IA en entreprise et RGPD : ce que vous devez vérifier avant de signer

Pourquoi le sujet RGPD est devenu critique pour l'IA

Une solution d'IA en entreprise traite par définition de la donnée : emails clients, contacts, contrats, factures, parfois des informations sensibles (RH, santé, données médicales pour la maintenance d'équipements hospitaliers, etc.). Le RGPD s'applique pleinement, avec une exigence supplémentaire : l'IA ajoute une couche de sous-traitance (le modèle d'IA est souvent hébergé chez un tiers : OpenAI, Anthropic, etc.).

La CNIL a publié en 2024 ses recommandations IA et durci les contrôles en 2025. Une amende RGPD plafonne à 4 % du CA mondial, et la jurisprudence s'étoffe. Le sujet n'est plus théorique.

1. Demandez un DPA (Data Processing Agreement) signé

Un éditeur sérieux signe systématiquement un DPA avec ses clients. Ce document encadre la sous-traitance des données, identifie les sous-traitants ultérieurs (Anthropic, OpenAI, etc.) et précise les obligations de chaque partie. Si l'éditeur refuse de signer un DPA, ou propose un document générique non négociable, c'est un drapeau rouge.

2. Vérifiez où sont hébergées les données

Pour une PME française, l'hébergement France ou Union européenne est clairement préférable. Les transferts hors UE (États-Unis notamment) sont autorisés mais nécessitent un cadre juridique précis (Clauses Contractuelles Types, accord UE–US Data Privacy Framework). Demandez :

• Où est hébergée la base de données ?
• Où sont stockés les fichiers (PDF, Excel, etc.) ?
• Où tourne le modèle d'IA (OpenAI = US, Anthropic = US, Mistral = France) ?

Une solution qui héberge en France et fait appel à un modèle d'IA US doit le documenter dans le DPA. Pas de mention = problème.

3. Vérifiez la « Zero Data Retention » côté modèle IA

Quand l'éditeur envoie vos données à un modèle d'IA (Claude, GPT, Gemini, etc.), ces données ne doivent pas être conservées pour entraîner le modèle. Anthropic et OpenAI proposent des modes « Zero Data Retention » qui garantissent qu'aucune trace n'est conservée au-delà du temps de traitement de la requête. Vérifiez que c'est activé. Sans ZDR, vos données client peuvent finir dans le corpus d'entraînement d'un modèle public.

4. Demandez la liste des sous-traitants ultérieurs

Le RGPD impose une transparence totale sur la chaîne de sous-traitance. Un éditeur IA travaille typiquement avec : un hébergeur cloud (AWS, GCP, Azure ou équivalent européen), un fournisseur de modèle IA (Anthropic, OpenAI, etc.), un outil de monitoring (Sentry, Datadog), un service d'envoi d'emails (Resend, SendGrid). Chacun doit être listé dans le DPA, et chaque entrée doit avoir son propre niveau de conformité documenté.

5. Chiffrement au repos et en transit

Standard minimum en 2026 : chiffrement TLS 1.3 en transit, AES-256 au repos. Les credentials d'intégration (Cegid, Praxedo, IMAP, etc.) doivent être chiffrés avec une clé maître non accessible aux opérateurs de la plateforme. Demandez la documentation technique sur ces points — pas un argument marketing générique.

6. Isolation des données entre clients

Une plateforme SaaS multi-tenant doit garantir l'isolation stricte des données entre clients. Aucune requête, aucune recherche, aucun cache ne doit permettre à un client A de voir des données du client B. Demandez à l'éditeur comment cette isolation est implémentée : au niveau base de données, application, ou les deux. Une isolation « applicative seule » est risquée.

7. Audit log exhaustif et accessible

Toute action effectuée sur vos données (lecture, modification, suppression, partage avec un tiers, action automatique de l'IA) doit être tracée et consultable. Le RGPD impose la capacité de prouver, en cas de contrôle, qui a accédé à quoi, quand et pourquoi. Une plateforme qui ne vous donne pas accès à ses logs d'audit n'est pas conforme.

8. Droit à l'effacement et à la portabilité

Vos données vous appartiennent. À tout moment, vous devez pouvoir : exporter l'intégralité de vos données dans un format standard (JSON, CSV), demander la suppression définitive de tout ou partie de ces données, anonymiser les références à une personne (collaborateur parti, client supprimé). L'éditeur doit pouvoir vous fournir une procédure documentée et un délai d'exécution.

9. Notification d'incident de sécurité

En cas de violation de données, le RGPD impose une notification à la CNIL dans les 72 heures. L'éditeur, en tant que sous-traitant, doit vous prévenir sans délai pour vous permettre de remplir cette obligation. Cette clause doit figurer noir sur blanc dans le DPA.

10. Documentation publique et accessible

Un éditeur sérieux publie sa politique de confidentialité, sa politique de sécurité, ses CGU et son DPA sur son site web. Si vous devez les demander au commercial pour les obtenir, c'est un mauvais signe. La transparence est le premier indicateur de la maturité RGPD d'un éditeur.

Le cas particulier des PME du bâtiment

Pour les PME du bâtiment et de la maintenance technique, le sujet RGPD est souvent considéré comme moins critique que pour les sociétés de services aux particuliers. C'est une erreur. Vos contrats contiennent des données personnelles (signataires, contacts), vos interventions documentent des accès à des sites privés (codes, plans), vos contrats Cegid intègrent des coordonnées bancaires. Et surtout, vos clients sont eux-mêmes soumis au RGPD et peuvent vous demander la conformité de vos sous-traitants.

Le réflexe « on est petits, on n'est pas concernés » ne tient plus en 2026. Un audit CNIL est rare mais possible, et les conséquences d'une violation de données ne dépendent pas de la taille de l'entreprise.