Le RGPD s'applique-t-il aux projets IA des PME ?

Oui, dès lors que le projet IA traite des données personnelles — ce qui est le cas de la quasi-totalité des projets IA en entreprise. Le RGPD impose une base légale pour chaque traitement, le respect des droits des personnes (accès, rectification, opposition), et des obligations de sécurité et de documentation. Ces obligations s'appliquent indépendamment de la taille de l'entreprise.

Qu'est-ce que l'AI Act européen et quand s'applique-t-il aux PME ?

L'AI Act est le règlement européen sur l'intelligence artificielle, entré en vigueur en août 2024 avec une application progressive jusqu'en 2026. Il classe les systèmes IA par niveau de risque : interdit, à haut risque, à risque limité, à risque minimal. Les PME qui utilisent des systèmes IA tiers (SaaS, API) sont concernées en tant qu'utilisateurs de systèmes IA. Celles qui développent leurs propres systèmes sont concernées en tant que fournisseurs.

Quelles données sont considérées à risque dans un projet IA ?

Les données les plus sensibles sont les données personnelles au sens RGPD (nom, email, numéro de téléphone, adresse IP), les données dites sensibles (santé, origine ethnique, convictions religieuses, données biométriques), les données financières et contractuelles, et les données comportementales permettant de profiler une personne. Dans un projet IA, le risque augmente quand ces données alimentent un modèle d'entraînement ou sont envoyées à une API externe.

Faut-il une AIPD (analyse d'impact) pour un projet IA en PME ?

Une Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire quand le traitement est susceptible d'engendrer un risque élevé pour les personnes. C'est systématiquement le cas pour les systèmes de décision automatisée ayant des effets significatifs, le profilage à grande échelle, et le traitement de données sensibles. En pratique, tout projet IA qui prend ou influence des décisions concernant des personnes devrait faire l'objet d'une AIPD.

RGPD et AI Act pour les PME : ce qu'il faut savoir avant de déployer l'IA

← Retour au blog

Déployer l'IA sans comprendre le cadre légal qui l'entoure, c'est construire sur du sable. Le RGPD existe depuis 2018 et s'applique pleinement à tous les traitements de données personnelles — y compris ceux réalisés par des systèmes IA. L'AI Act européen est entré en vigueur en 2024, avec des obligations qui montent progressivement jusqu'en 2026. Ce guide résume ce qu'une PME française doit savoir, sans jargon juridique inutile.

Rappel RGPD : les obligations qui s'appliquent à l'IA

Le Règlement Général sur la Protection des Données impose plusieurs obligations dès qu'un système IA traite des données personnelles, ce qui est le cas de la quasi-totalité des projets IA en entreprise.

Base légale du traitement

Tout traitement de données personnelles doit reposer sur une base légale : consentement, exécution d'un contrat, obligation légale, intérêt légitime. Entraîner un modèle sur des données clients sans base légale documentée est une infraction. Envoyer des données personnelles à une API LLM externe sans analyse préalable l'est potentiellement aussi.

Droits des personnes

Les personnes dont les données alimentent votre système IA ont des droits : accès à leurs données, rectification, effacement, opposition au traitement, portabilité. Si votre modèle IA a été entraîné sur leurs données, comment répondez-vous à une demande d'effacement ? La réponse technique à cette question doit être prévue avant le déploiement.

Décision automatisée et profilage

L'article 22 du RGPD interdit les décisions entièrement automatisées ayant des effets significatifs sur une personne, sauf exceptions. Si votre système IA prend ou influence des décisions (scoring de crédit, sélection de candidatures, tarification personnalisée), une information claire des personnes concernées est obligatoire, et un recours humain doit être prévu.

Registre des traitements

Chaque nouveau traitement de données personnelles, y compris via un système IA, doit être inscrit dans votre registre des traitements. Ce document, exigible par la CNIL en cas de contrôle, liste la nature du traitement, sa finalité, les données concernées, leur durée de conservation et les mesures de sécurité en place.

L'AI Act européen : ce qui change pour les PME

L'AI Act, entré en vigueur en août 2024, classe les systèmes IA en quatre niveaux de risque. Les PME sont concernées soit comme utilisatrices (qui déploient des systèmes IA tiers), soit comme fournisseuses (qui développent leurs propres systèmes).

Risque inacceptable : interdit

Systèmes de notation sociale généralisée par les pouvoirs publics, manipulation subliminale, exploitation des vulnérabilités, reconnaissance faciale en temps réel dans les espaces publics. Ces usages sont interdits pour toutes les organisations, quelle que soit leur taille.

Risque élevé : obligations strictes

Systèmes IA utilisés dans le recrutement, le scoring de crédit, la gestion des infrastructures critiques, l'accès aux services publics, l'éducation, la justice. Si votre PME utilise ou développe un système dans ces domaines, des exigences de transparence, de traçabilité, de supervision humaine et de documentation technique s'imposent dès 2025.

