S'inscrire au Blog
Non, le RGPD et l’AI Act ne t’empêchent pas d’utiliser l’IA dans ton entreprise

Avatar photo

Sonia CLUZET

Partager cet article

Oui, c’est agaçant… mais non, ce n’est pas difficile.

Au fond, le RGPD et l’AI Act te rappellent surtout des règles de bon sens :

  • Respecter les personnes qui te confient leurs données
  • De savoir ce que tu fais avec ces données
  • De ne pas laisser une machine décider seule de choses qui peuvent changer la vie des gens.

Est-ce que cela demande un peu d’organisation ? Oui.

Est-ce que c’est insurmontable ? Non : une liste de tes outils, un registre RGPD simple, quelques réflexes sur les usages sensibles, et tu peux utiliser des IA puissantes sans te transformer en hors-la-loi du numérique.

Et très honnêtement, si ça te rend dingue qu’une boîte revende ton numéro de téléphone pour de la prospection sauvage, il est cohérent que tu acceptes qu’on te demande, à toi aussi, de savoir où sont les données de tes propres clients.

Non, ces lois ne sont pas des freins, c’est du bon sens

On entend souvent que « le RGPD » et « l’AI Act » seraient en train de ralentir l’usage de l’IA dans les entreprises.

Ces textes ne te disent pas d’arrêter d’utiliser l’IA, ils fixent des règles du jeu pour que l’innovation ne se fasse pas au détriment des droits des personnes.

Les autorités et les guides récents insistent sur un point simple : une IA peut être utilisée dès lors que tu sais quelles données tu manipules, pourquoi tu le fais et comment tu protèges les personnes concernées.

Concrètement, si tu utilises des outils IA du marché (copilotes bureautiques, chatbot, ChatGPT, etc.), tu as le droit de les utiliser… à condition de respecter les mêmes règles que pour n’importe quel logiciel (Messagerie, SIRH, CRM, Comptabilité, …).

Les obligations les plus lourdes (tests, documentation technique, gestion des risques IA) pèsent avant tout sur les fournisseurs (Microsoft, Google, OpenAI, …), pas sur la TPE/PME qui s’en sert.

Ce que le RGPD te demande, expliqué sans jargon

Le RGPD te demande juste d’être capable de répondre à quatre questions de base :

  • Quelles données personnelles je collecte ? (par exemple : nom, prénom, email, numéro de téléphone, historique de candidature).
  • Pourquoi je les collecte ? (par exemple : pour la facturation, pour la paie, pour envoyer ma newsletter)
  • Où sont-elles stockées ? (dans ma messagerie Outlook, dans Sage Compta, dans Brevo, sur mon PC) … Tu peux choisir de stocker tes données en France ou à l’étranger, à condition que l’outil respecte les règles européennes (RGPD) et te donne des garanties sur la protection des données (sauf si tu traites de données secret défense bien entendu, mais si tu fais de la RH pour une entreprise de construction ce n’est a priori pas ton cas)
  • Pendant combien de temps je les garde ? (Suivi de candidature pendant 2 ans, gestion client pendant 3 ans, obligations légales, etc.).

En pratique, cela se traduit par un registre des activités de traitement : une simple liste de tes outils, du type de données qu’ils contiennent et de l’usage que tu en fais.

Grace à ce registre, si quelqu’un te demande de supprimer ses données, tu sais dans quels outils chercher.

En plus, cela t’oblige à faire du « ménage » dans tes données et t’éviter de stocker pendant dix ans des informations devenues inutiles qui polluent tes serveurs et la planète (comme nos boites email saturées par exemple).

IA Act encadre les usages dit « à haut risque », ça me concerne ?

L’AI Act ne vient pas t’interdire d’écrire une offre d’emploi avec un copilote ou de résumer un compte-rendu avec une IA.

Il identifie quelques usages dit « à haut risque », très ciblés, comme les systèmes qui sélectionnent automatiquement des candidats, notent des employés ou des citoyens ou influencent fortement l’accès à un emploi, une formation, un crédit ou un droit.

Dans ces cas précis, il faut des garde-fous plus forts, ça parait normal. On doit pouvoir donner les règles utilisées par l’IA pour prendre ses décisions, prouver qu’il n’y a pas de biais (et oui, c’est pour faire les mêmes conneries que les humains c’est pas la peine …), assurer une surveillance humaine (pour vérifier que l’IA ne déraille pas) et informer les personnes que leur sort sera décidé par une IA.

Pour la majorité des entreprises, cela veut surtout dire ne pas laisser une machine décider 100% seule de qui est embauché, licencié ou promu.

Une IA peut aider au tri CV, faire le compte rendu de tes réunions, faire une synthèse de documentations, … mais tu seras là pour relire, comprendre, analyser les recommandations de l’IA. Tu auras la responsabilité de les accepter, de les corriger ou de les refuser.

