RGPD, données clients, confidentialité : l'IA va-t-elle me mettre en galère juridique ?

Bienvenue dans Impulsion IA, épisode six. Je suis Sophie, et comme promis la semaine dernière, on attaque un sujet qui donne des sueurs froides à beaucoup de dirigeants. RGPD, données clients, confidentialité : est-ce que l'IA va vous mettre en galère juridique ? Marc et Julie sont avec moi. Et Julie, je crois que tu avais une anecdote qui tombait pile dans le sujet.

Ah oui. La fameuse comptable qui a collé un numéro de sécu dans ChatGPT. On en avait parlé la dernière fois. Depuis, j'ai à peine dormi. Je me suis dit : est-ce que je risque quelque chose ? Est-ce que la CNIL va débarquer ? Est-ce que je suis hors la loi ?

Et je t'avais dit qu'on allait démystifier. Que c'était moins effrayant qu'on croit. Enfin, presque. Bon, je maintiens le presque.

Voilà le programme. D'abord, on va faire le RGPD en deux minutes pour ceux qui n'ont jamais ouvert un texte de loi. Ensuite, l'AI Act européen, ce que ça change concrètement. Et puis surtout, les réflexes pratiques avant de brancher un outil IA sur vos données. Marc, on commence par les bases ?

Le RGPD en version express. Texte européen depuis 2018. En gros : si tu collectes ou traites des données personnelles, tu as des obligations. Et une donnée personnelle, c'est tout ce qui permet d'identifier quelqu'un. Nom, e-mail, téléphone, adresse IP, et oui, numéro de sécu.

Donc le numéro de sécu de ma comptable dans ChatGPT, c'est une donnée personnelle. OK. Et moi en tant que dirigeante, je suis responsable ?

Oui. En tant qu'entreprise, tu es le responsable de traitement. Si ta comptable met un numéro de sécu dans un outil tiers, c'est ta responsabilité, pas la sienne. Le RGPD est clair : la responsabilité remonte au sommet.

Super. Donc c'est moi qui trinque.

Et concrètement, Marc, on trinque comment ? C'est quoi les sanctions ?

Les chiffres qui font peur : le RGPD prévoit des amendes jusqu'à vingt millions d'euros ou quatre pour cent du chiffre d'affaires mondial. Ça, c'est le max théorique. En pratique, pour une PME, la CNIL envoie d'abord un avertissement, puis une mise en demeure. L'amende, c'est l'arme nucléaire, rarement dégainée en première intention.

Vingt millions d'euros. Mon chiffre d'affaires c'est trois millions. Ça va, j'ai de la marge avant le plafond.

Mais même sans amende record, une mise en demeure de la CNIL, c'est public. Ça apparaît sur leur site. Et pour une PME, côté réputation, ça peut faire très mal. Et surtout, si un salarié découvre que son numéro de sécu s'est retrouvé chez OpenAI, il peut porter plainte. Et là, le processus se déclenche.

Ah. Là, ça refroidit.

Bon, on a posé les bases du RGPD. Maintenant, il y a un nouveau texte dont tout le monde parle : l'AI Act. Marc, c'est quoi et est-ce que ça concerne Julie ?

L'AI Act, c'est le règlement européen sur l'intelligence artificielle. Il est entré en application progressive : les premières dispositions sont en vigueur depuis début 2025, et le gros du texte s'applique depuis août dernier. C'est le premier cadre juridique au monde spécifiquement dédié à l'IA. Et son approche est intéressante : il classe les usages de l'IA par niveau de risque.

Encore un texte de loi européen. Comme si le RGPD ne suffisait pas. On va avoir besoin d'un avocat à plein temps.

Non, justement. Et c'est là la bonne nouvelle. L'AI Act fonctionne avec quatre niveaux de risque. Risque inacceptable, c'est interdit : la notation sociale, la surveillance biométrique de masse. Haut risque : le recrutement automatisé, le scoring bancaire, le diagnostic médical. Risque limité : les chatbots, qui doivent juste prévenir l'utilisateur qu'il parle à une IA. Et risque minimal : tout le reste. Et tout le reste, c'est la majorité des usages en PME.

Donc si Julie utilise l'IA pour rédiger ses mails ou résumer des comptes-rendus, elle est dans quelle catégorie ?

