RGPD et IA générative : comment être conforme en 2026

Si vous êtes DSI, DPO ou dirigeant d'une PME française, une question vous est probablement déjà passée par la tête : mes salariés utilisent-ils ChatGPT avec des données clients ? La réponse est presque toujours oui, et le RGPD est très clair : c'est votre responsabilité, pas la leur.

En 2026, la CNIL a publié deux nouvelles recommandations pour encadrer l'usage professionnel de l'IA générative. Ce guide résume ce qui change, ce qui ne change pas, et ce qu'il faut mettre en place concrètement.

Ce que dit le RGPD quand un salarié utilise ChatGPT

Le RGPD (articles 5 et 6 pour la base légale, article 28 pour la sous-traitance) considère toute transmission de données personnelles à un outil tiers comme un traitement de données — quel que soit le canal utilisé.

Quand votre juriste copie-colle le CV d'un candidat dans ChatGPT pour le résumer, ou quand votre commercial envoie des coordonnées clients à un assistant IA pour rédiger un e-mail de prospection, trois obligations tombent automatiquement :

1. Base légale — il faut un fondement juridique (intérêt légitime, exécution contractuelle, consentement explicite). Le simple confort d'usage n'en est pas un.
2. Information des personnes — les clients doivent savoir que leurs données peuvent transiter par un sous-traitant.
3. Contrat de sous-traitance (DPA) — vous devez avoir signé un accord avec le fournisseur IA qui encadre usage, durée, sécurité et localisation.

Point crucial : ChatGPT.com en version gratuite ou Plus n'offre aucun DPA opposable. Seules les offres business (OpenAI API, Anthropic API, Microsoft Copilot Enterprise) fournissent un contrat conforme. Si vos salariés utilisent leur compte personnel, vous êtes hors des clous.

Les 3 zones de risque spécifiques à l'IA

1. Training des modèles sur vos données

ChatGPT.com, Gemini, Claude consumer : par défaut, vos conversations peuvent être utilisées pour améliorer les modèles. Cela viole l'article 5 du RGPD (minimisation et limitation des finalités) si aucune base légale n'a été établie.

Seules les API business contractualisent un Zero Training opposable. Demandez systématiquement la clause au contrat.

2. Transferts hors Union Européenne

OpenAI, Anthropic et Google sont des sociétés américaines. L'arrêt Schrems II (CJUE 2020) impose des garanties supplémentaires pour tout transfert hors UE.

Les solutions conformes aujourd'hui : soit un hébergement européen (Supabase sur AWS Frankfurt, Azure EU, OVH), soit des clauses contractuelles types + chiffrement. La majorité des PME passent par une passerelle qui maintient les données sensibles côté UE avant envoi à l'IA.

3. Droit à l'effacement (article 17)

Si un client exerce son droit à l'effacement, vous devez pouvoir garantir que ses données ne sont plus présentes dans vos systèmes — y compris dans les historiques IA. Sans traçabilité, c'est impossible à démontrer.

La solution : un audit log immuable qui enregistre qui a envoyé quoi, quand, et combien de tokens — sans stocker le contenu. Vous prouvez la conformité sans conserver les données.

Checklist d'audit 2026 (10 questions)

Parcourez cette liste avec votre DPO :

1. Combien de salariés utilisent ChatGPT, Gemini ou Claude dans leur travail quotidien ?
2. Existe-t-il une charte d'usage IA interne signée par les collaborateurs ?
3. Avez-vous signé un DPA avec chaque fournisseur IA utilisé ?
4. Les données transitent-elles par des serveurs hors UE ?
5. Le Zero Training est-il contractualisé par écrit ?
6. Les prompts contenant des données clients sont-ils loggés ?
7. Pouvez-vous répondre en 48h à une demande d'effacement ?
8. Le DPO a-t-il validé chaque outil IA en production ?
9. Les IBAN, NIR, emails sont-ils masqués avant envoi à l'IA ?
10. Les quotas d'usage sont-ils plafonnés pour éviter l'abus ?

Si vous répondez « non » à plus de 3 questions, vous êtes en zone de risque. Une amende CNIL peut atteindre 20 millions d'euros ou 4 % du CA mondial (article 83).

Les outils pour être conforme sans freiner la productivité

Trois approches existent, du moins au plus protecteur :

Option 1 — Blocage pur

Bloquer ChatGPT sur le réseau corporate. Simple mais inefficace : les salariés contournent via leur téléphone personnel (phénomène appelé Shadow AI). Pire : la direction perd toute visibilité.

Option 2 — ChatGPT Enterprise

Licence officielle OpenAI. Couvre le DPA et le Zero Training. Mais coûte 30 $/user/mois, nécessite un déploiement par équipes stratégiques, et ne résout ni le DLP ni l'audit immuable.

Option 3 — Passerelle IA gouvernée (SYNN)

Une interface type ChatGPT, hébergée en UE, qui applique un DLP Shield sur chaque prompt (masquage automatique des IBAN, NIR, cartes bancaires, emails), route vers plusieurs modèles selon la complexité, et génère un audit immuable sans stocker le contenu des conversations.

C'est l'approche que nous avons choisie chez SYNN pour les PME françaises. Coût : 14,90 € / user / mois pour la version Starter, 39 € pour la version Pro (multi-modèles).

Ce qu'il faut retenir

• Le RGPD s'applique intégralement à l'IA générative — pas de régime spécial.
• Le risque n°1 n'est pas l'outil que vous déployez. C'est l'outil que vos salariés utilisent sans vous le dire.
• Seule une passerelle avec DLP + audit + hébergement UE + DPA signé vous met complètement à l'abri.
• Le budget conformité est dérisoire face à l'amende maximale (20 M€ ou 4 % du CA).

Et la meilleure nouvelle : une passerelle correctement déployée augmente la productivité au lieu de la freiner. Vous gagnez en conformité et en performance.