Au final, tu as la responsabilité de tes décisions et tu devras pouvoir les expliquer. Bref, comme aujourd’hui en fait.

Utiliser des outils IA du marché : fais simple

Si tu utilises des outils IA du marché (ChatGPT, Claude, Perplexity, …), ton rôle est surtout de choisir des solutions reconnues et avec un contrat clair. Du coup, tu comprends pourquoi je te conseille de ne pas utiliser les versions gratuites et de ne pas utiliser n’importe quelle nouveauté IA qui vient de sortir.

Tu les ajoutes ensuite dans ton registre RGPD. En clair : « dans tel outil, j’ai nom, prénom, email, historique X pour telle finalité ». Tu informes tes salariés et candidats que leurs données passent dans cet outil et à quoi cela sert. Par exemple, quand tu enregistres un entretien d’embauche, tu averti le candidat que l’entretien est enregistré pour te faciliter la prise de note et rester concentré sur votre conversation. Et si besoin tu précises, qu’en aucun cas c’est une IA qui prend les décisions dans ta boite.

Là où ça commence à devenir risqué, c’est quand tu demandes à Jean-Claude, ton beau-frère, de te bricoler une automatisation maison avec de l’IA, sans contrat, sans doc, sans savoir où partent les données. Même s’il est sympa et que c’est gratuit, les textes rappellent que c’est bien toi et ton entreprise qui reste responsable de ce qui arrive aux données de tes clients ou salariés.

Autrement dit : fais simple, utilise des outils du marché sérieux, forme ton équipe aux usages de l’IA pour les faire monter en compétence et ne te cache pas derrière ton petit doigt, respecte tes clients jusqu’au bout.

Le danger à surveiller : l’usage dévoyé et la fuite de responsabilité

Les juristes et experts en droit du travail commencent à pointer un risque bien plus concret que « la loi bloque l’IA » : le risque de se cacher derrière la machine pour ne plus assumer les décisions.

Exemple typique : « Ce n’est pas moi qui t’ai refusé l’augmentation, c’est l’outil » ou « Ce n’est pas moi qui t’ai recalé, c’est l’algorithme de tri des CV » … Bref, une prolongation du fameux « c’est pas moi qui a mal saisie la facture, c’est le logiciel qui a buggé »

Or, les textes sont clairs : l’employeur reste responsable, même si une IA a contribué à la décision, et la personne concernée doit pouvoir comprendre comment la décision a été prise et la contester. En clair, tu peux utiliser une IA pour t’aider à décider mais tu dois être capable d’expliquer ta décision. Par exemple : je n’ai pas retenu ta candidature car tu n’as pas le diplôme, l’expérience du métier, … En revanche, surtout utilise là pour t’aider à trouver la bonne façon de faire les annonces difficiles. Et oui, parfois les IA aident à remettre un peu d’humanité et de bienveillance dans les relations entre les humains.

L’IA peut analyser, proposer, prioriser, mais elle ne doit pas devenir un bouclier pour éviter d’assumer un mauvais choix, une erreur ou un arbitrage difficile.

Dans le même temps, certains travaux montrent que des IA bien entraînées peuvent être meilleures que nous sur certains diagnostics (fraude, risques, anomalies), d’où l’importance de ne pas tout refuser par principe et d’utiliser l’IA comme co-pilote, tout en gardant la décision finale du côté humain.

Tu veux un modèle tout simple ?

Si tu veux un modèle de registre des activités de traitement (la fameuse « liste RGPD ») adapté à une petite entreprise ou un service RH, envoi moi un email et je t’en partagerai un avec plaisir.

Il suffit de quelques colonnes (outil, type de données, finalité, durée de conservation, destinataires) et tu auras déjà fait 80% du chemin. Ensuite, tu pourras intégrer tes outils IA dans cette logique, comme n’importe quel autre logiciel.

FAQ : RGPD, AI Act et IA en entreprise

Questions générales sur le RGPD

Je suis une TPE/PME avec 8 salariés : le RGPD s’applique vraiment à moi ?

Oui, et c’est non négociable. Dès que tu traites des données personnelles – ne serait-ce que les coordonnées d’un client ou les fiches de paie de tes salariés – le RGPD s’applique. La taille de ton entreprise ne change rien à l’affaire. La bonne nouvelle ? Pour une petite structure, la mise en conformité peut se faire en quelques heures avec les bons outils.

Combien coûte la mise en conformité RGPD pour une PME ?

Ça dépend de ton point de départ, mais pour une PME de 5 à 50 personnes avec des outils standards, compte entre 0€ (si tu le fais toi-même avec des modèles gratuits) et 3000€ (pour un accompagnement complet). Le vrai coût, c’est surtout le temps : 3 à 5 jours pour cartographier tes données, mettre à jour tes mentions légales, et documenter tes process. L’amende CNIL pour non-conformité, elle, peut monter jusqu’à 20 millions d’euros ou 4% de ton chiffre d’affaires mondial. Fais le calcul.

