RGPD & IA — Conformité, AI Act et Souveraineté
Le guide juridique de référence pour utiliser l'IA en Europe sans risque.
- Le RGPD s'applique à toute IA traitant des données personnelles d'Européens.
- L'AI Act classe les systèmes IA en 4 niveaux de risque, applicable progressivement de 2025 à 2027.
- ChatGPT Enterprise et Mistral hébergé en UE offrent un niveau de conformité acceptable.
- Une cartographie des traitements IA est obligatoire dès qu'il y a données personnelles.
Comprendre le RGPD appliqué à l'IA
Le RGPD s'applique dès qu'un système IA traite des données identifiantes. Cela inclut : prompts contenant des noms, documents internes RH, logs d'utilisation, embeddings dérivés de contenus personnels. Le critère n'est pas la technologie mais le contenu traité.
Risques juridiques principaux
Quatre risques majeurs : transfert hors UE sans garantie, absence de base légale, conservation excessive, dérive d'usage. Les amendes peuvent atteindre 4% du CA mondial.
- Transferts internationaux : USA hors cadre DPF = non conforme
- Base légale : intérêt légitime documenté ou consentement explicite
- Minimisation : ne jamais envoyer plus que nécessaire au modèle
- Droit à l'oubli : difficile sur les modèles entraînés, possible sur les RAG
Conformité des LLMs majeurs
Les niveaux de conformité varient selon le plan tarifaire et l'hébergement. Un même modèle peut être conforme en Enterprise et non conforme en grand public.
| Modèle | Hébergement UE | Opt-out training | Niveau |
|---|---|---|---|
| ChatGPT Enterprise | Oui (zero-retention) | Par défaut | Élevé |
| Claude for Work | AWS EU disponible | Par défaut | Élevé |
| Mistral Le Chat Pro | France native | Par défaut | Très élevé |
| Gemini Workspace | UE via Google Cloud | Par défaut | Élevé |
| ChatGPT gratuit | USA | Manuel | Faible |
AI Act européen — Calendrier et obligations
L'AI Act entre en application progressive entre 2025 et 2027. Les systèmes à haut risque (RH, scoring, médical, justice) nécessitent documentation technique, supervision humaine et registres.
- Févr. 2025 : interdiction des systèmes à risque inacceptable
- Août 2025 : obligations sur les modèles fondationnels (GPAI)
- Août 2026 : haut risque pleinement applicable
- Août 2027 : conformité totale pour les systèmes intégrés
IA souveraine et hébergement européen
Trois niveaux de souveraineté : modèle européen, hébergement européen, opérateur européen. Le combo Mistral + OVHcloud + opérateur français représente le maximum aujourd'hui accessible.
Checklist de conformité opérationnelle
Au-delà du juridique, la conformité se joue dans l'opérationnel. Ces sept points couvrent 90% des audits CNIL.
Avant de passer en production
- Registre des traitements IA mis à jour
- DPIA réalisée pour tout usage à haut risque
- Contrats DPA signés avec les fournisseurs LLM
- Charte IA interne diffusée à tous les utilisateurs
- Procédure de gestion des incidents IA
- Audit trimestriel des prompts et réponses sensibles
- Formation RGPD-IA annuelle obligatoire
FAQ
ChatGPT est-il conforme RGPD ?+
ChatGPT Enterprise et Team sont conformes pour la plupart des usages B2B grâce au zero-retention et à l'opt-out training par défaut. Les versions gratuites posent des risques significatifs.
Puis-je utiliser l'IA pour traiter des CV ?+
Oui, sous conditions strictes. C'est un usage haut risque selon l'AI Act : DPIA obligatoire, supervision humaine, information explicite des candidats, audit de biais documenté.
Qu'est-ce que l'AI Act change concrètement ?+
Pour la plupart des PME, peu de choses immédiatement. Pour les usages haut risque (RH, scoring, biométrie), documentation technique complète, registre, audits réguliers.
Faut-il préférer Mistral à OpenAI pour la conformité ?+
Mistral offre une souveraineté maximale (modèle FR, hébergement FR). OpenAI Enterprise est conforme RGPD mais reste sous juridiction américaine (Cloud Act).
Termes clés
- DPIA
- Analyse d'impact sur la protection des données, obligatoire pour les traitements à risque.
- AI Act
- Règlement européen sur l'intelligence artificielle adopté en 2024.
- GPAI
- General Purpose AI — modèles fondationnels comme GPT-4, Claude, Mistral Large.
- DPA
- Data Processing Agreement — contrat encadrant la sous-traitance de données.
Évaluer la conformité IA de votre entreprise
Audit RGPD + AI Act complet livré sous 10 jours par notre réseau d'experts.
Lancer l'audit conformitéContinuer l'exploration
Choisir son LLM — Le Comparatif Ultime 2026
ChatGPT, Claude, Gemini, Mistral, Grok, DeepSeek, Llama : le guide de décision technique.
IA pour PME — Adoption, ROI et Roadmap 30/60/90
Le guide opérationnel pour transformer une PME avec l'intelligence artificielle.
Évaluation IA — Mesurer la qualité en production
Hallucinations, benchmarks, red teaming, monitoring : le manuel de l'eval IA.