Scabera
Back to blog
Trust

RGPD et IA générative : ce que les DPO doivent savoir en 2026

Scabera Team
10 min de lecture
2026-03-15

Ce que les DPO doivent savoir en 2026 : la question "peut-on utiliser ChatGPT ?" n'est pas une question technique — c'est une question de gouvernance. La réponse correcte ne porte pas sur les paramètres du modèle, mais sur la licéité du traitement, la qualification du sous-traitant et les droits des personnes concernées. Sans répondre à ces trois points en amont, tout déploiement d'IA générative crée une exposition RGPD réelle.

Le scénario : un lundi matin au bureau du DPO

Il est 9h15. Le directeur marketing frappe à la porte du DPO — ou lui envoie un message Teams, ce qui revient au même. La question est formulée avec la légèreté habituelle : "On voudrait utiliser ChatGPT pour rédiger nos campagnes et synthétiser les retours clients. C'est bon de notre côté ?"

Le DPO reconnaît immédiatement le type de demande. Ni malveillante, ni naïve — simplement formulée depuis un angle fonctionnel qui ignore les couches juridiques en dessous. Le directeur marketing veut avancer. Il a vu des démos convaincantes. Son équipe perd du temps à rédiger des briefs. La question lui semble avoir une réponse simple.

Elle n'en a pas. Pas parce que la réponse est "non". Mais parce que la question posée n'est pas la bonne question.

La vraie question derrière la demande

Quand un collaborateur demande si l'on "peut utiliser ChatGPT", il pose en réalité plusieurs questions imbriquées auxquelles ni lui ni son manager n'ont encore pensé :

  • Quelles données seront saisies dans le système ? Des briefs internes seulement ? Des données clients ? Des verbatims issus d'enquêtes de satisfaction ? Des données RH pour rédiger des fiches de poste ?
  • Ces données contiennent-elles des données personnelles au sens de l'article 4 du RGPD ? Un verbatim client qui mentionne un nom, une adresse ou une situation particulière — oui. Un brief de campagne sans référence à une personne physique identifiable — probablement non.
  • OpenAI (ou l'outil équivalent) est-il qualifié comme sous-traitant ou comme responsable de traitement indépendant ? La réponse conditionne l'ensemble de l'architecture contractuelle.
  • Les données saisies servent-elles à entraîner les modèles du fournisseur ? Par défaut, certaines configurations le permettent. L'opt-out existe mais n'est pas systématiquement activé.
  • Où les données sont-elles traitées ? Les serveurs d'OpenAI sont majoritairement situés aux États-Unis, ce qui soulève la question des transferts hors EEE au titre du chapitre V du RGPD.

Aucune de ces questions n'apparaît dans la demande originale. Mais toutes sont juridiquement pertinentes. Le rôle du DPO est précisément d'y répondre avant que le traitement ne commence — non pas après le premier incident.

La mauvaise réponse : le réflexe technique

Face à cette demande, beaucoup de DPO — surtout ceux dont le profil est plus informatique que juridique — tombent dans ce que l'on pourrait appeler le réflexe technique. La réponse ressemble à :

"ChatGPT envoie vos données aux serveurs d'OpenAI aux États-Unis via une API REST chiffrée en TLS 1.3. OpenAI propose un DPA conforme RGPD avec des clauses contractuelles types SCCs approuvées par la Commission. Si vous activez l'option 'API sans entraînement', les données ne sont pas réutilisées pour le fine-tuning. La rétention des données côté OpenAI est de 30 jours par défaut."

Ce type de réponse n'est pas faux. Il est incomplet — et dangereux précisément parce qu'il est partiellement vrai. Il donne l'impression que la conformité est une case à cocher, une configuration à activer. Il ne répond pas à la vraie question.

Le directeur marketing repart avec une fausse sécurité. L'équipe déploie l'outil. Trois mois plus tard, quelqu'un saisit par mégarde un tableau Excel avec des noms de clients prospects. Personne n'a documenté les catégories de données traitées. Il n'y a pas d'entrée dans le registre des activités de traitement. L'AIPD n'a pas été réalisée. Et le DPO découvre la situation lors d'un audit interne.

La bonne réponse : le cadrage juridique et gouvernance

La réponse correcte à "peut-on utiliser ChatGPT ?" est structurée en trois temps. Elle prend plus de quinze minutes à formuler. Elle conditionne la réponse à des clarifications préalables. Et elle produit un plan d'action, pas une autorisation.

1. Cartographier le traitement avant de répondre

Avant toute décision, le DPO doit obtenir la réponse à une question simple : quelles données seront concrètement saisies dans le système ? Cette cartographie n'est pas optionnelle. Elle détermine si le RGPD s'applique, sous quelle forme, et avec quelle intensité.