Est-ce que je risque vraiment une amende si je ne fais rien ?

Oui. La CNIL privilégie d’abord l’accompagnement, mais si tu ignores les mises en demeure ou qu’il y a eu une plainte d’un client, ça peut aller très vite. Elle a déjà condamné des PME françaises à des amendes entre 20 000€ et 400 000€. Le vrai risque n’est même pas l’amende : c’est la perte de confiance de tes clients si tu as une fuite de données et qu’on découvre que tu n’avais rien mis en place.

Questions sur l’utilisation de l’IA

Est-ce que je peux utiliser ChatGPT ou Claude pour mon activité pro ?

Oui, à condition de respecter trois règles simples :

  1. Ne colle pas de données ultra-sensibles comme les numéros de sécu, données de santé, infos bancaires complètes, c’est vrai pour tous les outils
  2. Utilise les versions entreprise avec contrats et garanties de confidentialité (ChatGPT Team/Enterprise, Claude Pro/Team)
  3. Informe les personnes concernées si leurs données passent dans l’IA (candidats, clients, salariés), comme tu dois aussi le faire pour tes autres outils informatique d’ailleurs

Le RGPD ne t’interdit pas d’utiliser l’IA. Il te demande juste de savoir ce que tu fais avec les données personnelles.

Est-ce que je peux utiliser des outils IA gratuits pour mon entreprise ?

Juridiquement, ce n’est pas interdit. Pratiquement, c’est souvent une mauvaise idée. Les versions gratuites ont généralement :

  • Des conditions d’utilisation floues sur la confidentialité
  • Une possible réutilisation de tes données pour entraîner leurs modèles
  • Aucune garantie de support ou de sécurité
  • Pas de contrat de sous-traitance RGPD

Pour un usage pro sérieux, investis dans les versions payantes. Ça coûte entre 20€ et 50€/mois/utilisateur et ça t’évite de transformer tes données clients en matière première pour Silicon Valley.

C’est quoi concrètement un « usage à haut risque » dans l’AI Act ?

L’AI Act vise les systèmes qui peuvent impacter fortement les droits des personnes. Exemples concrets :

  • Un logiciel qui trie automatiquement les CV et refuse des candidats sans intervention humaine
  • Un outil qui note les performances des salariés et déclenche automatiquement des avertissements
  • Un algorithme qui décide seul de l’accès à un crédit, une formation ou une promotion

Dans ces cas, tu dois pouvoir expliquer comment l’IA décide, vérifier qu’il n’y a pas de discrimination, et garder un humain dans la boucle pour valider les décisions importantes. Pour 99% des usages en PME (rédiger une offre d’emploi, résumer un compte-rendu, créer un visuel), tu n’es pas concerné par ces obligations renforcées.

Est-ce que je dois faire une Analyse d’Impact (AIPD) pour utiliser l’IA ?

Pas systématiquement. L’AIPD est obligatoire uniquement quand ton traitement présente un risque élevé : profilage automatique à grande échelle, scoring de personnes, surveillance continue, croisement massif de données sensibles.

Si tu utilises un copilote pour rédiger tes emails ou un assistant pour générer des visuels, tu n’as pas besoin d’AIPD. Par contre, si tu déploies un système qui note automatiquement tes commerciaux sur leurs performances ou qui filtre des milliers de candidatures pour ne t’en présenter que 100, là oui.

En cas de doute, pose-toi la question : « Si cet outil bugue ou se trompe, est-ce que ça peut vraiment pourrir la vie de quelqu’un ? » Si la réponse est oui, fais l’AIPD.

Questions sur la responsabilité

Qui est responsable en cas de problème : l’éditeur de l’IA ou moi ?

Les deux, mais pas de la même façon :

  • Le fournisseur (Microsoft, OpenAI, Google…) doit respecter l’AI Act côté conception, sécuriser ses systèmes, et te fournir les garanties RGPD nécessaires
  • Toi, en tant qu’utilisateur, tu restes responsable des décisions prises avec l’outil et de la protection des données que tu y mets

Exemple concret : si tu utilises ChatGPT pour filtrer automatiquement des CV et que l’outil discrimine systématiquement les femmes, OpenAI peut être poursuivi pour biais algorithmique, mais toi tu restes responsable d’avoir utilisé un outil biaisé pour recruter. Si tu confies une tâche à 100% à une IA tu dois comprendre ce qu’elle fait, c’est logique. Tu ne peux pas te cacher derrière « c’est la machine qui a décidé ».

Si j’utilise une IA et qu’elle se trompe, je peux dire « ce n’est pas moi, c’est l’algorithme » ?

