L’etat des lieux #
Le paysage reglementaire europeen pour l’IA repose sur deux piliers :
- RGPD (Reg. UE 2016/679) : en vigueur depuis 2018, reglemente la protection des donnees personnelles
- AI Act (Reg. UE 2024/1689) : entre en vigueur progressivement a partir de 2025, reglemente les systemes d’IA
Les deux reglementations coexistent et se chevauchent. Une entreprise qui utilise l’IA avec des donnees personnelles doit se conformer aux deux. Cela semble complique, mais en pratique la solution est plus simple qu’on ne le pense — si l’on fait les bons choix.
Le vrai probleme n’est pas la complexite reglementaire. C’est que 77 % des employes utilisent deja l’IA (ChatGPT, Copilot, Gemini) sans que l’entreprise ait evalue les implications RGPD. L’adoption a deja eu lieu. La conformite, non.
RGPD : les points critiques avec l’IA #
1. Transfert de donnees vers des pays tiers (le probleme principal) #
Quand un employe utilise ChatGPT, les donnees saisies voyagent vers des serveurs aux Etats-Unis. Apres l’invalidation du Privacy Shield (arret Schrems II, 2020), le transfert de donnees personnelles vers les USA est problematique.
Le Data Privacy Framework (DPF) adopte en 2023 offre une base juridique, mais :
- Tous les experts ne le considerent pas stable (un « Schrems III » est probable)
- Il ne couvre pas tous les cas d’usage professionnels
- Les clauses contractuelles types (CCT) ne suffisent souvent pas seules
La solution la plus sure : eliminer le transfert a la racine, en utilisant une IA qui tourne dans l’UE ou on-premise.
2. Decisions automatisees (Art. 22 RGPD) #
L’art. 22 RGPD etablit que la personne concernee a le droit de ne pas faire l’objet d’une decision fondee exclusivement sur un traitement automatise, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de maniere significative.
En pratique : si l’IA prend des decisions qui impactent des personnes — evaluation de credit, selection du personnel, diagnostic medical, tarification personnalisee — des garanties specifiques sont requises :
- Supervision humaine : un etre humain doit pouvoir intervenir dans la decision
- Droit de contestation : la personne concernee doit pouvoir contester la decision
- Explicabilite : il doit etre possible d’expliquer comment l’IA est parvenue a sa decision
3. Droit a l’explication #
Le RGPD (art. 13-15) exige que la personne concernee soit informee de l’existence d’un processus decisionnel automatise et recoive des « informations utiles concernant la logique sous-jacente ». Avec des modeles boite noire comme GPT-4, c’est un probleme serieux.
Avec des modeles open source on-premise, la tracabilite est meilleure : on connait le modele, les donnees d’entree, le prompt et la sortie. Avec ORCA et MANTA, chaque interaction est enregistree avec une piste d’audit complete.
4. Minimisation des donnees vs donnees d’entrainement #
Le principe de minimisation (art. 5(1)(c) RGPD) impose de ne traiter que les donnees strictement necessaires a la finalite. Avec des services cloud comme ChatGPT, les donnees saisies peuvent etre utilisees pour entrainer des versions futures du modele — un traitement qui depasse largement la finalite originale.
Avec l’IA privee, les donnees sont utilisees uniquement pour la finalite specifique pour laquelle l’employe les a saisies. Aucun entrainement secondaire, aucune utilisation detournee.
5. Contrat avec le sous-traitant (DPA) #
Quand vous utilisez un service d’IA cloud, le fournisseur (ex. OpenAI) agit comme sous-traitant (data processor). Un DPA conforme a l’art. 28 RGPD est necessaire, specifiant :
- Finalite et duree du traitement
- Types de donnees personnelles traitees
- Obligations et droits du responsable de traitement
- Mesures de securite techniques et organisationnelles
- Gestion des sous-traitants ulterieurs
Avec l’IA on-premise, il n’y a pas de sous-traitant externe. L’entreprise est a la fois responsable et operateur du systeme. Moins de complexite contractuelle, moins de risques.
AI Act : comment il croise le RGPD #
L’AI Act ne remplace pas le RGPD — il le complete. Voici les points d’intersection les plus pertinents pour les entreprises.
