casse-tête. Comment garantir la licéité d'un traitement quand celui qui l'effectue n'a pas conscience de réaliser un traitement.

Le problème ne se règle pas par l'interdiction. Une politique de blocage pure pousse les équipes vers des solutions personnelles, sur des comptes privés, avec des données professionnelles. Le risque grandit au lieu de diminuer. Ce qui fonctionne, c'est un cadre lisible, une plateforme officielle qui couvre les usages courants, et une formation très concrète sur ce qu'on peut mettre dans un prompt et ce qu'on ne peut pas.

La parade est culturelle autant que technique. Un dispositif qui fonctionne articule trois éléments. Un outil officiel correctement choisi (Microsoft Copilot, Claude, ChatGPT Enterprise selon les contraintes), une charte courte mais précise, et une cellule d'animation qui répond aux questions des collaborateurs sans les juger. C'est cette dernière brique qui transforme le sujet en atout pour la DSI et le DPO, plutôt qu'en source permanente de tension.

‍

Les transferts hors UE, le sujet qu'on traite en deux clics et qui mérite mieux

‍

La question des transferts arrive très vite quand on choisit un outil d'IA générative. Beaucoup de fournisseurs majeurs sont américains, ce qui implique un transfert de données hors UE. Les clauses contractuelles types existent, le Data Privacy Framework est désormais opérationnel, mais l'analyse ne s'arrête pas là. Il faut documenter le mécanisme retenu, vérifier que les sous-traitants en cascade respectent les mêmes garanties et tracer où les données circulent réellement.

Dans une PME ou une ETI, ce travail tombe souvent sur le DPO ou le responsable juridique, sans agenda ni outils pour suivre toutes les briques techniques. Une approche pragmatique consiste à tenir un registre simplifié des traitements impliquant l'IA, avec pour chaque outil le pays d'hébergement, le statut du fournisseur, le mécanisme de transfert utilisé et la durée de conservation. Pas un livre blanc. Un tableau partagé que le comité IA peut faire vivre.

Le sujet a aussi une dimension stratégique. Choisir un fournisseur européen change la conversation, parfois pour des raisons réglementaires, parfois pour des raisons de souveraineté. Mistral, Aleph Alpha et plusieurs offres françaises proposent désormais des alternatives crédibles sur les usages bureautiques. Le coût et la performance sont à évaluer cas par cas, mais l'option mérite mieux qu'un balayage rapide en réunion DSI.

‍

Les angles morts que beaucoup d'entreprises sous-estiment

Au-delà des sujets visibles, plusieurs zones grises commencent à occuper le terrain. Trois méritent une attention particulière, parce qu'on les voit revenir chez la majorité de nos clients, quel que soit le secteur.

‍

Les agents et automatisations qui agissent en autonomie

Un agent qui rédige seul des emails, consulte un CRM ou valide un dossier joue un rôle nouveau dans le RGPD. Il devient un acteur d'un traitement automatisé, parfois avec un effet juridique ou un impact significatif sur la personne. L'article 22 du RGPD interdit certaines décisions automatisées sans intervention humaine. Beaucoup d'agents déployés en production ne respectent pas cette exigence parce qu'ils ont été pensés sous l'angle technique, pas sous l'angle juridique. Le bon réflexe consiste à intégrer une revue de conformité au moment du cadrage de l'agent, pas après son déploiement.

On voit aussi apparaître des chaînes d'agents qui s'enchaînent sans supervision humaine entre deux étapes. Là, le risque RGPD se cumule avec un risque opérationnel. Une décision d'agent qui en alimente une autre peut produire un effet en cascade sans qu'aucun acteur humain n'ait validé l'enchaînement. Pour les cas d'usage à enjeu (acceptation client, scoring, paie, accès), le contrôle humain n'est pas optionnel, c'est une obligation à inscrire dans la conception.

