Guide pratique

L'IA conforme au RGPD : sécurité, hébergement français, confidentialité

Numa Gonzalez

« Si je donne nos contrats clients à ChatGPT, est-ce qu'on respecte le RGPD ? » C'est l'une des questions les plus fréquentes posées par les dirigeants français qui veulent adopter l'IA — et c'est la bonne question. Voici un guide complet et clair pour utiliser l'IA dans votre entreprise sans risquer une violation de données.

Les 3 risques RGPD à connaître

1. L'entraînement sur vos données

Quand vous utilisez une IA gratuite (ChatGPT free, par exemple), vos données peuvent servir à entraîner les futurs modèles. C'est-à-dire : un concurrent posant une question similaire pourrait potentiellement voir apparaître des bouts de votre information confidentielle.

Comment l'éviter : utilisez les offres payantes professionnelles (ChatGPT Team, Claude Pro, etc.). Elles excluent l'entraînement sur vos données — c'est explicite dans leurs CGV.

2. Le transfert hors UE

Les principaux acteurs IA (OpenAI, Anthropic, Google) sont américains. Vos données peuvent être traitées sur des serveurs aux États-Unis, ce qui implique un transfert hors UE soumis à des règles précises.

Comment l'éviter :

  • Soit signer un DPA (Data Processing Agreement) conforme avec votre fournisseur — la plupart des offres Team/Enterprise le fournissent.

  • Soit choisir un acteur européen ou français : Mistral, ou outils français spécialisés. Hébergement en France = pas de transfert hors UE.

3. La conservation des données

Combien de temps vos prompts et vos sorties sont-ils conservés ? Par défaut, plusieurs jours à plusieurs mois pour faciliter le débogage. Vous devez le savoir et le documenter.

Comment l'encadrer : vérifiez la politique de conservation dans les CGV. Pour les outils Passrel, par exemple, les prompts sensibles ne sont pas conservés au-delà de la session.

Les 5 règles pratiques à appliquer dès demain

Règle 1 — Pas de données personnelles dans un prompt sans précaution

Avant d'envoyer un document à une IA, anonymisez ou pseudonymisez. Un CV peut devenir « Candidat A — 12 ans d'expérience comptable, formation Bac+5, 38 ans ». Une fiche client peut perdre nom, adresse, numéro de téléphone.

Règle 2 — Outil professionnel, jamais gratuit pour les données sensibles

ChatGPT free, c'est OK pour rédiger un email générique. Pour analyser un contrat client, le CV d'un candidat ou un dossier RH, passez à l'offre payante ou à un outil français.

Règle 3 — Privilégiez l'hébergement européen

Mistral (français), outils Passrel (hébergement européen) ou offres Team avec serveurs UE des géants américains. Vous évitez l'incertitude juridique du transfert hors UE.

Règle 4 — Documentez vos usages

Si la CNIL contrôle, vous devez pouvoir montrer :

  • Quels outils IA sont utilisés dans l'entreprise

  • Pour quels types de données

  • Avec quels contrats / DPA en place

  • Avec quelle politique de conservation

C'est ce qu'on appelle une annexe au registre des traitements.

Règle 5 — Formez les équipes

90 % des incidents RGPD liés à l'IA viennent d'erreurs humaines (un collaborateur qui colle une liste de clients dans ChatGPT free, par exemple). Une formation d'1 journée — qui inclut le volet RGPD — coûte moins cher qu'un seul incident.

Le cas particulier des données sensibles

Pour les données santé, judiciaires, ou financières lourdes, n'utilisez pas un outil grand public, même payant. Ces données nécessitent :

  • Soit un hébergement HDS (Hébergeur de Données de Santé) certifié pour le médical.

  • Soit un outil français spécialisé.

  • Soit une solution sur-mesure, déployée dans votre infrastructure.

Si vous êtes dans ce cas, contactez-nous pour étudier une solution sur-mesure.

Les outils français à connaître

  • Mistral (Paris) : modèles d'IA hébergés en France. Excellent rapport qualité / conformité.

  • Outils Passrel : pré-configurés pour les métiers TPE/PME français, hébergement européen, conformité RGPD native. À partir de 9 €/mois. Voir les outils

  • Solutions sur-mesure : intégration dans votre SI, hébergement maîtrisé. Devis

Récapitulatif : les 3 niveaux de risque

Donnée traitée par l'IA

Outil acceptable

Texte générique (rédaction email pro standard)

ChatGPT, Claude, Gemini (offre payante)

Données client identifiables (devis, CR, contrats)

Offre Team/Pro avec DPA OU outil français

Données sensibles (santé, RH lourde, judiciaire)

Outil français spécialisé OU solution sur-mesure

En résumé

Utiliser l'IA dans une TPE/PME française est parfaitement compatible RGPD — à condition de choisir les bons outils, de poser les bons contrats et de former les équipes. Le risque n'est pas l'IA elle-même : c'est l'usage non encadré.

Pour les dirigeants qui veulent partir bon pied : une formation d'1 journée qui couvre les usages métier ET le volet RGPD, certifiée Qualiopi, finançable OPCO. Découvrir

Numa Gonzalez accompagne les TPE et PME de PACA, Vaucluse et au-delà dans l'adoption d'une IA sécurisée et conforme RGPD. Formation certifiée Qualiopi via Ajisse Partenaires.

Image
Bg Line

Passez à la vitesse IA.
Sans perturber votre quotidien.

Formation, outils prêts à l'emploi ou solution sur-mesure. Passrel s'adapte à votre métier et à votre rythme.

Démarrer avec Passrel

Bg Line

Passez à la vitesse IA.
Sans perturber votre quotidien.

Formation, outils prêts à l'emploi ou solution sur-mesure. Passrel s'adapte à votre métier et à votre rythme.

Démarrer avec Passrel

Bg Line

Passez à la vitesse IA.
Sans perturber votre quotidien.

Formation, outils prêts à l'emploi ou solution sur-mesure. Passrel s'adapte à votre métier et à votre rythme.

Démarrer avec Passrel