Risque minimal. L'AI Act ne lui impose quasiment rien pour ces usages-là. La rédaction de mails, la synthèse de documents, l'aide au brainstorming, la veille : tout ça, c'est du risque minimal. Pas d'obligation spécifique au titre de l'AI Act.

Attends. Tu es en train de me dire que l'AI Act, pour moi, en gros, ça change rien ?

Pour la plupart des PME, l'AI Act ne change pas grand-chose au quotidien. Là où il faut faire attention, c'est si tu utilises l'IA pour des décisions qui impactent les gens. Par exemple, si tu fais du tri de CV automatisé, ou si tu utilises un outil de scoring pour tes clients, là tu tombes potentiellement dans le haut risque et il y a des obligations de transparence, de documentation, de supervision humaine.

Le tri de CV, ça m'intéresse justement. Parce qu'on reçoit des dizaines de candidatures et j'ai vu des outils qui pré-filtrent. C'est haut risque, ça ?

Oui, c'est explicitement listé comme haut risque dans l'AI Act. Mais ça veut pas dire que c'est interdit. Ça veut dire que le fournisseur de l'outil a des obligations : transparence sur le fonctionnement de l'algorithme, évaluation des biais, supervision humaine obligatoire. Et toi, en tant qu'utilisateur, tu dois garder un humain dans la boucle. Tu ne peux pas laisser l'IA rejeter des candidatures toute seule.

Un humain dans la boucle. C'est le mantra de l'AI Act, on dirait.

Exactement. Et c'est du bon sens. L'AI Act dit en gros : utilisez l'IA, mais ne la laissez pas décider seule quand ça impacte la vie des gens.

OK. Donc on a le RGPD d'un côté, l'AI Act de l'autre. Maintenant, la question concrète que tout le monde se pose : quand je branche ChatGPT ou un autre outil IA sur mes données, il se passe quoi exactement avec ces données ? Marc, est-ce qu'OpenAI garde tout ?

C'est LA question. Et la réponse, c'est : ça dépend de la version que tu utilises. Il faut distinguer deux choses complètement différentes. Premièrement, les données qui transitent par l'IA, c'est-à-dire ce que tu mets dans le prompt et la réponse que tu reçois. Et deuxièmement, les données qui servent à entraîner le modèle. Ce n'est pas du tout la même chose.

Tu peux détailler ? Parce que je pense que beaucoup de gens confondent les deux.

Avec la version gratuite de ChatGPT, par défaut, OpenAI peut utiliser tes conversations pour améliorer ses modèles. En revanche, avec ChatGPT Team ou Enterprise, OpenAI s'engage contractuellement à ne pas utiliser tes données pour l'entraînement. Tes données transitent par leurs serveurs, mais elles ne sont pas réinjectées dans le modèle.

Attends. Tu es en train de dire que si ma comptable a utilisé la version gratuite, le numéro de sécu a peut-être servi à entraîner le modèle ?

Potentiellement, oui, si elle n'avait pas désactivé l'option dans les paramètres. Il y a un réglage dans ChatGPT qui permet de désactiver l'utilisation des conversations pour l'entraînement. Mais combien de gens le savent et le font ? Très peu. Et c'est pour ça que la première règle, pour une PME, c'est : version pro ou rien. La version gratuite, c'est pour tester chez soi, pas pour bosser avec des données d'entreprise.

OK, donc règle numéro un : on passe en version payante. Ça, c'est clair.

Et même avec la version payante, Marc, il y a des choses qu'on ne devrait jamais mettre dans un outil IA ?

Même avec la version entreprise, il faut catégoriser. J'utilise un système simple. Vert : données non sensibles, brouillons, brainstorming, résumés sans noms. Orange : données internes avec noms, documents stratégiques, là tu anonymises avant. Rouge : données sensibles RGPD, numéros de sécu, données de santé, fiches de paie, brevets. Le rouge ne va dans aucun outil IA cloud. Point.

Vert, orange, rouge. Comme au feu tricolore. Ça, même mon équipe peut comprendre.

C'est le but. Le RGPD, c'est complexe en théorie, mais en pratique il suffit de quelques réflexes simples. Et le feu tricolore, c'est exactement ça : un réflexe. Avant de coller quoi que ce soit dans un outil IA, tu te demandes : c'est vert, orange ou rouge ?

Et pour la zone rouge, Marc, il n'y a vraiment aucune solution ? On ne peut pas du tout utiliser l'IA sur ces données ?

