RGPD et IA générative : cadre concret pour PME
Par Alexandre Saint-Jean

ChatGPT pour rédiger des emails clients, Copilot pour analyser un tableau de bord, Mistral pour automatiser un traitement de dossiers : ces outils entrent dans les PME sans que la question juridique ait toujours été posée. Peut-on y mettre des données personnelles ? À quelles conditions ? Voici le cadre concret, sans jargon superflu.
Peut-on vraiment mettre des données clients dans un LLM ?
La réponse courte est : oui, sous conditions. Le RGPD n'interdit pas de confier des données personnelles à un tiers, il l'encadre. La vraie question n'est pas « est-ce interdit » mais « ai-je mis en place ce qu'il faut pour que ce soit légal ». Trois exigences s'appliquent simultanément : une base légale valide, un contrat de sous-traitance signé, et le principe de minimisation respecté.
Le cas le plus risqué n'est pas l'utilisation du modèle, c'est son entraînement. Certains fournisseurs se réservent le droit d'utiliser vos échanges pour améliorer leur modèle, sauf désactivation explicite. Cette option de ré-entraînement exige, dans la quasi-totalité des cas, le consentement des personnes dont vous avez partagé les données.
Cette question du contrôle à long terme est développée dans garder le contrôle de ses données IA, qui pose le cadre stratégique avant d'entrer dans les obligations légales.
Quelle base légale s'applique à votre usage ?
Le RGPD, dans son article 6, liste six bases légales possibles. Pour une PME qui utilise un LLM sur des données clients, trois bases se discutent en pratique. Aucune ne couvre automatiquement tous vos usages.
L'intérêt légitime (article 6, paragraphe 1, alinéa f) est souvent la première base invoquée pour les usages internes ou B2B. Elle nécessite un test d'équilibre documenté entre votre intérêt commercial et les droits à la vie privée des personnes concernées, et ce test est difficile à conclure favorablement dès que les données sont riches ou que le sous-traitant est étranger à l'UE.
L'exécution d'un contrat (article 6, paragraphe 1, alinéa b) peut couvrir certains usages si le traitement est directement nécessaire à la prestation commandée. Le mot « nécessaire » est interprété restrictivement : analyser les habitudes d'achat d'un client pour affiner votre catalogue n'en relève pas.
Le consentement (article 6, paragraphe 1, alinéa a) s'impose quand aucune autre base ne tient ou que les données traitées sont sensibles. C'est la base la plus sûre, mais la plus lourde à collecter et à documenter à grande échelle.
Qu'est-ce qu'un DPA et pourquoi est-il obligatoire ?
Dès que vous confiez des données personnelles à un prestataire, ce prestataire devient un sous-traitant au sens du RGPD. L'article 28 impose alors un contrat de sous-traitance, désigné DPA en anglais (Data Processing Agreement), qui définit ce que le prestataire peut faire avec vos données, dans quelles conditions et avec quelles garanties de sécurité.
OpenAI, Microsoft et Google proposent tous un DPA activable depuis votre espace client. La CNIL précise les clauses obligatoires que ce contrat doit contenir : objet, durée, nature, finalité, catégories de données et obligations du sous-traitant. Sans DPA signé et archivé, le traitement est hors conformité, même si vous n'avez rien fait de problématique techniquement. Conservez une copie datée dans votre registre des activités de traitement.
Pourquoi choisir un serveur en Europe ne suffit pas ?
Microsoft Azure Europe, Google Cloud Paris, AWS Frankfurt : beaucoup de PME pensent que choisir un datacenter européen règle la question de la souveraineté. C'est une protection partielle, insuffisante pour les données les plus sensibles.
Le Cloud Act américain, adopté en 2018, permet aux autorités des États-Unis de contraindre toute entreprise soumise au droit américain à livrer des données stockées n'importe où dans le monde, y compris en Europe. Microsoft, Google et Amazon sont des entités de droit américain. Héberger vos données dans leurs datacenters européens ne les soustrait pas à cette loi.
