En 2026, l’intelligence artificielle générative est devenue une infrastructure quotidienne pour des millions d’entreprises.
Rédaction de contenus, analyse de données clients, automatisation des process, personnalisation des offres, génération de visuels ou de code : les outils IA se sont installés dans les pratiques métiers à une vitesse que les cadres juridiques ont eu du mal à suivre.
Or, derrière chaque usage de l’IA se pose, souvent sans que l’entreprise ne s’en rende compte, une question fondamentale : ces outils traitent-ils des données personnelles ? Et si oui, ce traitement est-il conforme au Règlement Général sur la Protection des Données (RGPD) ?
La réponse est fréquemment défavorable. Alimenter un modèle d’IA avec des données clients, utiliser un outil d’IA générative hébergé aux États-Unis, automatiser des décisions à partir de profils personnels : autant de pratiques qui soulèvent des risques RGPD immédiats, souvent ignorés jusqu’à ce qu’un contrôle ou un incident les révèle.
En 2026, la convergence entre le RGPD et le règlement européen sur l’intelligence artificielle (IA Act) crée un cadre réglementaire plus exigeant que jamais.
Cet article vous explique les principaux risques, les obligations applicables et les actions concrètes à mettre en œuvre pour utiliser l’IA en conformité.
Pourquoi l’utilisation d’outils d’IA soulève des enjeux RGPD immédiats pour les entreprises
Le RGPD s’applique dès lors qu’une organisation traite des données à caractère personnel ? c’est-à-dire toute information permettant d’identifier, directement ou indirectement, une personne physique.
Cela inclut les noms, adresses e-mail, numéros de téléphone, identifiants clients, historiques d’achat, comportements de navigation, et bien d’autres données couramment utilisées en entreprise.
Or, la plupart des usages professionnels de l’IA impliquent, à un degré ou à un autre, le traitement de ce type de données.
L’entreprise qui utilise un outil d’IA devient, au sens du RGPD, responsable du traitement ou coresponsable et doit assumer l’ensemble des obligations qui en découlent.
L’IA générative : un cas particulier à surveiller
Les outils d’IA générative comme ChatGPT, Claude, Gemini ou Copilot soulèvent des questions spécifiques.
Lorsqu’un collaborateur soumet des données clients, des e-mails internes, des contrats ou des informations médicales à un de ces outils, il effectue techniquement un transfert de données vers le système du fournisseur.
Si ce fournisseur est établi hors de l’Union européenne, ce transfert doit respecter des conditions strictes prévues par les articles 44 et suivants du RGPD.
De plus, certains fournisseurs d’IA utilisent par défaut les données soumises pour améliorer leurs modèles. Ce qui constitue un traitement supplémentaire non consenti par les personnes concernées.
Cette pratique est incompatible avec le RGPD si elle n’est pas encadrée par un contrat de sous-traitance adéquat et une option de désactivation effective.
⚠️ En l’absence de paramétrage spécifique, certains outils d’IA grand public ne garantissent pas que les données saisies ne seront pas utilisées pour l’entraînement du modèle. Vérifiez systématiquement les conditions d’utilisation et les paramètres de confidentialité de chaque outil avant tout usage professionnel avec des données personnelles.
Les 5 risques RGPD concrets liés à l’utilisation de l’IA en entreprise
Voici les situations à risque les plus fréquemment rencontrées lors d’un audit RGPD d’entreprises utilisant des outils d’IA.
Risque 1 · Alimenter un outil d’IA avec des données clients sans base légale valide
Le RGPD exige que tout traitement de données personnelles repose sur une base légale : consentement, exécution d’un contrat, obligation légale, intérêt légitime, etc. (article 6 du RGPD).
Soumettre une base de données clients à un outil d’IA pour générer des analyses commerciales, des segments marketing ou des prédictions comportementales constitue un nouveau traitement qui doit lui-même être justifié par une base légale adéquate.
L’intérêt légitime peut constituer une base légale valide, à condition de mener un test de mise en balance rigoureux.
Le consentement des personnes concernées peut être nécessaire si le traitement va au-delà de ce qu’elles pouvaient raisonnablement anticiper lors de la collecte initiale de leurs données.
