L'IA et la protection des données personnelles sont intimement liées : la plupart des systèmes d'IA fonctionnent en traitant des données, souvent personnelles. Pour les PME françaises, cette réalité crée des obligations légales précises — et des risques concrets en cas de non-conformité. Voici ce que vous devez savoir.

RGPD et IA : les obligations de base

Le RGPD (Règlement Général sur la Protection des Données) s'applique pleinement dès que votre système IA traite des données personnelles, c'est-à-dire toute information se rapportant à une personne physique identifiable : clients, salariés, prospects.

La base légale du traitement

Avant d'utiliser un outil IA traitant des données personnelles, vous devez identifier votre base légale : consentement explicite, exécution d'un contrat, intérêt légitime ou obligation légale. L'utilisation d'un chatbot client ou d'un outil de segmentation marketing doit être justifiée par l'une de ces bases.

La minimisation des données

Le principe de minimisation oblige à ne collecter que les données strictement nécessaires à l'objectif poursuivi. Entraîner un modèle IA sur l'intégralité de votre base clients alors que seul un sous-ensemble suffirait constitue une violation de ce principe.

La transparence

Vos clients et salariés doivent être informés lorsqu'une décision les concernant est prise par un système automatisé. Une décision de crédit, de scoring ou de recrutement basée sur l'IA doit être explicable et contestable.

L'EU AI Act : une nouvelle couche réglementaire

Entré en vigueur en 2024, l'EU AI Act classe les systèmes IA par niveau de risque :

  • Risque inacceptable : Systèmes de notation sociale, manipulation subliminale — totalement interdits.
  • Risque élevé : IA dans le recrutement, le crédit, les soins de santé, l'éducation — obligations de transparence, d'audit et de documentation renforcées.
  • Risque limité : Chatbots, deepfakes — obligation d'informer l'utilisateur qu'il interagit avec une IA.
  • Risque minimal : Filtres anti-spam, recommandations de contenu — pas d'obligation spécifique.

Pour la majorité des PME, les outils IA de productivité (rédaction, synthèse, analyse de données) entrent dans la catégorie risque minimal ou limité. Les applications RH et de scoring entrent en risque élevé et nécessitent une attention particulière.

Les risques concrets pour une PME non conforme

La CNIL a considérablement renforcé ses contrôles sur l'IA depuis 2023. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les manquements graves. Mais au-delà des amendes, le risque réputationnel — perte de confiance clients, couverture médiatique négative — est souvent plus impactant pour une PME.

Bonnes pratiques pour une IA conforme

  1. Cartographiez vos traitements IA dans votre registre des activités de traitement (RAT).
  2. Réalisez une AIPD (Analyse d'Impact sur la Protection des Données) pour tout nouveau traitement à risque élevé.
  3. Choisissez des fournisseurs hébergés en Europe ou ayant signé des clauses contractuelles types (CCT) pour les transferts hors UE.
  4. Documentez vos décisions algorithmiques : pourquoi ce modèle, sur quelles données, avec quelle précision.
  5. Formez vos équipes aux obligations RGPD liées aux outils IA qu'ils utilisent au quotidien.

Le cas des LLM grand public (ChatGPT, Copilot…)

L'utilisation d'outils comme ChatGPT en entreprise pose un problème RGPD majeur : les données saisies peuvent être utilisées pour entraîner les modèles, et les serveurs sont souvent aux États-Unis. La recommandation est d'interdire la saisie de données personnelles dans ces outils, ou d'opter pour des versions enterprise avec des garanties contractuelles renforcées — ou mieux, des modèles open source auto-hébergés.