Aller au contenu
    RGPD
    Guide IA

    IA et RGPD : le cadre juridique que chaque PME doit connaître

    Votre chatbot collecte des données clients. Votre outil de scoring analyse des comportements d’achat. Votre assistant IA traite des CV. Dans chacun de ces cas, le RGPD s’applique — et l’AI Act ajoute une couche d’obligations supplémentaires à partir d’août 2026. Ce guide explique concrètement ce que le droit exige d’une PME qui utilise l’IA, comment articuler RGPD et AI Act sans se noyer dans le jargon juridique, et quelles actions prioriser pour être en conformité.

    En janvier 2026, la CNIL a infligé 42 millions d’euros d’amende à Free Mobile pour des manquements à la sécurité des données. Les sanctions RGPD ont bondi de 340 % en 2025, avec 87 sanctions prononcées par la CNIL (contre 42 en 2023) pour un total de 55,2 millions d’euros. Et 60 % des PME françaises ne sont toujours pas en conformité. L’IA amplifie le risque : chaque système d’intelligence artificielle qui traite des données personnelles est soumis au RGPD — et potentiellement à l’AI Act en plus.

    Le cadre juridique n’est pas un frein à l’innovation. C’est un socle qui sécurise vos projets, protège vos clients et renforce votre crédibilité. Encore faut-il savoir exactement ce qu’il exige.

    RGPD et IA : les principes qui s’appliquent à tout projet

    Le RGPD (Règlement Général sur la Protection des Données), en vigueur depuis 2018, encadre la collecte, le traitement et le stockage des données personnelles. Dès qu’un système d’IA traite des données qui permettent d’identifier une personne — nom, e-mail, adresse IP, données RH, comportement d’achat — le RGPD s’applique intégralement.

    Six principes du RGPD concernent directement les projets IA :

    • Base légale — tout traitement de données personnelles doit reposer sur une justification légale : consentement explicite, intérêt légitime, exécution d’un contrat ou obligation légale. Un chatbot qui collecte des données clients sans consentement est en infraction.
    • Minimisation — ne collecter que les données strictement nécessaires à la finalité du traitement. Un modèle de scoring n’a pas besoin de l’adresse postale du client s’il analyse uniquement le comportement d’achat.
    • Transparence — informer les personnes concernées de manière claire : quelles données sont collectées, pourquoi, par qui, pendant combien de temps. Si une IA intervient dans le traitement, l’utilisateur doit le savoir.
    • Limitation de la finalité — les données collectées pour un objectif précis ne peuvent pas être réutilisées pour un autre objectif sans nouvelle justification. Des données clients collectées pour le support ne peuvent pas alimenter un modèle marketing sans consentement supplémentaire.
    • Droit d’explication — les personnes affectées par une décision automatisée (refus de crédit, scoring, tri de CV) ont le droit d’obtenir une explication sur la logique du traitement et de contester la décision. C’est l’article 22 du RGPD, souvent méconnu.
    • Sécurité — protéger les données contre les accès non autorisés, les fuites et les pertes. En 2026, la CNIL exige des preuves techniques concrètes : MFA (authentification multifactorielle) obligatoire pour les accès VPN et systèmes critiques, journalisation des accès aux bases de données.

    AI Act + RGPD : deux textes qui s’additionnent

    L’AI Act (Règlement européen sur l’intelligence artificielle) ne remplace pas le RGPD. Il le complète. Le RGPD encadre les données personnelles. L’AI Act encadre les systèmes d’IA. Quand un système d’IA traite des données personnelles — ce qui est le cas dans la quasi-totalité des projets en entreprise — les deux textes s’appliquent simultanément.

    RGPD + AI Act : deux couches, pas un remplacement

    Le RGPD vous impose de respecter les droits des personnes dont vous traitez les données. L’AI Act vous impose de documenter, tester et surveiller le système d’IA lui-même. Une PME qui déploie un chatbot avec collecte de données clients doit se conformer au RGPD (consentement, information, sécurité) ET à l’AI Act (transparence, explicabilité si système à haut risque). Et potentiellement au Data Act (applicable depuis septembre 2025) si elle partage ces données avec des tiers.