Si les données saisies sont exclusivement des éléments de contexte métier sans référence à des personnes physiques identifiables (un brief produit, une stratégie de campagne, des éléments de charte éditoriale), le RGPD ne s'applique pas au sens strict. Le risque principal est alors de nature confidentielle-commerciale, pas réglementaire.

Si les données incluent des verbatims clients, des informations de contact, des données RH ou tout autre élément permettant d'identifier directement ou indirectement une personne physique, le RGPD s'applique dans sa pleine rigueur.

2. Qualifier la relation avec le fournisseur

La CNIL a publié des recommandations spécifiques sur l'IA générative, notamment dans sa fiche pratique sur les IA génératives publiée en 2024, qui précise les critères de qualification des fournisseurs d'IA comme sous-traitants ou responsables de traitement conjoints. Cette qualification n'est pas cosmétique — elle détermine quelles obligations contractuelles s'appliquent et qui est responsable en cas d'incident.

Pour les API d'IA générative utilisées dans un contexte professionnel avec des données d'entreprise, la qualification de sous-traitant est généralement retenue si :

  • Le fournisseur traite les données exclusivement pour fournir le service contracté
  • Il n'utilise pas les données à ses propres fins (entraînement de modèles, analyse commerciale)
  • Il existe un DPA conforme à l'article 28 du RGPD signé entre les parties

La CNIL rappelle dans ses recommandations de 2024 que l'existence d'un DPA ne suffit pas à elle seule — le contenu du DPA doit couvrir les obligations de l'article 28 de façon substantielle, notamment les mesures de sécurité, la limitation de la sous-traitance ultérieure et les obligations en cas de violation.

3. Traiter la question des transferts hors EEE

OpenAI, Anthropic, Google (Gemini) et la majorité des fournisseurs d'IA générative grand public opèrent depuis des infrastructures majoritairement situées aux États-Unis. Le transfert de données personnelles vers les États-Unis est encadré par le Data Privacy Framework (DPF) EU-États-Unis, adopté en juillet 2023 et qui remplace le Privacy Shield invalidé par l'arrêt Schrems II.

OpenAI est certifié DPF depuis mars 2024. Cela signifie que les transferts de données personnelles vers OpenAI bénéficient d'une présomption d'adéquation — mais cette présomption peut être renversée par des décisions politiques ou judiciaires, comme cela s'est produit deux fois déjà avec les mécanismes précédents. Les DPO qui traitent des données sensibles ou à forts enjeux réglementaires (données de santé, données financières, données RH) devraient envisager des alternatives souveraines ou des déploiements sur site pour réduire cette exposition structurelle.

Les quatre documents à produire avant tout déploiement

Une fois la cartographie du traitement établie et les qualifications clarifiées, le DPO doit s'assurer que quatre documents existent avant que l'outil soit mis en production. En l'absence de l'un d'entre eux, le déploiement expose l'organisation à un manquement documenté en cas de contrôle CNIL.

1. L'entrée au registre des activités de traitement (RAT)

Article 30 du RGPD. Obligatoire pour tout traitement impliquant des données personnelles. L'entrée doit documenter : la finalité du traitement, les catégories de données concernées, les catégories de personnes concernées, les destinataires, la durée de conservation et les mesures de sécurité mises en œuvre. Pour un outil d'IA générative, documenter aussi le fournisseur en tant que sous-traitant et référencer le DPA signé.

2. L'Analyse d'Impact relative à la Protection des Données (AIPD)

Article 35 du RGPD. La CNIL a publié des lignes directrices précisant que les systèmes d'IA qui traitent des données à grande échelle ou qui comportent un profilage automatisé sont dans la plupart des cas soumis à l'obligation d'AIPD. Pour l'IA générative appliquée à des données clients ou RH, l'AIPD est quasi-systématiquement requise. Elle doit évaluer : la nécessité et la proportionnalité du traitement, les risques pour les droits et libertés des personnes, et les mesures d'atténuation retenues.

La CNIL propose un outil en ligne — PIA (Privacy Impact Assessment) — qui structure la démarche et peut être utilisé directement par les équipes conformité.

3. La note d'information aux personnes concernées

Articles 13 et 14 du RGPD. Si des données clients sont traitées par l'IA générative, les personnes concernées doivent être informées de ce traitement. Les mentions d'information existantes (sur le site web, dans les CGU, dans les contrats) doivent être mises à jour pour couvrir explicitement le traitement par IA. Cette mise à jour est souvent négligée et constitue l'un des premiers points d'examen lors d'un contrôle CNIL.

