Commencer

D2 — Le RGPD existait avant l'IA ; vos usages IA changent ce qu'il faut protéger

D2Conformité juridique

Sujet

Le RGPD encadre depuis 2018 le traitement des données à caractère personnel. Il s'applique pleinement aux usages d'IA, mais la réglementation et les outils de mise en conformité conçus avant l'explosion des LLM en 2022-2023 traitent imparfaitement plusieurs sujets propres aux nouveaux usages : transferts de données vers les fournisseurs d'IA, qualification de la sous-traitance, analyses d'impact spécifiques aux traitements IA, bases légales de l'inférence par modèle de langage. Le cadre reste valide ; les pratiques et outils doivent s'enrichir.

Conseil

Nous vous conseillons trois actions concrètes. Premièrement, anonymiser les données personnelles avant de les envoyer à une IA, chaque fois que c'est possible — c'est la protection la plus simple et la plus universelle. Deuxièmement, identifier vos sous-traitants IA et qualifier leurs flux de données, leurs localisations, leurs clauses contractuelles. Troisièmement, conduire des analyses d'impact (AIPD) spécifiques pour vos traitements IA — la CNIL considère que la plupart des usages IA répondent aux critères qui les rendent obligatoires. Liren AI Mapper produit un sous-dossier RGPD-IA complémentaire à votre registre RGPD existant, couvrant les angles que les outils RGPD pré-2022 n'avaient pas anticipés. La philosophie CLAVIS soutient ce principe : la réglementation reste valide, l'outillage doit suivre les usages réels.

L1 Niveau 1 — Néophyte

Le RGPD est la loi européenne qui protège les données personnelles depuis 2018. Quand vous envoyez à une IA un fichier qui contient des noms, des adresses, des informations sur des clients, des CV, vous traitez des données personnelles — donc le RGPD s'applique. Le problème : la plupart des outils utilisés pour gérer le RGPD dans les entreprises ont été conçus avant l'IA, et ne savent pas bien traiter les nouveaux usages. Une bonne pratique simple : avant d'envoyer quoi que ce soit à une IA, demandez-vous si vous pouvez anonymiser les noms et les détails personnels. Si oui, faites-le. Si non, vérifiez que vous avez le droit, et que votre fournisseur IA est correctement déclaré comme partenaire qui traite des données.

L2 Niveau 2 — Utilisateur

Prenons un exemple concret. Une entreprise envoie à une IA une pile de CV pour identifier les meilleurs candidats. Les CV contiennent des noms. L'IA, dans son traitement, peut associer ces noms à des origines ethniques inférées, et croiser silencieusement avec des données statistiques générales — y compris des biais présents dans son entraînement. Le résultat : un tri qui n'est pas seulement basé sur les compétences. C'est exactement ce que le RGPD interdit. Le RGPD existait avant l'IA, mais ce type d'effet est nouveau, et il prend les outils de conformité classiques de court. Au-delà de ce cas particulier, plusieurs sujets RGPD propres à l'IA sont mal couverts par les outils conçus avant 2022 : les fournisseurs d'IA sont des sous-traitants au sens RGPD, souvent avec des transferts de données hors Union européenne, et leurs clauses contractuelles ne sont pas toujours connues des entreprises qui les utilisent. Les analyses d'impact (AIPD), souvent obligatoires pour les traitements IA, sont rarement conduites. Les bases légales pour l'utilisation d'IA sur des données personnelles sont parfois floues. La bonne pratique tient en trois gestes : anonymiser quand c'est possible, identifier vos sous-traitants IA, conduire les analyses d'impact requises. Sans ces gestes, vous traitez des données personnelles sans le cadre que la loi exige — même si vous avez un registre RGPD à jour pour le reste.