‍

Les corpus internes envoyés à un LLM

Quand on construit un assistant qui répond à partir de documents internes, on procède souvent à un envoi du corpus vers un service d'embedding ou de fine-tuning. Selon le fournisseur, ces données peuvent être conservées, dupliquées ou transmises à d'autres services. Sans clauses adaptées, on parle d'une fuite de fait. Ce point doit faire l'objet d'une AIPD, pas d'un simple ticket adressé à la DSI. La nature du corpus (RH, juridique, client) conditionne la profondeur de l'analyse à mener.

‍

Les prompts qui contiennent des données sensibles sans qu'on s'en rende compte

Un commercial qui colle un compte rendu de rendez-vous avec un nom et un email, un RH qui copie un CV, un juriste qui copie un courrier client. Les exemples se multiplient. Le caractère personnel de la donnée n'est pas toujours visible à l'œil nu, mais il existe. La parade est moins technique qu'organisationnelle. Une grille simple, courte, avec ce qu'on peut copier dans un prompt et ce qu'on ne peut pas, reste plus efficace qu'une politique de 40 pages que personne ne lit.

Une petite règle de bon sens fonctionne bien dans nos accompagnements. Avant chaque copier-coller, le collaborateur se pose deux questions. Est-ce que ce contenu permettrait d'identifier une personne directement ou indirectement. Est-ce que cette donnée est déjà publique ou interne. Si l'une des deux réponses pose un doute, on anonymise ou on s'abstient. Cette règle de trois secondes évite la majorité des fuites involontaires.

‍

Comment articuler RGPD et IA Générative sans bloquer la trajectoire

Le piège serait de transformer le DPO en gardien de la frontière qui dit non à tout. La conformité ne doit pas freiner les usages utiles, elle doit les rendre durables. Le bon réflexe consiste à intégrer le DPO dès le cadrage des cas d'usage, pas en fin de course quand le développement est terminé. Cette posture évite les retours en arrière coûteux et accélère la mise en production.

Trois leviers fonctionnent quand on les actionne ensemble. Une AIPD allégée pour chaque cas d'usage IA d'une certaine sensibilité, à formaliser sous deux semaines au plus, sans attendre un cadre parfait. Un registre des traitements IA tenu à jour par le DPO en lien avec le sponsor IA. Une charte d'usage courte, pédagogique, avec exemples concrets, distribuée à toutes les équipes et reprise dans les parcours d'onboarding.

Une remarque utile pour ceux qui démarrent. La conformité parfaite n'existe pas. La conformité raisonnable, documentée, opposable et améliorée dans le temps, oui. Mieux vaut un dispositif imparfait mais vivant qu'un dispositif idéal jamais déployé. Le régulateur regarde la trajectoire autant que l'état des lieux à un instant T.

‍

Ce qu'il faut retenir

Le RGPD n'est pas un frein à l'IA Générative, il en est le cadre de durabilité. Cinq actions concrètes permettent de poser des bases solides sans ralentir la trajectoire.

• Tenir un registre des traitements IA, distinct ou intégré au registre RGPD existant, et le faire vivre en comité IA.
• Formaliser une charte d'usage de l'IA orientée vers ce qu'on peut faire plutôt que ce qu'on ne peut pas faire.
• Conduire systématiquement une AIPD pour les cas d'usage à risque (RH, données client, données de santé).
• Vérifier les clauses contractuelles, les mécanismes de transfert et les options anti-entraînement de chaque fournisseur d'IA.
• Embarquer le DPO dès le cadrage, jamais en fin de cycle, pour sécuriser et accélérer simultanément.

La conformité n'est pas l'opposé de la performance, elle en est le socle. Une trajectoire IA solide en PME ou ETI est une trajectoire qui tient à la fois sur le ROI et sur les obligations réglementaires. C'est ce double équilibre qui sécurise l'adoption dans la durée et qui transforme un sujet de DPO en sujet de COMEX assumé.

‍

Vous souhaitez sécuriser vos cas d'usage IA tout en avançant vite. Notre équipe peut vous aider à structurer cette articulation entre conformité et productivité. Réservez votre créneau de 30mn avec un expert qui vous présentera notre méthodologie complète.

Pour recevoir chaque semaine notre lecture pragmatique des sujets IA en entreprise, abonnez-vous à la newsletter Edison IA !