Dernière revue : 26 mai 2026

Comment le RGPD s'applique-t-il à l'IA ? Définition et enjeux pour l'entreprise

Le RGPD encadre tout traitement de données personnelles par un système d'IA opéré en Europe ou concernant des Européens. Quatre obligations s'appliquent en priorité : finalité explicite, minimisation des données, droits d'accès et d'opposition, et étude d'impact pour les traitements à risque élevé.

Le Règlement général sur la protection des données (RGPD, règlement européen 2016/679) s'applique à tout système d'IA dès lors qu'il traite des données personnelles (nom, email, adresse IP, historique d'achat, image, voix). Quatre obligations structurent l'analyse pour les déploiements IA. La finalité explicite : un système IA ne peut traiter des données que pour des usages clairement définis à l'avance et notifiés aux personnes concernées. La minimisation : on ne traite que les données strictement nécessaires à la finalité, pas plus. Les droits des personnes : accès, rectification, opposition, portabilité, effacement. L'étude d'impact (DPIA, Data Protection Impact Assessment) : obligatoire pour tout traitement IA à risque élevé pour les droits et libertés, ce qui couvre la plupart des cas d'usage entreprise non-triviaux. La CNIL a publié en 2024 des guidelines spécifiques sur l'IA, qui font autorité en France et sont reprises au niveau européen via l'EDPB.

Exemple concret

Une entreprise française de e-commerce déploie un chatbot IA pour son service client. Trois questions RGPD à trancher avant la mise en production. Premièrement, sur quelle base juridique le traitement repose-t-il (consentement, intérêt légitime, exécution contractuelle) ? Deuxièmement, les conversations sont-elles transmises à un sous-traitant hors UE (OpenAI, Anthropic via API) ? Si oui, une clause contractuelle type et une analyse de transfert (TIA) sont requises. Troisièmement, combien de temps les conversations sont-elles conservées ? Sans réponse précise sur ces trois points, le déploiement est juridiquement fragile, et la CNIL peut prononcer une amende administrative pouvant atteindre 4 % du chiffre d'affaires mondial du groupe.

À exiger contractuellement

Six clauses RGPD à exiger de tout fournisseur IA traitant des données personnelles pour vous. Premièrement, une qualification claire des rôles : qui est responsable de traitement (vous, le plus souvent), qui est sous-traitant (le fournisseur), avec leurs obligations respectives au sens des articles 26 et 28 du RGPD. Deuxièmement, une cartographie des transferts hors UE et les garanties associées (CCT, BCR, décision d'adéquation). Troisièmement, la durée et les modalités de conservation des données par le fournisseur (logs, prompts, sorties). Quatrièmement, le droit d'audit, exercé à vos frais, sur la conformité RGPD du sous-traitant. Cinquièmement, l'obligation de notification d'incident dans les 24 heures (contre 72 heures pour la déclaration à la CNIL). Sixièmement, la procédure d'exercice des droits des personnes : qui les reçoit, qui y répond, dans quels délais.

À voir aussi

Pour aller plus loin

Recommandations de la CNIL sur l'IA, 2024 (ressource externe)

Sources

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD). https://eur-lex.europa.eu/eli/reg/2016/679/oj (consulté le 2026-05-24)
Intelligence artificielle, recommandations et guides, CNIL, 2024. https://www.cnil.fr/fr/intelligence-artificielle (consulté le 2026-05-24)

← Retour au glossaire