Risque 2 · Transférer des données personnelles vers des serveurs hors de l’Union européenne
La plupart des grands fournisseurs d’IA sont établis aux États-Unis. Le transfert de données personnelles vers ces pays n’est licite que si des garanties appropriées sont mises en place. Depuis l’arrêt Schrems II de la CJUE (juillet 2020) et l’adoption du Data Privacy Framework UE-États-Unis en juillet 2023, le cadre juridique applicable a évolué, mais reste complexe.
En 2026, les entreprises doivent vérifier que leur fournisseur d’IA est certifié Data Privacy Framework ou qu’il a mis en place des clauses contractuelles types (CCT) validées par la Commission européenne.
A défaut, le transfert est illégal et expose l’entreprise à des sanctions de la CNIL.
Risque 3 · Prendre des décisions automatisées sans information des personnes concernées
L’article 22 du RGPD encadre strictement les décisions automatisées produisant des effets juridiques ou affectant significativement les personnes.
Cela inclut notamment : le refus automatisé d’un crédit, le scoring client, la modulation automatisée d’une offre tarifaire, ou le filtrage automatisé de candidatures à l’emploi.
Dans ces situations, les personnes concernées ont le droit d’être informées de l’existence d’une telle décision automatisée, d’obtenir une explication sur la logique utilisée, et de demander un réexamen humain.
Le non-respect de ces droits expose l’entreprise à des actions en justice et à des amendes significatives.
Risque 4 · Utiliser des données sensibles pour entraîner ou affiner un modèle
Les données dites sensibles (santé, opinions politiques, origine ethnique, données biométriques, vie sexuelle, conviction religieuse) font l’objet d’une protection renforcée au titre de l’article 9 du RGPD. Leur traitement est en principe interdit, sauf exceptions strictement limitées.
Les entreprises du secteur de la santé, des ressources humaines ou de l’assurance qui utilisent des données médicales ou biographiques pour entraîner ou personnaliser un modèle d’IA s’exposent à des sanctions extrêmement lourdes si elles ne disposent pas d’une base légale spécifique et de garanties adéquates.
Risque 5 · Absence de contrat de sous-traitance avec le fournisseur d’IA
Dès lors qu’une entreprise confie à un fournisseur d’IA le traitement de données personnelles pour son compte, ce fournisseur est qualifié de sous-traitant au sens de l’article 28 du RGPD.
La conclusion d’un contrat de sous-traitance (Data Processing Agreement, DPA) est obligatoire.
Ce contrat doit notamment préciser la nature et la finalité du traitement, les obligations du sous-traitant en matière de sécurité, les conditions de sous-traitance ultérieure et les modalités de retour ou de destruction des données. Beaucoup d’entreprises utilisent des outils d’IA sans avoir signé ou vérifié ce contrat.
⚠️ Attention : cliquer sur « Accepter les conditions générales d’utilisation » d’un outil IA ne vaut pas signature d’un DPA conforme au RGPD. Vérifiez spécifiquement l’existence d’un accord de sous-traitance de données dans la documentation juridique de chaque fournisseur.
A RETENIR
✔ Toute utilisation d’IA traitant des données personnelles doit reposer sur une base légale RGPD identifiée.
✔ Les transferts vers des fournisseurs hors UE doivent être couverts par des garanties appropriées (DPF, CCT).
✔ Les décisions automatisées doivent être signalées et permettre un recours humain.
✔ Les données sensibles nécessitent une base légale spécifique avant tout usage dans un système d’IA.
✔ Un contrat de sous-traitance (DPA) doit être signé avec chaque fournisseur d’IA traitant des données pour votre compte.
Ce que l’IA Act impose en complément du RGPD depuis 2026
Le règlement européen sur l’intelligence artificielle (règlement UE 2024/1689, dit IA Act) est entré en application progressive depuis 2024, avec des obligations pleinement applicables en 2026 pour plusieurs catégories d’opérateurs.
Il crée un cadre réglementaire complémentaire au RGPD, dont les entreprises utilisatrices d’IA doivent tenir compte.
La classification des systèmes d’IA par niveau de risque
L’IA Act classe les systèmes d’IA en quatre catégories selon le niveau de risque qu’ils présentent :
- Risque inacceptable : IA interdites (manipulation comportementale, notation sociale, reconnaissance faciale en temps réel dans l’espace public sauf exceptions)
- Risque élevé : IA soumises à des obligations strictes (recrutement, crédit, éducation, infrastructures critiques, justice)
- Risque limité : obligations de transparence (chatbots, génération de contenus)
- Risque minimal : pas d’obligation spécifique (filtres anti-spam, IA de jeux vidéo)
Les entreprises qui utilisent ou déploient des systèmes d’IA à risque élevé doivent notamment mener des évaluations de conformité, tenir une documentation technique, assurer une supervision humaine et garantir la traçabilité des décisions.