Niveaux de risque AI Act #
| Niveau | Exemples | Obligations |
|---|---|---|
| Risque inacceptable | Notation sociale, manipulation subliminale | Interdit |
| Haut risque | Selection du personnel, credit, diagnostic, surveillance biometrique | Evaluation de conformite, documentation, supervision humaine, transparence |
| Risque limite | Chatbots, deepfakes | Obligation de transparence (l’utilisateur doit savoir qu’il interagit avec une IA) |
| Risque minimal | Filtres anti-spam, jeux IA | Aucune obligation specifique |
Ce qui change pour les entreprises en pratique #
Obligation d’AI literacy (deja en vigueur depuis fevrier 2025) : tous les employes qui utilisent l’IA doivent recevoir une formation adequate. Il ne suffit pas de dire « utilisez ChatGPT » — une formation structuree sur les risques, les limites et l’usage responsable est necessaire.
Obligations pour les systemes a haut risque (aout 2026) : si votre entreprise utilise l’IA pour des decisions significatives (RH, credit, sante), des obligations lourdes de documentation, de tests, de suivi et de supervision humaine s’appliquent.
Transparence : les clients et utilisateurs doivent savoir quand ils interagissent avec un systeme d’IA ou quand un contenu est genere par IA.
L’effet combine RGPD + AI Act #
Une entreprise qui utilise ChatGPT pour analyser des CV de candidats doit respecter simultanement :
- RGPD : base juridique du traitement, AIPD, information des personnes, droit a l’explication, DPA avec OpenAI
- AI Act : documentation du systeme, evaluation des risques, supervision humaine, piste d’audit, formation du personnel
Avec l’IA privee on-premise, beaucoup de ces obligations se simplifient drastiquement car les donnees ne quittent pas le perimetre de l’entreprise et le controle est total.
Checklist pratique de conformite (10 points) #
Voici ce que votre entreprise doit concretement faire pour utiliser l’IA en conformite avec le RGPD et l’AI Act.
1. Cartographie des usages IA #
Identifiez tous les systemes d’IA utilises dans l’entreprise — y compris le shadow AI (ChatGPT utilise par les employes avec leurs comptes personnels). On ne peut proteger ce qu’on ne connait pas.
2. Classification des risques #
Pour chaque systeme d’IA, classifiez le niveau de risque selon l’AI Act. La plupart des usages professionnels relevent du « risque limite » (chatbots, analyse documentaire) ou du « risque minimal » (filtres, recherche).
3. Base juridique du traitement #
Identifiez la base juridique RGPD pour chaque traitement de donnees personnelles via l’IA. Les plus courantes : consentement, interet legitime, execution contractuelle.
4. AIPD (si necessaire) #
Si l’IA traite des donnees personnelles a grande echelle, profile des individus ou prend des decisions automatisees significatives, realisez une AIPD (art. 35 RGPD).
5. Information des personnes #
Mettez a jour la politique de confidentialite pour inclure l’utilisation de systemes d’IA, en precisant les finalites, la logique du traitement et le droit de contestation.
6. DPA avec les fournisseurs #
Si vous utilisez de l’IA cloud, verifiez que vous disposez d’un DPA conforme a l’art. 28 RGPD avec chaque fournisseur. Verifiez les sous-traitants et les clauses sur les transferts hors UE.
7. Supervision humaine #
Pour chaque usage d’IA impactant des personnes, definissez un processus de supervision humaine : qui revoit la sortie de l’IA avant qu’elle ne devienne la decision finale ?
8. AI literacy #
Formez tous les employes qui utilisent l’IA — des risques du shadow AI aux bonnes pratiques d’usage responsable. Documentez la formation.
9. Piste d’audit #
Mettez en place un systeme de journalisation pour toutes les interactions avec l’IA. Qui a demande quoi, quand, quelle reponse a ete obtenue, quelle decision a ete prise.
10. Revue periodique #
Planifiez des revues semestrielles de la conformite IA : nouveaux usages, nouvelles reglementations, nouveaux risques. Le paysage evolue rapidement.
Comment l’IA privee simplifie la conformite #
Utiliser l’IA privee on-premise ou sur cloud UE n’elimine pas tous les obligations — il faut toujours former, documenter, superviser. Mais cela elimine les problemes les plus importants et les plus couteux :
| Probleme | Avec IA publique (ChatGPT) | Avec IA privee (PRISMA) |
|---|---|---|
| Transfert de donnees hors UE | Critique (USA) | Elimine |
| DPA et sous-traitants | Complexe, peu de controle | Non necessaire (on-premise) |
| Donnees utilisees pour entrainement | Risque concret | Impossible |
| Piste d’audit | Depend du fournisseur | Complete et sous votre controle |
| Violation de donnees | Surface d’attaque large | Perimetre controle |
| Explicabilite | Boite noire | Modele connu, prompts traces |
| Cout de conformite | Eleve (consultants, audits externes) | Plus faible (moins de risques a gerer) |
PRISMA de HTX integre la conformite des la conception :
- ORCA : chaque conversation est enregistree, les donnees restent on-premise, la supervision humaine est integree au workflow
- MANTA : chaque requete SQL generee est tracee et verifiable, avec un journal complet des entrees et sorties
- KOI : conformite sanitaire maximale, piste d’audit clinique, validation medicale integree
Mythes a deconstruire #
« Si j’utilise la version Enterprise de ChatGPT, je suis conforme au RGPD » #
Pas automatiquement. La version Enterprise dispose d’un DPA plus robuste et OpenAI declare ne pas utiliser les donnees pour l’entrainement, mais les donnees transitent toujours par des serveurs americains. Le risque de transfert hors UE persiste.