    Le calendrier à retenir

    Date Ce qui entre en vigueur Impact PME
    Février 2025 Interdiction des pratiques IA « à risque inacceptable » Vérifier qu’aucun outil utilisé ne tombe dans cette catégorie (manipulation, scoring social)
    Août 2025 Obligations pour les modèles d’IA à usage général (GPAI) Concerne surtout les fournisseurs de modèles (OpenAI, Mistral). Les PME utilisatrices doivent vérifier la conformité de leurs fournisseurs.
    Août 2026 Obligations complètes pour les systèmes à haut risque Tri de CV, scoring client, notation des performances, décisions de crédit : documentation technique, supervision humaine, marquage CE requis
    2027 Obligations pour l’IA intégrée aux produits (machines, jouets, ascenseurs) Concerne les PME industrielles dont les produits intègrent de l’IA

    Les quatre niveaux de risque de l’AI Act et leurs obligations

    L’AI Act classe les systèmes d’IA en quatre catégories selon leur niveau de risque. Le niveau de risque ne dépend pas de la taille de l’entreprise, mais de l’usage précis de l’IA. Une PME artisanale qui utilise un outil de tri de CV est soumise aux mêmes obligations qu’un grand groupe.

    Risque inacceptable (interdit)

    Systèmes interdits depuis février 2025 : manipulation subliminale, exploitation des vulnérabilités liées à l’âge ou au handicap, scoring social par les autorités publiques, identification biométrique en temps réel dans l’espace public (sauf exceptions pour les forces de l’ordre). Aucune PME ne devrait utiliser ce type de système.

    Risque élevé (obligations lourdes, à partir d’août 2026)

    C’est la catégorie qui concerne le plus de PME. L’annexe III du règlement liste 8 domaines à haut risque, dont :

    • Emploi et RH — tri automatisé de CV, évaluation des candidats, notation des performances, décisions d’affectation ou de licenciement.
    • Accès au crédit — scoring de solvabilité, évaluation automatisée des risques financiers.
    • Services essentiels — systèmes d’IA utilisés dans l’éducation, la santé, l’accès aux services publics.

    Pour ces systèmes, les obligations incluent : documentation technique complète, système de gestion de la qualité, supervision humaine obligatoire, traçabilité des données d’entraînement, évaluation des biais et marquage CE.

    Risque limité (obligation de transparence)

    Les chatbots, les systèmes de génération de contenu (texte, image, audio) et les deepfakes doivent signaler clairement à l’utilisateur qu’il interagit avec une IA ou que le contenu a été généré par IA. C’est une obligation de transparence, pas de documentation technique lourde.

    Risque minimal (pas d’obligation spécifique)

    La grande majorité des outils IA utilisés en entreprise (correcteurs, assistants de rédaction, outils d’aide à la décision non critiques) relèvent de cette catégorie. Pas d’obligation AI Act spécifique — mais le RGPD continue de s’appliquer si des données personnelles sont traitées.

    Checklist de conformité pour une PME qui utilise l’IA

    01
    Cartographier tous vos systèmes d’IA

    Listez exhaustivement tous les outils utilisant de l’IA dans votre entreprise : chatbots, assistants de rédaction, outils de scoring, CRM avec IA intégrée, solutions RH. Incluez les outils développés en interne, achetés sur étagère ET intégrés à des solutions tierces. Pour chaque outil, documentez : quelles données sont traitées, quelle est la finalité, qui est le fournisseur.

    02
    Classer chaque système par niveau de risque AI Act

    Pour chaque outil identifié, déterminez s’il relève du risque minimal, limité, élevé ou inacceptable. Si vous utilisez un outil de tri de CV, de scoring client ou de notation des performances, vous êtes dans le haut risque. Si vous utilisez un chatbot grand public, c’est du risque limité (obligation de transparence uniquement).

    03
    Vérifier la conformité RGPD de chaque traitement

    Pour chaque système qui traite des données personnelles : identifiez la base légale, vérifiez que l’information aux personnes est claire, assurez-vous que la minimisation des données est respectée, documentez les mesures de sécurité. Mettez à jour votre registre des traitements en y ajoutant les systèmes IA.

    04
    Sécuriser les contrats fournisseurs

    Vérifiez les clauses de vos contrats avec les éditeurs de solutions IA : où sont hébergées les données ? Sont-elles utilisées pour entraîner le modèle ? Quelles garanties de conformité RGPD et AI Act le fournisseur offre-t-il ? Les transferts de données hors UE sont-ils encadrés ? Si vous utilisez des LLM (ChatGPT, Claude, Gemini), la question du traitement des données envoyées au modèle est centrale.

