RGPD et IA en PME : ce que vous devez vraiment savoir
Les obligations RGPD liées à l'utilisation de l'IA en PME en France : ce qui est permis, ce qui est risqué, et comment se conformer sans bloquer vos projets.
La question du RGPD est la première que soulèvent les dirigeants de PME quand on parle d’IA. Et souvent, elle est posée de la mauvaise façon : “Est-ce qu’on a le droit de faire ça ?” au lieu de “Comment peut-on faire ça correctement ?”
Voici ce que vous devez savoir pour avancer sans prendre de risques inutiles.
Ce que le RGPD encadre (et ce qu’il n’interdit pas)
Le RGPD s’applique dès lors que vous traitez des données personnelles — c’est-à-dire des données qui permettent d’identifier directement ou indirectement une personne physique. Noms, emails, numéros de téléphone, adresses IP, comportements en ligne : tout ça est concerné.
Ce que le RGPD n’interdit pas : utiliser des outils IA. Ce qu’il exige : que l’utilisation de ces outils soit encadrée par une base légale, que les personnes concernées soient informées, et que leurs droits soient respectés.
Les trois situations les plus courantes en PME
1. Vous utilisez un outil SaaS IA avec des données clients
Exemple : vous branchez un outil de résumé automatique sur votre boîte mail de support client.
Ce que ça implique : l’éditeur de l’outil traite des données personnelles pour votre compte. Il est votre sous-traitant au sens du RGPD. Vous devez avoir un contrat de traitement des données (DPA) signé avec lui. La plupart des éditeurs sérieux le proposent dans leurs conditions générales ou sur simple demande.
Ce que vous devez faire : vérifier la localisation des données (UE ou hors UE), signer le DPA, informer vos clients dans votre politique de confidentialité.
2. Vous analysez des données RH avec l’IA
Exemple : vous utilisez un outil pour analyser les CV entrants ou pour synthétiser des entretiens.
Ce que ça implique : les données RH sont particulièrement sensibles. La CNIL a émis des recommandations spécifiques sur l’utilisation de l’IA dans le recrutement : pas de décision entièrement automatisée (un humain doit rester dans la boucle), information explicite des candidats, durée de conservation limitée.
Ce que vous devez faire : mentionner l’utilisation de l’IA dans votre processus de recrutement, ne jamais laisser l’IA décider seule d’un rejet.
3. Vous utilisez l’IA générative pour des données internes
Exemple : vous uploadez des documents internes (contrats, factures) dans un outil d’IA pour les analyser.
Ce que ça implique : si ces documents contiennent des données personnelles (noms de clients, salaires, données médicales), leur transmission à un modèle IA doit être encadrée.
Ce que vous devez faire : utiliser des outils avec des engagements clairs de confidentialité, préférer les offres “enterprise” qui garantissent que vos données ne servent pas à entraîner les modèles, ou anonymiser les données avant de les transmettre.
Les mesures pratiques pour une PME conforme
- Inventoriez vos usages IA : listez tous les outils IA que votre équipe utilise, même informellement.
- Vérifiez les DPA : pour chaque outil traitant des données personnelles, vérifiez qu’un accord de traitement des données est en place.
- Mettez à jour votre politique de confidentialité : mentionnez l’utilisation d’outils IA dans le traitement des données.
- Formez votre équipe : les collaborateurs doivent savoir ce qu’ils peuvent (et ne peuvent pas) envoyer à des outils IA.
Le message clé : le RGPD n’est pas un obstacle à l’IA en PME. C’est un cadre. Les PME qui réussissent leur transformation IA l’intègrent dès le départ — elles n’en font pas un problème à résoudre après coup.