Si, mais avec des précautions. La première option, c'est l'anonymisation. Tu remplaces les noms par des codes, tu retires les données identifiantes, et là tu peux utiliser l'IA sur le contenu anonymisé. Par exemple, si Julie veut analyser des tendances dans ses fiches de paie, elle peut anonymiser les données, les passer à l'IA, et récupérer l'analyse.

Anonymiser, ça veut dire quoi concrètement ? Je fais un rechercher-remplacer dans Excel avant de coller dans ChatGPT ?

Oui. Tu remplaces 'Martin Dupont' par 'Salarié A', tu retires le numéro de sécu, l'adresse. Ce qui reste, c'est le poste, l'ancienneté, le salaire, les données utiles sans rien d'identifiant. Pour une PME, le rechercher-remplacer dans Excel, c'est suffisant. Pas besoin d'outils complexes à ton échelle.

OK, ça c'est faisable. C'est pas sorcier.

Marc, tu as mentionné les versions entreprise. Il y a un terme qu'on voit souvent dans les contrats de ces outils : DPA. C'est quoi et pourquoi c'est important ?

Le DPA, Data Processing Agreement, c'est le contrat qui encadre le traitement de vos données par un sous-traitant. Le RGPD l'impose dès qu'un tiers traite des données personnelles pour votre compte. Et quand vous utilisez ChatGPT ou un outil IA en cloud, le fournisseur est votre sous-traitant au sens du RGPD. Donc il faut un DPA.

Attends. Tu es en train de me dire que je dois signer un contrat spécial avec OpenAI ?

Les gros fournisseurs, OpenAI, Microsoft, Google, ont déjà un DPA intégré dans leurs offres entreprise. Tu n'as pas à le négocier. Par contre, vérifie qu'il existe et surtout, regarde où sont hébergées tes données. Serveurs aux États-Unis ? Il y a un sujet transfert hors UE.

Le transfert de données hors UE, c'est un vrai problème en pratique ? Parce que la plupart des outils IA sont américains.

Le Data Privacy Framework entre l'UE et les États-Unis est en place, ce qui encadre les transferts. Mais la CNIL recommande de privilégier l'hébergement européen. Bonne nouvelle : Azure OpenAI propose des serveurs en Europe, Mistral est français avec des serveurs en Europe, et de plus en plus de fournisseurs offrent l'option.

Mistral, c'est français ? Je savais même pas qu'il y avait des alternatives françaises à ChatGPT.

Oui, Mistral AI c'est une entreprise parisienne. Leurs modèles sont très performants et ils proposent une offre entreprise avec hébergement en Europe. Pour une PME qui veut être irréprochable côté RGPD, c'est une option à considérer sérieusement. Et il y a aussi des alternatives open source que tu peux faire tourner sur tes propres serveurs, mais là on entre dans un niveau technique qui dépasse la plupart des PME.

On va passer aux réflexes concrets. Marc, si un dirigeant nous écoute et qu'il veut brancher un outil IA dans sa boîte la semaine prochaine, c'est quoi la check-list juridique minimum ?

Check-list en cinq points. Un : version entreprise avec DPA. Deux : vérifier l'hébergement, idéalement en Europe. Trois : feu tricolore pour classifier les données. Quatre : brief de dix minutes à l'équipe. Cinq : documenter. Un petit document qui dit : voilà l'outil, voilà le DPA, voilà nos règles.

Cinq points, ça va. Mais le point cinq, documenter, c'est le genre de truc qui me fait fuir. C'est quoi, un dossier de cinquante pages ?

Pour une PME de quarante-cinq salariés, ça tient en deux pages. Page un : la liste des outils IA, fournisseur, version, DPA, hébergement. Page deux : les règles internes, le feu tricolore, qui contacter en cas de doute. C'est ton registre simplifié. Et ce document te protège en cas de contrôle parce qu'il montre que tu as réfléchi.

Deux pages. Ça, je peux faire. En fait, le RGPD c'est surtout du bon sens documenté, non ?

C'est exactement ça. Le RGPD, fondamentalement, c'est du bon sens mis en règles. Si tu traites les données des gens avec respect, que tu es transparent et que tu documentes ce que tu fais, tu es à quatre-vingt-dix pour cent conforme sans même t'en rendre compte.