Les obligations de transparence pour les IA génératives
Depuis le 2 août 2025, les systèmes d’IA générative à usage général (GPAI, General Purpose AI) sont soumis à des obligations de transparence spécifiques.
Les fournisseurs de ces modèles doivent notamment publier un résumé des données utilisées pour l’entraînement et respecter le droit de la propriété intellectuelle.
Pour les entreprises utilisatrices, l’IA Act impose également de signaler à leurs utilisateurs lorsqu’ils interagissent avec un système d’IA (obligation de divulgation) et de s’assurer que les contenus générés par IA sont identifiables comme tels lorsqu’ils sont susceptibles d’induire les personnes en erreur.
Checklist : 6 actions pour utiliser l’IA en conformité avec le RGPD
Ces six actions constituent un socle minimum de conformité pour toute entreprise utilisant des outils d’IA traitant des données personnelles. Elles ne remplacent pas un audit juridique complet, mais permettent d’identifier rapidement les zones de risque prioritaires.
- Cartographier vos usages IA traitant des données personnelles
Identifiez l’ensemble des outils d’IA utilisés dans votre organisation (y compris les usages « informels » par vos collaborateurs) et déterminez lesquels traitent des données personnelles. Intégrez ces traitements à votre registre des activités de traitement (RAT), obligatoire pour les entreprises de plus de 250 salariés et recommandé pour toutes les autres.
- Vérifier et formaliser vos contrats de sous-traitance (DPA)
Pour chaque fournisseur d’IA traitant des données personnelles pour votre compte, vérifiez qu’un Data Processing Agreement conforme à l’article 28 du RGPD est en place. Si votre fournisseur propose un DPA standard, vérifiez qu’il couvre bien vos usages spécifiques.
- Sécuriser les transferts hors Union européenne
Vérifiez la localisation des serveurs de vos fournisseurs d’IA. Si des données sont transférées hors UE, assurez-vous que les garanties appropriées sont en place : certification Data Privacy Framework pour les fournisseurs américains, clauses contractuelles types (CCT) pour les autres pays.
- Identifier la base légale de chaque traitement IA
Pour chaque usage de l’IA impliquant des données personnelles, documentez la base légale applicable (consentement, intérêt légitime, exécution d’un contrat…). Si vous vous appuyez sur l’intérêt légitime, réalisez et conservez un test de mise en balance dûment documenté.
- Mettre à jour vos mentions d’information
Informez les personnes concernées (clients, employés, prospects) de l’utilisation de leurs données dans des systèmes d’IA, conformément aux articles 13 et 14 du RGPD. Précisez notamment la finalité, la durée de conservation et les droits dont elles disposent, y compris le droit de s’opposer à un traitement automatisé
Ces six actions constituent un point de départ, pas une fin en soi. Un audit RGPD & IA mené par un avocat spécialisé permet d’aller plus loin : cartographie complète, analyse des risques, mise en conformité documentée et accompagnement en cas de contrôle de la CNIL.
Quelles sanctions risque-t-on en cas de non-conformité RGPD liée à l’IA ?
La CNIL a renforcé ses contrôles sur les usages de l’IA depuis 2024. Plusieurs décisions de sanction portant spécifiquement sur des traitements automatisés et des transferts vers des outils d’IA ont été publiées, donnant un signal clair sur les priorités de contrôle.
Les sanctions encourues en cas de manquement au RGPD peuvent atteindre :
- 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise (le montant le plus élevé est retenu) pour les violations les plus graves
- 10 millions d’euros ou 2 % du chiffre d’affaires pour d’autres manquements, notamment le défaut de contrat de sous-traitance ou l’absence de base légale
Au-delà des amendes, une violation RGPD liée à l’IA peut entraîner des conséquences graves pour la réputation de l’entreprise, des actions en responsabilité civile de la part des personnes concernées, et — dans certains cas — une interdiction temporaire de traitement.
