En janvier 2024, la CNIL italienne a infligé une amende de 15 millions d’euros à OpenAI pour le traitement de données personnelles par ChatGPT — collecte massive sans base légale, absence d’information des personnes concernées, pas de mécanisme de vérification d’âge. Quelques mois plus tard, c’est la CNIL française qui a ouvert une instruction formelle sur les mêmes sujets. Le message est clair : les autorités de protection des données européennes considèrent que l’IA générative doit se conformer au RGPD comme tout autre traitement de données personnelles. Il n’y a pas d’exception technologique.
Pour les entreprises qui déploient des outils d’IA — chatbots, assistants internes, scoring automatisé, analyse de CV — la conformité RGPD n’est pas optionnelle. Elle est une obligation légale assortie de sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
À retenir
- Tout traitement de données personnelles par un système d'IA doit reposer sur une base légale RGPD valide
- L'AIPD (analyse d'impact relative à la protection des données) est obligatoire pour les traitements IA à grande échelle
- L'article 22 du RGPD encadre strictement les décisions entièrement automatisées qui produisent des effets juridiques
- Les transferts de données vers les fournisseurs IA américains nécessitent des garanties spécifiques (Data Privacy Framework)
Les bases légales applicables à l’IA
Le RGPD (article 6) prévoit six bases légales pour traiter des données personnelles. Dans le contexte de l’IA en entreprise, trois sont principalement utilisées.
L’intérêt légitime (article 6.1.f)
C’est la base légale la plus fréquemment invoquée pour les traitements IA en entreprise — détection de fraude, personnalisation de services, analyse prédictive. Elle nécessite un test de balance entre l’intérêt de l’entreprise et les droits des personnes concernées.
Pour qu’un intérêt légitime soit valable, trois conditions doivent être réunies :
- L’intérêt est réel, actuel et suffisamment défini
- Le traitement est nécessaire pour atteindre cet intérêt (pas d’alternative moins intrusive)
- Les droits et libertés des personnes ne prévalent pas
La CNIL recommande de documenter ce test de balance de manière détaillée — ce qui est rarement fait dans la pratique.
Le consentement (article 6.1.a)
Le consentement est nécessaire quand l’intérêt légitime ne peut pas être invoqué — notamment pour les traitements de profilage commercial ou d’analyse comportementale. Le consentement doit être libre, spécifique, éclairé et univoque. Dans le contexte de l’IA, « éclairé » signifie que la personne doit comprendre que ses données seront traitées par un système d’IA et pour quelles finalités.
L’exécution d’un contrat (article 6.1.b)
Applicable quand le traitement IA est nécessaire à l’exécution d’un contrat avec la personne concernée — par exemple, un scoring de crédit pour l’octroi d’un prêt ou une personnalisation de service explicitement prévue dans les conditions générales.
4,2 Mds €
le montant cumulé des amendes RGPD prononcées en Europe depuis l'entrée en vigueur du règlement en 2018, toutes catégories confondues
Source : GDPR Enforcement Tracker, mars 2026
L’AIPD : obligation pour les traitements IA
L’Analyse d’Impact relative à la Protection des Données (AIPD), prévue à l’article 35 du RGPD, est obligatoire quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». En pratique, la quasi-totalité des systèmes d’IA qui traitent des données personnelles à grande échelle nécessitent une AIPD.
La CNIL a publié des critères précis. Deux critères suffisent pour rendre l’AIPD obligatoire :
- Évaluation ou scoring (y compris le profilage)
- Décision automatisée avec effet juridique ou effet significatif
- Surveillance systématique
- Données sensibles ou à caractère hautement personnel
- Traitement à grande échelle
- Croisement de données
- Personnes vulnérables (employés, patients, mineurs)
- Usage innovant ou utilisation de nouvelles technologies
Un système d’IA qui fait du scoring (critère 1) à grande échelle (critère 5) remplit déjà les conditions. Une analyse d’impact IA détaillée est alors obligatoire avant la mise en production.
L’AIPD n’est pas un document administratif à remplir une fois et à classer. C’est un processus vivant qui doit être mis à jour à chaque modification significative du système d’IA — changement de modèle, élargissement du périmètre de données, nouvelles finalités. La CNIL vérifie régulièrement la réalité et l’actualité des AIPD lors de ses contrôles.
L’article 22 : les décisions automatisées
L’article 22 du RGPD est la disposition la plus directement applicable à l’IA décisionnelle. Il établit un principe clair : « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. »
Concrètement, cela couvre :
- Le scoring de crédit automatisé qui détermine l’octroi ou le refus d’un prêt
- Le tri automatisé de CV qui élimine des candidats sans intervention humaine
- La tarification dynamique basée sur le profilage individuel
- La détection automatique de fraude qui bloque un compte ou une transaction
Les exceptions sont limitées : consentement explicite, nécessité contractuelle, ou autorisation légale. Et dans tous les cas, l’entreprise doit garantir le droit de la personne à obtenir une intervention humaine, à exprimer son point de vue et à contester la décision.
L’intervention humaine significative
Attention : apposer une validation humaine purement formelle — un employé qui clique « approuver » sans analyse réelle — ne constitue pas une intervention humaine significative au sens du RGPD. La CNIL et le CEPD (Comité Européen de la Protection des Données) exigent que l’intervention humaine soit réelle : la personne qui valide doit avoir la compétence, l’autorité et les moyens de modifier la décision algorithmique.
Les droits des personnes face à l’IA
Le RGPD confère aux personnes concernées des droits spécifiques quand leurs données sont traitées par des systèmes d’IA.