Question qui revient souvent : est-ce qu'une PME a besoin d'un DPO ? Un Délégué à la Protection des Données ?

Le DPO est obligatoire dans trois cas : les organismes publics, les entreprises dont l'activité principale implique un suivi régulier et systématique des personnes à grande échelle, et celles qui traitent des données sensibles à grande échelle. Une PME classique de quarante-cinq salariés dans le bâtiment, le commerce ou les services, elle n'est pas obligée d'avoir un DPO.

Ouf. Un salaire de plus à payer, j'aurais eu du mal.

Mais attention, pas obligatoire ne veut pas dire inutile. La CNIL recommande quand même de désigner un référent données personnelles, même si ce n'est pas un DPO formel. Ça peut être quelqu'un en interne, à qui on confie cette casquette en plus de son poste. Quelqu'un qui sait quoi faire si un salarié demande l'accès à ses données, ou si on a un doute sur un outil.

Un référent. Ça, c'est comme le référent IA dont tu nous parlais dans l'épisode précédent. En fait, ça pourrait être la même personne ?

Absolument. Dans une PME, le référent IA et le référent données, ça peut tout à fait être la même personne. C'est même logique, parce que les deux sujets sont liés. L'IA, c'est des données. Les données, c'est du RGPD. Avoir une seule personne qui fait le lien, c'est cohérent.

Maintenant, le moment de vérité. Les risques réels. Marc, en pratique, combien de PME se font vraiment contrôler par la CNIL ? Parce que Julie, je suis sûre, se demande si tout ça c'est de la théorie ou si la CNIL frappe vraiment à la porte.

Comment tu as deviné ?

La CNIL a réalisé plus de trois cents contrôles l'an dernier et l'IA est une de ses priorités cette année. Mais pour une PME, le risque principal ne vient pas de la CNIL qui débarque. Il vient des plaintes. Un salarié mécontent, un client qui découvre que ses données ont été balancées dans un outil IA. C'est ça le vrai déclencheur.

Un ancien employé. OK, ça, ça me parle. J'ai eu un licenciement compliqué l'an dernier. Si en plus le type apprend que ses données ont traîné dans ChatGPT...

Exactement. C'est ça le risque concret. Et c'est pour ça que les réflexes qu'on a vus, la version entreprise, le feu tricolore, la documentation, c'est pas juste pour cocher une case. C'est pour te protéger le jour où quelqu'un pose la question. Et là, tu peux dire : voilà ce qu'on fait, voilà nos règles, voilà nos contrats. C'est ça qui fait la différence entre une PME qui gère et une PME qui panique.

Marc, question cash. Est-ce qu'il y a des cas réels d'entreprises qui ont eu des problèmes spécifiquement liés à l'utilisation de l'IA et au RGPD ?

L'Italie a temporairement banni ChatGPT en 2023 pour non-conformité RGPD. OpenAI a dû se mettre en règle. Et côté entreprises utilisatrices, on voit des cas de salariés qui portent plainte parce que leur employeur a utilisé l'IA sur leurs données sans les informer.

Attends. Il faut informer les salariés qu'on utilise l'IA sur leurs données ?

Oui, c'est une obligation du RGPD. Les personnes concernées, salariés ou clients, doivent être informées de la façon dont leurs données sont traitées. Ça inclut les outils utilisés. Si tu utilises un outil IA qui traite des données de tes salariés, tu dois les en informer. Pas besoin de leur envoyer un roman, mais une mention dans la politique de confidentialité interne ou dans le règlement intérieur, c'est le minimum.

Bon. Ça s'ajoute à la check-list alors. Informer les salariés. Et les clients aussi, j'imagine ?

Si tu traites des données clients avec un outil IA, oui. Une ligne dans ta politique de confidentialité sur ton site, et tu es couverte. Genre : 'nous utilisons des outils d'intelligence artificielle pour améliorer notre service, vos données sont traitées conformément au RGPD'. C'est dix minutes de travail.

Marc, question que je me pose. Est-ce qu'à un moment il faut quand même passer par un avocat ? Ou est-ce qu'un dirigeant de PME peut gérer tout ça seul ?