    05
    Mettre en place une gouvernance continue

    La conformité n’est pas un document PDF rangé dans un tiroir. Planifiez une révision annuelle : audit du registre, revue des contrats fournisseurs, test de votre procédure en cas de violation, mise à jour de la politique de confidentialité. Désignez un responsable (DPO, RSSI ou collaborateur formé) avec un accès direct à la direction.

    Les trois erreurs les plus courantes des PME

    1. Penser que la conformité RGPD suffit pour l’IA. Le RGPD couvre les données personnelles. L’AI Act ajoute des obligations sur le système lui-même : documentation technique, supervision humaine, évaluation des biais. Les deux textes se cumulent, ils ne se substituent pas. La bonne nouvelle : si vous êtes déjà en conformité RGPD, votre registre des traitements et vos analyses d’impact (PIA) constituent un socle solide pour la conformité AI Act.

    2. Considérer que seuls les grands groupes sont concernés. L’AI Act s’applique à toute entité qui développe, commercialise ou utilise des systèmes d’IA sur le marché européen, quelle que soit sa taille. Une PME de 20 salariés qui utilise un logiciel de scoring client est soumise aux mêmes obligations qu’un groupe du CAC 40 — si le système relève du haut risque.

    3. Ignorer les clauses de transfert de données des outils IA. Quand un collaborateur colle des données clients dans ChatGPT ou un outil IA tiers, les données quittent potentiellement l’UE et peuvent être utilisées pour l’entraînement du modèle. C’est un double manquement : violation du RGPD (transfert hors UE sans garantie) et violation de la confidentialité. Les versions « Entreprise » ou « Team » de ces outils offrent généralement des garanties contractuelles — mais il faut les vérifier et les documenter.

    Combien ça coûte de se mettre en conformité

    Le coût dépend de la taille de l’entreprise, du nombre de systèmes IA utilisés et du niveau de risque de chaque système.

    Poste Fourchette PME Détail
    Audit initial (cartographie + classification) 2 000 – 8 000 € Cartographie des systèmes IA, classification par niveau de risque, identification des écarts
    Mise en conformité RGPD (si pas encore fait) 3 000 – 15 000 € Registre des traitements, politique de confidentialité, PIA, contrats sous-traitants
    Documentation AI Act (systèmes haut risque) 5 000 – 20 000 € par système Documentation technique, système qualité, évaluation des biais, supervision humaine
    Formation des équipes 1 000 – 5 000 € Formation IA incluant le volet réglementaire, sensibilisation des collaborateurs
    Suivi annuel (audit + maintenance) 2 000 – 8 000 €/an Révision du registre, veille réglementaire, test des procédures, mise à jour documentation

    Pour une PME qui utilise des outils IA à risque minimal ou limité (chatbot, assistant de rédaction, BI), le coût de mise en conformité reste modeste : 3 000 à 10 000 euros pour l’audit initial et la mise à jour RGPD, puis 2 000 à 5 000 euros par an de suivi. Pour les systèmes à haut risque (tri de CV, scoring), le budget est plus conséquent mais reste gérable avec un accompagnement adapté.

    Conformité IA et RGPD : un investissement, pas une contrainte

    La convergence RGPD / AI Act / Data Act en 2026 crée un maillage réglementaire dense. Pour un dirigeant de PME, la complexité apparente peut décourager. Mais la réalité est plus simple qu’il n’y paraît : la grande majorité des outils IA utilisés en PME relèvent du risque minimal ou limité, et les obligations correspondantes sont raisonnables — transparence, information, sécurité des données.

    Les PME qui anticipent la conformité ne se contentent pas d’éviter les sanctions. Elles sécurisent leurs investissements IA, renforcent la confiance de leurs clients et se positionnent comme des partenaires fiables dans un marché où la protection des données devient un critère de sélection. Selon une étude de la DGE, le coût de mise en conformité AI Act pour une PME utilisatrice de systèmes à haut risque représente entre 2 000 et 8 000 euros par an — un montant marginal rapporté au budget total d’un projet IA.

    La méthode la plus efficace : commencez par un audit de maturité IA qui intègre le volet réglementaire. Cartographiez vos systèmes, classez-les par risque, identifiez les écarts et traitez-les par priorité. Si vous êtes déjà en conformité RGPD, vous avez fait la moitié du chemin.

    Aller plus loin
    L’IA pour votre entreprise

    Guides, outils, agences et méthode — tout ce qu’un dirigeant doit savoir pour intégrer l’IA dans son entreprise.

    Explorer la rubrique Entreprise
    Mise à jour : mars 2026