Droit à l’information (articles 13-14) : les personnes doivent être informées de l’existence d’un traitement automatisé, de sa logique sous-jacente et des conséquences prévues. Expliquer « qu’un algorithme décide » ne suffit pas — il faut expliquer les principaux critères utilisés et leur pondération relative.
Droit d’accès (article 15) : la personne peut demander quelles données sont traitées, par quel système, et obtenir une copie des données. Cela inclut les données dérivées produites par le système d’IA (scores, catégorisations, prédictions).
Droit de rectification et d’effacement : si les données utilisées par le système d’IA sont inexactes ou si le traitement n’est plus justifié, la personne peut exiger leur rectification ou leur suppression — ce qui peut impliquer de ré-entraîner ou d’ajuster le modèle.
Droit d’opposition : la personne peut s’opposer au traitement basé sur l’intérêt légitime, y compris au profilage. L’entreprise doit alors démontrer des « motifs légitimes et impérieux » pour continuer le traitement.
15 M€
l'amende infligée à OpenAI par l'autorité italienne de protection des données pour non-conformité RGPD de ChatGPT
Source : Garante per la protezione dei dati personali, janvier 2024
Le transfert de données vers les fournisseurs IA
La majorité des outils d’IA utilisés en entreprise (ChatGPT, Gemini, Claude, Copilot) sont opérés par des entreprises américaines. Chaque donnée personnelle saisie dans ces outils constitue potentiellement un transfert de données hors UE — soumis au chapitre V du RGPD.
Le Data Privacy Framework (DPF), adopté en juillet 2023, fournit un cadre pour les transferts vers les entreprises américaines certifiées. Mais ce cadre est contesté (Max Schrems a annoncé un recours) et sa pérennité n’est pas garantie — le précédent Privacy Shield avait été invalidé par la CJUE en 2020.
Les entreprises doivent donc :
- Vérifier que leur fournisseur IA est certifié DPF
- Prévoir des clauses contractuelles types (SCC) en complément
- Évaluer les risques de transfert (Transfer Impact Assessment)
- Documenter leur analyse dans l’AIPD
Pour les données hautement sensibles, les solutions d’IA souveraine hébergées en Europe offrent une alternative — Mistral AI, les offres cloud souveraines (OVHcloud, Scaleway) et les déploiements on-premise.
La conformité RGPD des outils d’IA n’est pas un sujet uniquement juridique. C’est un sujet opérationnel qui concerne toute l’organisation. Les équipes qui utilisent des outils d’IA au quotidien doivent comprendre les implications RGPD de leurs usages — ne pas saisir de données personnelles dans des outils non validés, respecter les chartes d’utilisation, signaler les incidents. C’est un volet essentiel de la gouvernance IA.
AI Act et RGPD : deux cadres complémentaires
Comment choisir une plateforme de conformité IA + RGPD
Pour couvrir les deux régimes en un seul outil, vérifiez ces 6 critères :
- Périmètre unifié : couvre RGPD + AI Act dans la même interface (un seul registre).
- Workflows AIPD/FRIA intégrés : une étude couvre les deux obligations.
- Inventaire IA vivant : classification automatique par niveau de risque (interdit, haut, limité, minimal).
- Suivi formation Article 4 : preuve de littératie IA par collaborateur.
- Due diligence fournisseurs : audit des sous-traitants IA et de leurs sous-processeurs.
- APIs SSO + HRIS : synchronisation automatique des effectifs.
L’AI Act européen et le RGPD ne sont pas redondants — ils sont complémentaires. Le RGPD protège les données personnelles. L’AI Act encadre les systèmes d’IA eux-mêmes — leur conception, leur déploiement et leur utilisation.
Un système de scoring de crédit, par exemple, doit respecter :
- Le RGPD pour le traitement des données personnelles (base légale, AIPD, droits des personnes)
- L’AI Act pour la conception et le déploiement du système (classé « haut risque », soumis à des exigences de transparence, de documentation technique et d’audit)
Les entreprises qui abordent la conformité de manière intégrée — en traitant RGPD et AI Act dans un même cadre de gouvernance IA — sont mieux préparées que celles qui gèrent les deux réglementations en silos. Les biais algorithmiques sont un sujet où les deux cadres se recoupent directement : le RGPD interdit les discriminations dans les décisions automatisées, l’AI Act impose des audits de biais.
Préparer vos équipes à la conformité RGPD-IA
La conformité RGPD dans le contexte de l’IA ne se décrète pas — elle se construit au quotidien par les pratiques des équipes. Les DPO, les DSI, les métiers : tous doivent comprendre les interactions entre IA et données personnelles.
Brain intègre les enjeux RGPD et éthiques dans ses parcours de formation IA. Les collaborateurs apprennent à utiliser les outils d’IA en respectant le cadre réglementaire — pas comme une contrainte théorique, mais comme une pratique quotidienne intégrée à leurs usages.
Découvrez les formules Brain pour former vos équipes à l’IA responsable.
Articles similaires
AIPD et IA : guide pratique et template CNIL (2026)
Realisez votre AIPD pour l'IA avec la methodologie CNIL. Cas d'obligation, template telecharger et guide etape par etape pour entreprises.
Certification IA : ISO 42001, CertAI et couts (2026)
Choisissez la bonne certification IA pour votre entreprise. ISO 42001, CertAI : processus, couts et avantages concrets compares.
Charte IA entreprise : 8 points essentiels + modele
Redigez votre charte d'utilisation de l'IA avec ce modele concret. 8 points essentiels et exemples de formulations prets a adapter.