4. La procédure interne d'utilisation (charte ou politique d'usage)

Ce document n'est pas imposé directement par le RGPD, mais il est indispensable pour maîtriser le risque opérationnel. Il doit définir : quels types de données peuvent être saisis dans l'outil (liste positive et liste négative), qui est autorisé à utiliser l'outil, dans quels contextes, avec quelles précautions. Sans cette procédure, l'incident du tableau Excel clients mentionné plus haut n'est qu'une question de temps.

Ce que dit la CNIL en 2024-2026

La CNIL a significativement intensifié ses travaux sur l'IA générative ces deux dernières années. Plusieurs publications méritent l'attention des DPO :

  • Recommandations sur les IA génératives (juin 2024) : la CNIL a publié ses premières recommandations opérationnelles sur les conditions dans lesquelles les organisations peuvent utiliser des IA génératives de manière conforme. Elle y précise notamment les conditions de la qualification de sous-traitant, les exigences minimales d'un DPA valide pour ce contexte, et les critères d'évaluation des risques pour les personnes concernées.
  • Mise en demeure de Clearview AI et sanctions contre des acteurs IA (2023-2024) : plusieurs décisions de sanction de la CNIL illustrent concrètement les manquements les plus fréquemment constatés — collecte sans base légale, absence de DPA, transferts non encadrés. Ces décisions sont publiques et constituent une jurisprudence opérationnelle utile.
  • Position sur le Data Privacy Framework : la CNIL a publié une analyse des implications du DPF pour les transferts vers les États-Unis, avec des recommandations sur les secteurs et types de données pour lesquels des garanties complémentaires restent recommandées malgré la certification DPF.
  • Coordination avec le CEPD (Comité européen de la protection des données) : en 2025, le CEPD a publié des lignes directrices sur l'IA générative au niveau européen, auxquelles la CNIL s'est alignée. Ces lignes directrices clarifient le traitement des données d'entraînement, les droits à l'effacement dans le contexte des LLM, et les conditions de la prise de décision automatisée via IA générative.

Le cas particulier des données sensibles

L'article 9 du RGPD interdit par principe le traitement des données sensibles — données de santé, données révélant des opinions politiques, des croyances religieuses, des données biométriques ou génétiques, données relatives à la vie sexuelle ou à l'orientation sexuelle — sauf exceptions limitativement énumérées.

Les DPO doivent être particulièrement vigilants sur ce point dans le contexte de l'IA générative, car les données sensibles peuvent s'introduire dans les prompts de façon non intentionnelle. Un collaborateur RH qui demande à l'IA de rédiger un compte-rendu d'entretien peut inclure des éléments de santé ou de situation personnelle. Un juriste qui soumet un dossier à synthétiser peut y inclure des données couvertes par le secret professionnel.

La procédure interne d'usage (voir ci-dessus) doit explicitement interdire la saisie de données de l'article 9 dans les outils d'IA générative non déployés en environnement souverain. Pour les organisations traitant régulièrement des données sensibles, la seule option conforme est un déploiement sur site ou en cloud souverain, où les données ne quittent pas le périmètre de l'organisation.

IA générative et décisions automatisées : la frontière de l'article 22

L'article 22 du RGPD protège les personnes contre des décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. Les DPO doivent évaluer si les cas d'usage d'IA générative déployés dans leur organisation franchissent cette frontière.

Exemples à risque : utilisation de l'IA pour présélectionner des CV sans revue humaine intermédiaire ; génération automatique d'un score de crédit ou d'assurance à partir de données clients ; rédaction automatisée de décisions administratives ou contractuelles envoyées directement sans relecture.

Exemples hors champ de l'article 22 si une supervision humaine réelle est en place : synthèse de documents pour aider un analyste qui prend ensuite sa propre décision ; rédaction de premier jet soumis à révision humaine systématique ; traduction ou reformulation de contenu.

La distinction est opérationnelle autant que juridique. Les architectures d'IA avec citations obligatoires qui montrent leurs sources facilitent la supervision humaine et réduisent le risque de franchissement de la frontière article 22 de façon non intentionnelle.

Questions fréquemment posées — RGPD et IA générative en 2026

ChatGPT Enterprise est-il conforme au RGPD ?

ChatGPT Enterprise offre des garanties contractuelles plus fortes que la version grand public : DPA conforme RGPD signable, désactivation de l'entraînement sur les données clients, hébergement européen possible selon les configurations. Ces garanties peuvent permettre un déploiement conforme, mais elles ne dispensent pas le DPO de réaliser la cartographie du traitement, l'AIPD si requise, et la mise à jour du registre. La conformité est l'affaire de l'organisation, pas du seul fournisseur.