Risque limité : transparence obligatoire

Chatbots, systèmes de génération de contenu (texte, images, audio). Les utilisateurs doivent être informés qu'ils interagissent avec une IA. Les contenus générés par IA doivent être signalés. C'est le niveau qui concerne le plus grand nombre de PME déployant des assistants IA clients.

Risque minimal : pas d'obligation spécifique

Filtres anti-spam, systèmes de recommandation de contenu non personnalisés, jeux vidéo utilisant l'IA. Ces systèmes restent soumis au RGPD si ils traitent des données personnelles, mais l'AI Act n'impose pas d'obligations supplémentaires.

La CNIL publie des guides pratiques sur l'IA et le RGPD régulièrement mis à jour. C'est la référence en France pour les questions de conformité IA.

Identifier les données à risque dans votre projet IA

Avant tout déploiement, listez les données que votre système IA va traiter et classez-les selon leur niveau de sensibilité.

Données personnelles standard : nom, prénom, email, téléphone, adresse IP, identifiant client. Toute utilisation requiert une base légale RGPD documentée.
Données sensibles : santé, origine ethnique, convictions religieuses ou politiques, vie sexuelle, données biométriques, données syndicales. Traitement interdit sauf exceptions strictes.
Données financières et contractuelles : coordonnées bancaires, montants, conditions commerciales. Obligation de sécurité renforcée et restriction d'accès.
Données comportementales : historique de navigation, interactions, préférences. Permettent de profiler une personne — attention particulière au profilage et à l'article 22 RGPD.
Données de mineurs : protection renforcée, consentement parental obligatoire, pas d'envoi vers des APIs externes sans analyse approfondie.

Cartographier et classifier vos usages IA

Pour chaque système IA en place ou en projet, répondez à ces cinq questions avant de déployer :

Question 1 : Quelles données personnelles ce système traite-t-il ?

Listez exhaustivement les catégories de données. Si vous ne savez pas précisément quelles données entrent dans le système, c'est un signal d'alerte.

Question 2 : Quelle est la base légale du traitement ?

Consentement, contrat, intérêt légitime, obligation légale. Chaque traitement doit avoir sa base légale documentée dans votre registre.

Question 3 : Les données sont-elles envoyées à un prestataire externe ?

Si oui, avez-vous signé un DPA (Data Processing Agreement) avec ce prestataire ? Ce contrat est obligatoire pour tout sous-traitant qui traite des données personnelles pour votre compte.

Question 4 : Le système prend-il ou influence-t-il des décisions concernant des personnes ?

Si oui, avez-vous prévu un recours humain, et les personnes concernées sont-elles informées ? Ces deux points sont obligatoires sous le RGPD.

Question 5 : Une AIPD est-elle nécessaire ?

L'Analyse d'Impact relative à la Protection des Données est obligatoire pour tout traitement susceptible d'engendrer un risque élevé. En pratique : décision automatisée, profilage à grande échelle, données sensibles. En cas de doute, consultez la documentation CNIL sur les AIPD.

Bonnes pratiques de conformité RGPD et AI Act

Ne jamais envoyer de données personnelles réelles à une API LLM externe pour des tests. Utilisez des données anonymisées ou synthétiques.
Signer un DPA avec chaque prestataire IA qui traite des données pour votre compte (OpenAI, Anthropic, Google, Microsoft, etc.).
Documenter chaque usage IA dans votre registre des traitements RGPD, avec la base légale et la durée de conservation.
Former votre équipe à reconnaître les données personnelles et à ne pas les copier-coller dans des outils IA grand public.
Prévoir une procédure de réponse aux droits des personnes : accès, effacement, portabilité — y compris si leurs données ont alimenté un modèle.
Chiffrer les données au repos et en transit pour tout système IA manipulant des données personnelles.
Tester la robustesse du modèle contre les attaques adversariales et les tentatives d'extraction de données d'entraînement.

Références officielles : Guide IA de la CNIL · Texte officiel de l'AI Act · AIPD : documentation CNIL

Ce que ça implique concrètement pour votre PME

La conformité RGPD et AI Act n'est pas un chantier juridique réservé aux grandes entreprises. C'est une série de questions techniques concrètes : où vont vos données, qui y accède, comment les protégez-vous, que se passe-t-il si quelqu'un demande leur suppression ?

Un diagnostic technique de 5 jours intègre une revue de vos usages IA au regard du RGPD et de l'AI Act, et identifie les ajustements à faire avant de déployer en production. C'est moins coûteux et moins risqué que de découvrir les problèmes lors d'un contrôle CNIL ou d'un incident de sécurité.