« Le RGPD interdit l’utilisation de l’IA en entreprise » #
Faux. Le RGPD ne mentionne meme pas l’IA. Il reglemente le traitement des donnees personnelles, par tout moyen. L’IA est parfaitement legale si utilisee dans le respect des principes du RGPD.
« Les sanctions ne concernent que les grandes entreprises » #
L’autorite italienne de protection des donnees a sanctionne des entreprises de toutes tailles. L’amende d’OpenAI s’eleve a 15 millions d’euros, mais des PME ont egalement recu des sanctions significatives pour des violations RGPD sans lien avec l’IA.
« Le consentement des employes suffit pour utiliser ChatGPT » #
Le consentement dans la relation de travail est problematique car il n’est pas « librement donne » (il y a un desequilibre de pouvoir). Mieux vaut s’appuyer sur l’interet legitime, mais une AIPD et des mesures techniques adequates restent necessaires.
« L’IA privee est trop chere pour la conformite » #
C’est le contraire qui est vrai. Le cout de la conformite avec l’IA publique (consultants juridiques, audits, DPA, risque de sanctions) depasse souvent le cout de l’IA privee. Avec PRISMA, la conformite est integree dans le prix.
Prochaines etapes #
- Faites l’Assessment gratuit — Inclut une evaluation de la conformite IA de votre entreprise
- Lisez le guide AI Act — Approfondissez les obligations specifiques
- Decouvrez ORCA — Le ChatGPT prive conforme au RGPD
- Contactez-nous — Parlons de votre conformite IA
HTX — Human Technology eXcellence. IA privee pour les entreprises europeennes. Trieste, Italie.
FAQ
ChatGPT est-il conforme au RGPD ?
Non, pas dans sa configuration standard. ChatGPT transfere les donnees vers les serveurs d'OpenAI aux USA, ou elles sont soumises au CLOUD Act americain. Meme la version Enterprise pose des problemes de transfert de donnees hors UE. L'Italie a deja sanctionne OpenAI a hauteur de 15 millions d'euros pour violations du RGPD.
Que risque-t-on si mes employes utilisent ChatGPT avec des donnees de l'entreprise ?
En tant que responsable de traitement, votre entreprise est responsable meme de l'usage non autorise d'IA par les employes (shadow AI). Les amendes RGPD vont jusqu'a 4 % du chiffre d'affaires annuel. En plus, vous risquez la violation du secret professionnel et des dommages reputationnels.
L'AI Act remplace-t-il le RGPD ?
Non, les deux reglements coexistent et se chevauchent. Le RGPD reglemente la protection des donnees personnelles, l'AI Act reglemente les systemes d'IA. Une entreprise qui utilise l'IA doit se conformer aux deux. L'IA privee on-premise simplifie la conformite aux deux simultanement.
Dois-je realiser une AIPD pour utiliser l'IA en entreprise ?
Ca depend. Si l'IA traite des donnees personnelles a grande echelle, profile des individus ou prend des decisions automatisees qui impactent les personnes, une AIPD (Analyse d'Impact sur la Protection des Donnees) est obligatoire en vertu de l'art. 35 RGPD. Pour l'IA privee on-premise, le risque est typiquement plus faible.
Comment utiliser l'IA en respectant l'art. 22 RGPD sur les decisions automatisees ?
L'art. 22 interdit les decisions entierement automatisees ayant des effets significatifs sur les personnes. La cle est d'assurer la supervision humaine : l'IA suggere, l'humain decide. Avec ORCA et MANTA de HTX, ce principe est integre dans la conception du systeme.
Les modeles open source sont-ils plus surs pour le RGPD ?
Les modeles open source on-premise eliminent a la racine le probleme du transfert de donnees a des tiers, qui est le principal risque RGPD avec les services cloud comme ChatGPT. Il n'y a pas de sous-traitant externe, pas de transfert hors UE, les donnees ne sont pas utilisees pour l'entrainement. C'est la configuration la plus compatible avec le RGPD.