⚠️ La CNIL peut également prononcer des sanctions provisoires en urgence lorsqu’un traitement illicite présente un risque sérieux et immédiat pour les personnes. Une interdiction de traitement d’urgence peut paralyser tout ou partie des opérations d’une entreprise.
FAQ : IA et RGPD en entreprise
Peut-on utiliser des données clients pour alimenter un outil d’IA sans violer le RGPD ?
Oui, sous conditions. L’utilisation de données clients dans un outil d’IA constitue un traitement au sens du RGPD, qui doit reposer sur une base légale valide. Selon les cas, le consentement ou l’intérêt légitime peut être invoqué. Il faut également s’assurer que les personnes concernées ont été informées de cet usage et qu’un contrat de sous-traitance a été conclu avec le fournisseur de l’outil. En tout état de cause, il est recommandé de réaliser une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé.
ChatGPT et les outils d’IA générative sont-ils conformes au RGPD en 2026 ?
La réponse dépend de la version utilisée et du paramétrage adopté. Les versions entreprises de ces outils (OpenAI Enterprise, Microsoft Copilot for Microsoft 365, etc.) proposent généralement des DPA conformes au RGPD et des options de désactivation de l’utilisation des données pour l’entraînement. Les versions grand public présentent des risques plus élevés et ne doivent pas être utilisées avec des données personnelles sensibles sans vérification préalable. En tout état de cause, la conformité ne dépend pas seulement du fournisseur mais aussi de l’usage que vous en faites.
Faut-il signer un contrat de sous-traitance avec son fournisseur d’IA ?
Oui, dès lors que le fournisseur traite des données personnelles pour votre compte. L’article 28 du RGPD l’impose sans exception. Ce contrat doit préciser la nature du traitement, les finalités, les mesures de sécurité mises en place, les conditions de sous-traitance ultérieure et les modalités de retour ou de destruction des données à la fin du contrat. L’absence de ce contrat est un manquement autonome au RGPD, sanctionné indépendamment des autres violations.
Quelle est la différence entre le RGPD et l’IA Act pour les entreprises ?
Le RGPD protège les droits des personnes physiques à l’égard du traitement de leurs données personnelles. Il s’applique à tout responsable de traitement ou sous-traitant, que l’IA soit impliquée ou non. L’IA Act, quant à lui, régule les systèmes d’intelligence artificielle eux-mêmes, en imposant des obligations aux fournisseurs et aux déployeurs de ces systèmes selon leur niveau de risque. Les deux règlements s’appliquent de manière cumulative lorsqu’un système d’IA traite des données personnelles.
Quelles sanctions risque-t-on si l’on utilise l’IA sans respecter le RGPD ?
Les sanctions administratives de la CNIL peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Au-delà des amendes, l’entreprise peut faire l’objet d’une injonction de mise en conformité, d’une suspension du traitement, et de recours civils de la part des personnes dont les droits ont été violés. La publication des décisions de sanction sur le site de la CNIL génère également un impact réputat ionnel significatif.
En conclusion, l’intelligence artificielle représente une opportunité considérable pour les entreprises. Mais son déploiement sans cadre juridique adéquat est devenu l’un des principaux vecteurs de risque RGPD en 2026.
La bonne nouvelle : les obligations applicables sont compréhensibles et maîtrisables.
Identifier ses usages, conclure les contrats nécessaires, informer les personnes concernées et former ses équipes : ce sont des actions concrètes, proportionnées, qui permettent de bénéficier des apports de l’IA sans exposer son entreprise à des sanctions ou des litiges.
En 2026, la question n’est plus de savoir si votre entreprise utilisera l’IA — elle l’utilise probablement déjà. La question est de savoir si elle le fait de façon juridiquement sécurisée.
Vous utilisez des outils d’IA en entreprise et souhaitez vérifier votre conformité RGPD ?
Le Cabinet Nathalie Matteoda, avocat spécialisé en droit du numérique et en propriété intellectuelle à Paris, réalise des audits RGPD & IA sur mesure. Nous identifions vos risques et vous accompagnons dans la mise en conformité.
Nathalie Matteoda, Avocat Propriété Intellectuelle : Tél. 06 42 18 50 53 ou prenez rendez-vous en ligne.
Suivre mon actualité sur Linkedin ? Nathalie Matteoda – Avocat en droit de la propriété intellectuelle