L3 Niveau 3 — Averti

Le RGPD reste pleinement applicable aux usages d'IA, mais plusieurs angles sont mal couverts par les pratiques et outils conçus avant l'explosion des LLM en 2022-2023. Premier angle : la qualification de la sous-traitance. Les fournisseurs d'IA accessibles par API sont des sous-traitants au sens de l'article 28. Ils traitent des données personnelles pour le compte du responsable de traitement (votre organisation), souvent avec des transferts hors UE qui appellent les garanties de l'article 44 et suivants. Beaucoup d'organisations utilisent ces fournisseurs sans clauses contractuelles explicites, sans documentation des flux, et sans tenir registre de cette sous-traitance. Deuxième angle : les analyses d'impact sur la protection des données (AIPD, article 35). La position des autorités de contrôle — notamment la CNIL — converge sur le fait que la plupart des traitements impliquant de l'IA répondent aux critères de risque élevé qui rendent l'AIPD obligatoire. En pratique, ces AIPD sont rarement conduites, et quand elles le sont, elles le sont souvent avec des modèles antérieurs aux usages IA actuels. Troisième angle : les fiches de traitement (article 30). Le registre des traitements doit comporter une fiche par usage IA, distincte des fiches classiques, parce que les finalités, les bases légales, les destinataires et les durées de conservation diffèrent. La plupart des registres RGPD à jour pour le reste de l'organisation n'ont pas encore intégré ces fiches IA. Sur le plan structurel, plusieurs logiciels métier (facturation, traitement de données, devis) commencent à embarquer des fonctions IA. À terme, ces intégrations résoudront mécaniquement une partie des problèmes — les données client transiteront par des canaux qualifiés. En attendant, les usages directs d'IA externes restent le principal risque RGPD.

L4 Niveau 4 — Expert

L'application du RGPD aux usages IA fait apparaître plusieurs angles que les pratiques et outils de mise en conformité conçus avant 2022 traitent imparfaitement. Le cadre juridique reste valide ; ses modalités d'application demandent à être enrichies pour les usages contemporains. Premier sujet : qualification de la sous-traitance IA (art. 28). Un fournisseur de LLM accessible par API agit comme sous-traitant pour le compte du responsable de traitement. Cela impose des clauses contractuelles spécifiques, une qualification des flux, et la documentation au registre des traitements. Les transferts hors UE — fréquents avec les fournisseurs américains — déclenchent les exigences de l'article 44 et suivants, et appellent à examiner les bases de transfert (clauses contractuelles types, certifications). Cette qualification est rarement complète dans les organisations qui utilisent ces fournisseurs en pratique. Deuxième sujet : analyses d'impact (AIPD, art. 35). La CNIL et plusieurs autres autorités de contrôle européennes ont indiqué que la majorité des traitements impliquant des systèmes d'IA répondent aux critères de risque élevé qui rendent l'AIPD obligatoire — notamment lorsqu'il y a évaluation systématique d'aspects personnels, traitement à grande échelle de données sensibles, ou décisions automatisées affectant significativement les personnes. En pratique, ces AIPD sont peu réalisées sur les usages IA, et quand elles le sont, elles s'appuient souvent sur des modèles antérieurs aux usages réels actuels. Troisième sujet : bases légales et finalités. La distinction entre l'utilisation d'un modèle (inférence), la fourniture de données pour son entraînement, et la réutilisation éventuelle des données fournies par le fournisseur d'IA reste à clarifier dans les contrats et dans les fiches de traitement (art. 30). Les bases légales (consentement, intérêt légitime, exécution contractuelle) appellent une qualification cas par cas. Quatrième sujet : décisions individuelles automatisées (art. 22). Lorsqu'une IA participe à une décision affectant significativement une personne (recrutement, accès à un service, scoring), les exigences de transparence, de droit à intervention humaine et de droit à la contestation s'appliquent — sujet imbriqué avec l'EU AI Act (cf. D1). Sur le plan structurel, plusieurs logiciels métier intègrent désormais des fonctions IA dans leur traitement standard de données clients. Cette intégration mécanique tend à qualifier les flux dans des canaux contractuellement traités, et réduira progressivement le risque RGPD lié aux usages IA directs externes. En attendant, ces usages directs restent l'angle d'attention principal.

Enjeux liés

Contextes où cet enjeu est critique

Ressources humaines — quand l'IA touche aux trajectoires individuellesService client — quand l'IA répond à vos clients à votre placeChatbot — quand l'IA converse à votre placeCommercial et avant-vente — quand l'IA prospecte et engage à votre nomMarketing et communication — quand l'IA porte votre voixAnalyse de documents — quand l'IA lit pour vousConformité et juridique — quand l'IA aide à comprendre la règle

Documenter votre conformité IA

AI Validator produit les preuves d'évaluation systématique exigées par l'EU AI Act et ISO 42001. Format auditable et signé.

Découvrir l'outil

Version Markdown (lecture LLM-friendly)