Faut-il une base légale spécifique pour utiliser l'IA générative ?

Oui, si l'outil traite des données personnelles. La base légale dépend du contexte : intérêt légitime (le plus couramment invoqué pour des usages internes) avec test d'équilibre documenté ; exécution d'un contrat si l'outil est utilisé directement dans le cadre d'une prestation client ; consentement dans les cas de traitements non nécessaires à la relation commerciale. Le consentement est rarement la base appropriée en contexte B2B.

Comment gérer les demandes de droit à l'effacement impliquant des données saisies dans une IA générative ?

Si des données personnelles ont été saisies dans un outil d'IA générative hébergé par un tiers, une demande d'effacement valide au titre de l'article 17 doit être transmise au fournisseur en tant que sous-traitant. Le DPA doit prévoir cette possibilité. Si le fournisseur a utilisé les données pour l'entraînement malgré les clauses contractuelles, la situation devient techniquement complexe (machine unlearning) et potentiellement litigieuse. C'est l'une des raisons pour lesquelles les déploiements sur site ou en cloud souverain simplifient structurellement la conformité.

Un collaborateur qui utilise ChatGPT sur son poste personnel engage-t-il la responsabilité de l'entreprise ?

Oui, si les données saisies sont des données personnelles traitées dans le cadre de l'activité professionnelle. Le fait que le collaborateur utilise un outil non approuvé (IA fantôme) ne décharge pas l'organisation de sa responsabilité en tant que responsable de traitement. La procédure interne d'usage et la sensibilisation des collaborateurs sont essentielles pour maîtriser ce risque. La CNIL a rappelé dans ses recommandations que les organisations ont l'obligation de mettre en place des mesures organisationnelles pour prévenir ces usages non encadrés.

Les modèles d'IA hébergés sur site (on-premise) sont-ils exempts de problématiques RGPD ?

Pas entièrement — le RGPD s'applique dès lors que des données personnelles sont traitées, quel que soit le lieu d'hébergement. Mais le déploiement sur site résout structurellement les questions de transferts hors EEE, de sous-traitance externe et de risques liés à la sécurité du fournisseur. Il simplifie l'AIPD, le registre de traitement et la gestion des droits des personnes. Pour les organisations traitant des données sensibles ou opérant dans des secteurs fortement régulés, c'est souvent l'architecture qui minimise l'exposition réglementaire nette.

Quelles sanctions risque-t-on en cas de déploiement non conforme d'une IA générative ?

Les sanctions RGPD peuvent atteindre 4% du chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé étant retenu). Au-delà des amendes, les sanctions CNIL incluent des injonctions de mise en conformité, des interdictions temporaires de traitement, et la publication des décisions — avec un impact réputationnel direct. En pratique, les premières actions CNIL sur l'IA générative ciblent les manquements documentaires (absence de DPA, absence de registre, absence d'AIPD) avant les manquements techniques.

Ce que le DPO devrait dire le lundi matin

Revenons à notre directeur marketing. Voici comment la réponse du DPO devrait structurer la conversation :

"Je ne peux pas vous dire 'oui' ou 'non' sans qu'on cartographie ensemble ce que vous allez mettre dans le système. Si c'est des briefs internes sans données clients, on peut avancer rapidement. Si c'est des verbatims clients ou des données RH, on a quelques étapes obligatoires — registre, AIPD probablement, mise à jour des mentions légales. Ça prend deux à quatre semaines selon ce qu'on trouve. Ce que je vous propose : envoyez-moi la liste des types de données que votre équipe voudrait saisir, et je vous reviens avec un plan précis d'ici la fin de semaine."

Cette réponse n'est pas un blocage. C'est une méthode. Elle cadre le risque, propose une action concrète, et donne un délai. Elle transforme une demande d'autorisation en un processus de mise en conformité — ce qui est précisément le rôle du DPO.

Les organisations qui ont mis en place une gouvernance IA structurée en amont — avec un framework de classification des données, des modèles d'AIPD adaptés aux outils d'IA générative, et des procédures d'usage documentées — réduisent ce délai à quelques jours plutôt que quelques semaines. La conformité RGPD sur l'IA générative n'est pas un frein à l'innovation : c'est une condition pour déployer durablement.

Pour voir comment Scabera aide les équipes conformité à déployer des systèmes d'IA générative sur site avec un cadre documentaire complet, demandez une démonstration.

See Scabera in action

Book a demo to see how Scabera keeps your enterprise knowledge synchronized and your AI trustworthy.

Book a demo