Le RGPD n'interdit pas d'utiliser une intelligence artificielle. Mais dès que vous saisissez une donnée personnelle dans un assistant cloud (le nom d'un client, un email, un dossier RH, un compte-rendu médical), vous réalisez un traitement de données dont vous êtes responsable. Et la plupart des services grand public vous placent en porte-à-faux sur trois points précis : une base légale floue, un transfert hors d'Europe, et un sous-traitant que vous ne maîtrisez pas. Ce qui rend l'usage conforme, ce n'est pas la marque du fournisseur, c'est de garder la main sur l'endroit où vont les données.
La bonne nouvelle, c'est que ces trois points se règlent. Encore faut-il savoir où ils se cachent.
Une donnée personnelle, au sens du RGPD, c'est toute information qui permet d'identifier quelqu'un, directement ou non. Un prompt anodin en contient souvent sans qu'on y pense : « rédige une réponse pour M. Martin dont le contrat arrive à échéance », « résume ce mail de notre client », « corrige ce courrier pour la patiente ». Le texte que vous collez part en entier vers le fournisseur.
Le premier réflexe de conformité est donc la minimisation : ne transmettre que ce qui est nécessaire. Anonymiser quand c'est possible, retirer les pièces identifiantes qui n'apportent rien à la demande. C'est utile, mais ça ne suffit pas, parce que dans beaucoup de métiers la donnée identifiante est le travail. Un avocat ne peut pas anonymiser le dossier qu'il traite.
Quand vous envoyez des données personnelles à un assistant cloud, le fournisseur agit comme sous-traitant au sens de l'article 28 du RGPD. Cela impose un contrat encadrant ce qu'il a le droit de faire de ces données, et vous laisse, vous, responsable du traitement. Autrement dit, c'est votre responsabilité qui est engagée, pas la sienne.
Deux problèmes concrets se posent avec les offres grand public :
Vérifier ces deux points avant de confier quoi que ce soit à un assistant n'est pas une formalité juridique, c'est ce qui détermine si vous êtes en règle.
C'est l'obstacle le plus sérieux. Dès que le fournisseur traite les données en dehors de l'Union européenne, vous tombez sous le régime des transferts internationaux (articles 44 et suivants), qui exige des garanties solides. Or l'accord qui encadre aujourd'hui les flux vers les États-Unis reste juridiquement fragile, contesté, et susceptible d'être invalidé comme l'ont été les deux dispositifs précédents.
Le lieu d'hébergement annoncé ne règle pas la question : un service opéré par une société soumise au droit américain reste exposé, même depuis un datacenter européen. J'ai détaillé ce mécanisme dans un article dédié, pourquoi « hébergé en Europe » ne suffit pas. Pour le RGPD, ce qu'il faut retenir ici, c'est que le transfert ne dépend pas de l'adresse du serveur mais de qui traite réellement la donnée, et sous quel droit.
La CNIL l'a répété : l'IA est compatible avec le RGPD, à condition de respecter le cadre. En pratique, pour un usage professionnel, cela revient à pouvoir répondre oui à chacune de ces questions :
Cette grille est exigeante avec un service cloud grand public. Elle devient simple dès que la donnée ne sort plus de chez vous, parce qu'elle fait disparaître d'un coup la question du transfert et celle du sous-traitant tiers.
Si l'IA tourne sur votre propre infrastructure, vos données personnelles ne sont jamais transmises à un tiers. Il n'y a plus de transfert international à encadrer, plus de sous-traitant externe à auditer, plus de clause d'entraînement à surveiller. Vous restez responsable du traitement, mais vous traitez chez vous, ce que le RGPD voit d'un très bon œil.
C'est le principe de Gungnir, l'assistant IA qui s'installe sur votre infrastructure : les conversations et les documents que vous lui confiez n'en sortent pas, et vous choisissez les modèles que vous y branchez. La conformité n'y est pas une promesse commerciale, elle découle de l'endroit où vivent vos données.
Ce site applique la même logique : aucun cookie, aucun tracker, aucune requête vers un service tiers. Le plus sûr moyen de protéger une donnée reste de ne pas la confier à quelqu'un d'autre.
Non. Le RGPD encadre l'usage, il ne l'interdit pas. Ce qui pose problème, c'est de saisir des données personnelles dans un service qui n'offre pas de contrat de sous-traitance, qui réutilise vos saisies, ou qui traite les données hors d'Europe sans garanties. Sans données personnelles dans vos prompts, la question ne se pose pas de la même façon.
Dès qu'un texte permet d'identifier une personne, directement ou en recoupant, il s'agit d'une donnée personnelle : un nom, un email, un numéro de dossier, un détail de situation suffisent. Dans la plupart des métiers, les demandes courantes en contiennent sans qu'on y prête attention.
Pas forcément. L'hébergement européen répond à la question du lieu de stockage, pas à celle de savoir qui contrôle et traite la donnée. Un service opéré par une société sous droit étranger reste exposé. Le détail est expliqué dans l'article sur le CLOUD Act et l'hébergement européen.
Il ne vous dispense pas d'être responsable du traitement, mais il supprime les obstacles les plus lourds : plus de transfert hors UE, plus de sous-traitant tiers, plus de réutilisation de vos données par un fournisseur. Il vous reste à respecter les principes de base (finalité, minimisation, sécurité), qui sont entre vos mains.