Pour une protection réelle, il faut un fournisseur soumis exclusivement au droit européen, sans lien de capital avec une entité américaine. C'est ce que qualifie le référentiel SecNumCloud de l'ANSSI. Des acteurs comme Mistral ou OVHcloud répondent à cette exigence : les options et leurs arbitrages sont détaillés dans choisir un LLM souverain pour son entreprise.
Anonymisation ou pseudonymisation : quelle différence pratique ?
La pseudonymisation remplace un identifiant direct, comme un nom ou un email, par un alias ou un code interne. Les données restent des données personnelles au sens du RGPD car la ré-identification demeure possible. La pseudonymisation réduit le risque mais n'efface pas vos obligations légales.
L'anonymisation rend la ré-identification techniquement impossible et irréversible. Si elle est réelle, les données sortent du champ du RGPD (considérant 26) et vous pouvez les traiter sans base légale ni DPA. La CNIL souligne que l'anonymisation réelle est difficile à atteindre sur des jeux riches en profils et comportements. Règle pragmatique : pseudonymisez avant d'envoyer et n'envoyez jamais plus que ce que la tâche exige.
Par où commencer concrètement ?
Quatre actions, dans cet ordre, couvrent l'essentiel pour une PME qui part de zéro.
Cartographier. Listez les outils IA en usage. Pour chacun : traitez-vous des données personnelles, et avez-vous signé un DPA ? Cette cartographie prend une heure et révèle souvent plusieurs outils sans contrat actif.
Signer les DPA manquants. La plupart des fournisseurs les proposent en quelques clics. Sans signature de votre part, vous portez seul la responsabilité juridique. Conservez une copie datée dans votre registre des activités de traitement.
Minimiser par défaut. Avant chaque envoi à un LLM, posez la question : ce champ est-il vraiment nécessaire ? Retirer un email ou un identifiant client coûte peu et réduit l'exposition de façon significative.
Journaliser les usages sensibles. Gardez une trace des prompts qui ont impliqué des données personnelles : qui, quel outil, quel but, quelle date. Cette traçabilité est attendue lors d'un contrôle CNIL et permet de détecter les dérives avant qu'elles ne deviennent un incident déclarable.
Questions fréquentes
- Peut-on envoyer des noms et emails clients dans ChatGPT ?
- Pas sans précautions. Vous devez d'abord identifier votre base légale (intérêt légitime ou exécution d'un contrat selon le cas), signer un DPA avec OpenAI, et n'envoyer que les données strictement nécessaires à la tâche. L'option la plus sûre reste de pseudonymiser ou anonymiser avant envoi.
- Qu'est-ce qu'un DPA et qui doit le signer ?
- Un DPA (Data Processing Agreement) est le contrat de sous-traitance imposé par l'article 28 du RGPD dès qu'un tiers traite des données personnelles pour votre compte. OpenAI, Microsoft et Google le proposent dans leur espace client. Sans DPA signé et conservé, tout traitement est hors conformité, même techniquement irréprochable.
- Le serveur en Europe protège-t-il contre le Cloud Act ?
- Non. Le Cloud Act américain de 2018 permet aux autorités américaines de contraindre toute entreprise soumise au droit américain à livrer des données, y compris hébergées en Europe. La résidence des serveurs ne remplace pas un fournisseur soumis exclusivement au droit européen.
- Quelle différence entre anonymisation et pseudonymisation ?
- La pseudonymisation remplace un identifiant par un alias : les données restent personnelles au sens du RGPD, car la ré-identification est possible. L'anonymisation rend la ré-identification techniquement impossible : les données sortent du champ du RGPD. La CNIL souligne que l'anonymisation réelle est difficile à atteindre sur des jeux de données riches.
Sources
Pour aller plus loin
IA souveraine et conforme AI Act