IA et RGPD : ce que vous devez savoir sur vos données personnelles

Quand vous posez une question à ChatGPT, Claude ou Gemini, vous lui transmettez du texte. Parfois un nom, une adresse, un contexte professionnel ou un problème de santé. Or ce texte, c’est de la donnée. Et en Europe, dès qu’une donnée permet d’identifier une personne, le RGPD s’applique. Autrement dit, il n’y a pas d’exception pour l’intelligence artificielle.

Ce que le RGPD impose aux systèmes d’IA

Le Règlement Général sur la Protection des Données est en vigueur depuis 2018. Il repose sur des principes clairs : toute collecte de données personnelles doit avoir une base légale et une finalité définie. De plus, elle doit respecter un principe de minimisation — ne collecter que ce qui est nécessaire. Les personnes concernées disposent alors de droits d’accès, de rectification, d’opposition et d’effacement.

Ces principes s’appliquent également aux systèmes d’IA. En effet, quand un modèle de langage est entraîné sur des textes contenant des noms ou des données médicales, il traite des données personnelles. Le Comité européen de la protection des données (CEPD) l’a confirmé dans son avis de décembre 2024. Selon lui, les modèles d’IA restent soumis au RGPD dans de nombreux cas, car ils sont capables de mémoriser et de restituer ces informations.

Le problème concret : la mémorisation des modèles

Un modèle de langage ne stocke pas de base de données au sens classique. En revanche, il mémorise des fragments de ses données d’entraînement. Ainsi, des chercheurs ont démontré qu’il est possible d’extraire d’un modèle des informations personnelles présentes dans son corpus. On parle de numéros de téléphone, d’adresses ou d’extraits de correspondances. Ce n’est pas théorique : c’est documenté et reproductible.

C’est précisément ce risque qui a conduit la CNIL, l’ANSSI, le PEReN et Inria à lancer le projet PANAME en juin 2025. Cet outil open source permet d’auditer la résistance d’un modèle aux tentatives d’extraction de données personnelles. Il est actuellement en phase de test. Un appel à manifestation d’intérêt est d’ailleurs ouvert jusqu’au 28 mars 2026 pour les entreprises et administrations souhaitant tester la librairie. L’enjeu est simple : déterminer si un modèle peut être considéré comme anonyme au sens du RGPD. Si oui, il sort du champ d’application. Sinon, il reste soumis à l’ensemble de ses obligations.

AI Act + RGPD : la double couche réglementaire

Deux textes complémentaires

Depuis août 2024, l’AI Act s’applique progressivement aux côtés du RGPD. Les deux textes ne sont pas redondants. En effet, le RGPD protège les données personnelles, tandis que l’AI Act encadre les systèmes d’IA selon leur niveau de risque. Or, dans la quasi-totalité des usages professionnels, un système d’IA traite des données personnelles. Par conséquent, les deux réglementations s’appliquent alors simultanément.

Ce qui est déjà interdit

Depuis février 2025, certaines utilisations de l’IA sont purement interdites en Europe. C’est le cas du scoring social, de la reconnaissance des émotions au travail ou à l’école, et de la manipulation subliminale de comportements. L’identification biométrique à distance en temps réel est également bannie. Quant aux obligations pour les systèmes à haut risque (tri de CV, scoring de crédit, diagnostic médical), elles entreront en vigueur entre août 2026 et août 2027.

La CNIL en première ligne

En France, la CNIL est désormais l’autorité compétente pour le RGPD et pour l’AI Act. En 2025, elle a prononcé 83 sanctions, pour un montant cumulé de près de 487 millions d’euros. Parmi les cas marquants : 42 millions infligés à Free pour défaut de sécurité sur 24 millions d’abonnés. France Travail a également écopé de 5 millions d’euros. Par ailleurs, 3,5 millions ont sanctionné la transmission de données à un réseau social sans consentement. Le message est clair : les sanctions ne sont plus réservées aux GAFAM.

Le Digital Omnibus : la bataille en cours

Le 19 novembre 2025, la Commission européenne a proposé le « Digital Omnibus ». Ce projet vise à simplifier cinq réglementations numériques d’un coup, dont le RGPD et l’AI Act. Parmi les mesures les plus sensibles : d’abord, faciliter l’entraînement de modèles d’IA sans consentement explicite via l’intérêt légitime. Ensuite, restreindre la définition même de « donnée personnelle ». Enfin, reporter les obligations de conformité pour les systèmes à haut risque à décembre 2027.

La réaction des autorités de protection des données a été sans ambiguïté. Le 11 février 2026, le CEPD et l’EDPS ont publié un avis conjoint. Ils demandent le rejet pur et simple de la modification de la définition des données personnelles. Selon eux, cette proposition est contraire à la jurisprudence de la Cour de Justice de l’UE. De son côté, l’organisation noyb a qualifié le texte de « plus grande attaque contre les droits numériques européens depuis des années ». Le texte est encore en discussion au Parlement et au Conseil. Son adoption n’est donc pas acquise.

Ce que ça change pour vous en 2026

Si vous utilisez des outils d’IA

Tout ce que vous saisissez dans un prompt peut constituer une donnée personnelle. Cela inclut un nom de client, un contexte médical ou un litige. Or les conditions d’utilisation varient selon les outils : certains utilisent vos données pour entraîner leurs modèles, d’autres non. Il est donc nécessaire de vérifier systématiquement. Un réflexe simple : ne saisissez jamais de données sensibles sans garantie de confidentialité contractuelle.

Si vous déployez de l’IA en entreprise

Alors vous êtes responsable de traitement au sens du RGPD. Cela implique d’abord de documenter le traitement, puis d’informer les personnes concernées. Vous devez également réaliser une analyse d’impact (AIPD) si le système prend des décisions automatisées. Par ailleurs, le droit de ne pas faire l’objet d’une décision exclusivement automatisée existe dans le RGPD (article 22). Si votre outil trie des candidatures ou refuse un crédit sans intervention humaine, vous êtes donc potentiellement en infraction.

Si vous travaillez dans la santé

La HAS et la CNIL ont publié le 5 mars 2026 un guide conjoint sur l’IA en contexte de soins. Il est actuellement en consultation publique jusqu’au 16 avril 2026. Le constat de départ est parlant : 65 % des hôpitaux publics utilisent déjà des systèmes d’IA. Le guide couvre ainsi l’ensemble du cycle de vie, de l’acquisition à la désinstallation. Il inclut également des fiches dédiées à l’IA générative. Si vous êtes professionnel de santé, c’est donc le moment de participer.

Ce que cela change pour vous

Le RGPD n’est pas un frein à l’utilisation de l’IA. C’est avant tout un cadre qui protège vos données et celles de vos clients. D’ailleurs, le plan stratégique 2025-2028 de la CNIL confirme que l’IA reste au centre de ses priorités. L’autorité surveille en particulier les modèles d’IA générative, les applications mobiles et la protection des mineurs.

En pratique, trois réflexes à adopter. D’abord, vérifier les conditions d’utilisation de chaque outil IA que vous employez. Ensuite, documenter vos traitements si vous déployez de l’IA en contexte professionnel. Enfin, considérer la conformité comme un avantage concurrentiel plutôt qu’une contrainte administrative. Les entreprises qui maîtrisent ce cadre ne sont pas ralenties — elles inspirent confiance. Et dans un environnement où les sanctions se comptent en centaines de millions d’euros, cette confiance a une valeur très concrète.