Honnêtement, pour les usages basiques qu'on a décrits, un dirigeant peut gérer quatre-vingt pour cent du sujet avec du bon sens et les ressources en ligne de la CNIL. Le site de la CNIL est très bien fait, ils ont des guides pratiques, des modèles, des FAQ. C'est gratuit et c'est adapté aux PME. Par contre, il y a des moments où un avocat spécialisé est nécessaire.

Quels moments ?

Trois situations. Un : tu utilises l'IA pour des décisions qui impactent des personnes, recrutement, notation clients. Là, un avocat spécialisé t'aide à cadrer. Deux : fuite de données avérée. Le RGPD impose de notifier la CNIL sous soixante-douze heures. Trois : tu reçois une plainte ou une mise en demeure. Là, tu ne gères pas seul.

Soixante-douze heures pour notifier la CNIL en cas de fuite. C'est serré. Et je suis sûre que la plupart des dirigeants ne le savent même pas.

La plupart ne le savent pas. Et c'est normal, ce n'est pas leur métier. Mais c'est pour ça que le référent données qu'on a mentionné, il est important. Quelqu'un dans la boîte doit savoir que cette obligation existe.

On approche de la fin. Marc, si tu devais résumer en un plan d'action express, le lundi matin pour un dirigeant qui se dit 'OK j'ai compris, je fais quoi maintenant' ?

Plan d'action lundi matin. Première chose : tu vérifies que tes outils IA sont en version entreprise avec DPA. Si c'est pas le cas, tu migres. Ça prend une heure et quelques dizaines d'euros par mois. Deuxième chose : tu imprimes le feu tricolore vert-orange-rouge et tu l'affiches. Vert c'est libre, orange c'est avec précaution et anonymisation, rouge c'est interdit dans l'IA cloud.

Troisième chose : tu fais un brief de dix minutes à ton équipe. 'Voilà ce qu'on peut faire, voilà ce qu'on ne fait pas.' Quatrième chose : tu rédiges ton document de deux pages, les outils utilisés et les règles. Cinquième chose : tu mets à jour ta politique de confidentialité, une ligne sur l'IA. Tout ça, c'est faisable en une demi-journée. Pas besoin d'un cabinet d'avocats.

Une demi-journée. Franchement, moi qui flippais depuis une semaine à cause du numéro de sécu de ma comptable, si j'avais su que c'était aussi simple à cadrer, j'aurais commencé plus tôt.

Et c'est ça le message clé de cet épisode. Le RGPD et l'IA, ça fait peur sur le papier. Mais en pratique, pour une PME qui utilise l'IA de façon classique, c'est du bon sens organisé. Le vrai risque, c'est pas la loi en elle-même. C'est de ne rien faire et de se retrouver démuni le jour où un problème survient.

Allez, on récapitule. Aujourd'hui, on a démystifié le RGPD et l'AI Act pour les dirigeants de PME. Le RGPD, c'est du bon sens documenté : tu sais ce que tu fais avec les données, tu l'écris, tu informes les gens. L'AI Act, pour la plupart des PME, ça ne change pas grand-chose au quotidien, sauf si vous utilisez l'IA pour des décisions impactantes. Et les réflexes concrets : version entreprise, feu tricolore, documentation de deux pages, un référent, et une politique de confidentialité à jour.

Et moi j'ai appris que le RGPD, c'est pas le monstre que je croyais. C'est un peu comme le code de la route : tant que tu conduis normalement et que tu as tes papiers à jour, tu risques pas grand-chose. C'est quand tu fais n'importe quoi sans ceinture que ça se complique.

J'adore l'image. Et la ceinture de sécurité, c'est le DPA et le feu tricolore. C'est simple, ça prend deux secondes, et ça peut te sauver la vie.

Et dans le prochain épisode, on change complètement de sujet mais on reste dans le concret. On va parler recrutement. IA et recrutement : pourquoi votre prochain collaborateur s'en fiche que vous soyez petit. Comment les PME peuvent utiliser les outils modernes pour attirer des talents, même face aux grands groupes. Julie, ça t'intéresse, non ?

Tu rigoles ? J'ai trois postes ouverts depuis deux mois. Si l'IA peut m'aider à trouver des gens, je signe tout de suite. Enfin, en respectant le RGPD, hein.

Vous voyez, elle apprend vite. Si cet épisode vous a été utile, partagez-le à un dirigeant qui flippe sur le RGPD. Et on se retrouve la semaine prochaine pour parler marque employeur et recrutement. À très vite dans Impulsion IA.