Non. Jamais. Le Code du travail et le RGPD sont clairs : l’employeur reste responsable, même si une IA a contribué à la décision. Tu peux utiliser l’IA pour t’aider à décider (analyser des données, détecter des tendances, préparer des synthèses), mais la décision finale doit être humaine et assumée.

Si tu refuses un candidat, tu dois pouvoir expliquer pourquoi avec de vrais arguments (compétences manquantes, expérience insuffisante, diplôme inadapté), pas juste « le score de l’outil était trop bas ».

Questions pratiques

Comment je sais si un outil IA est conforme RGPD ?

Vérifie trois choses avant de signer :

  1. Il existe un contrat clair avec un « accord de sous-traitance » (DPA – Data Processing Agreement) qui précise où sont stockées les données, combien de temps, et ce que le fournisseur a le droit d’en faire
  2. Les données restent en Europe (ou dans un pays avec une décision d’adéquation) pour éviter les transferts hors UE sans garanties
  3. Le fournisseur est transparent sur ses mesures de sécurité et sur l’utilisation (ou non) de tes données pour entraîner ses modèles

Si l’éditeur refuse de te fournir ces infos, fuis. Un outil sérieux te donnera tout ça dès la page « Sécurité » de son site.

Par où je commence pour être conforme sans y passer 6 mois ?

Commence par le registre des traitements : liste tous tes outils (CRM, logiciel de paie, messagerie, site web, outils IA…) et pour chacun note :

  • Quelles données personnelles tu y mets
  • Pourquoi tu les collectes
  • Combien de temps tu les gardes
  • Qui y a accès

Ensuite, mets à jour tes mentions légales et ta politique de confidentialité sur ton site. Enfin, forme tes équipes aux bonnes pratiques (ne pas laisser traîner des données sensibles, ne pas tout coller dans ChatGPT gratuit…).

Temps total ? 1 à 3 jours pour une PME standard. Tu peux faire 80% du boulot avec des modèles gratuits de la CNIL.

J’ai déjà utilisé ChatGPT gratuit avec des données clients, je suis grillé ?

Pas forcément. Si tu as mis des données sensibles (coordonnées complètes, infos confidentielles), commence par :

  1. Supprimer l’historique dans ChatGPT (Settings > Data Controls > Delete)
  2. Passer à une version entreprise avec contrat pour les futurs usages
  3. Mettre à jour ton registre RGPD pour documenter l’incident et les mesures correctives

Si tu n’as jamais eu de fuite de données ni de plainte, personne ne va débarquer demain matin. Mais corrige le tir maintenant, parce que « je ne savais pas » n’est pas une défense valable face à la CNIL.

Ressources et documentation

CNIL – Le règlement général sur la protection des données (RGPD)
https://www.cnil.fr/fr/reglement-europeen-protection-donnees

CNIL – Règlement général sur la protection des données : ce qui change pour les professionnels
https://www.cnil.fr/fr/comprendre-le-rgpd/reglement-general-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

CNIL – Recommandations sur le développement et l’usage des systèmes d’IA
https://www.cnil.fr/fr/developpement-des-systemes-dia-les-recommandations-de-la-cnil-pour-respecter-le-rgpd
https://www.cnil.fr/fr/ia-et-rgpd-la-cnil-publie-ses-nouvelles-recommandations-pour-accompagner-une-innovation-responsable

Défenseur des droits – Les droits des usagers face aux algorithmes et aux systèmes d’IA
https://www.defenseurdesdroits.fr/les-droits-des-usagers-des-services-publics-face-aux-algorithmes-et-aux-systemes-dia-749

Guides pratiques et analyses

FD Conseil – IA Act et RGPD : quelles obligations pour les entreprises en 2025 ?
https://www.fdconseil44.fr/actu/rgpd/ia-act-et-rgpd-quelles-obligations-pour-les-entreprises-en-2025/

Cigref – Guide de mise en œuvre de l’AI Act : cartographie des obligations applicables aux organisations
https://www.cigref.fr/guide-de-mise-en-oeuvre-de-lai-act-cartographie-des-obligations-applicables-aux-organisations

BigMedia Bpifrance – IA et RGPD : comment assurer la protection des données en entreprise
https://bigmedia.bpifrance.fr/nos-dossiers/ia-et-rgpd-comment-assurer-la-protection-des-donnees-en-entreprise

CODPO – IA générative et RGPD : état des lieux 2025
https://codpo.fr/ia-generative-rgpd-etat-des-lieux-2025/

LearningHome – IA et RGPD : conformité, enjeux et bonnes pratiques 2025
https://www.learninghome.fr/ia-et-rgpd/

Unow – AI Act : que doivent faire les RH dès 2025 ?
https://www.unow.fr/blog/actualites/ai-act-que-doivent-faire-les-rh-des-2025/

Structurer vos usages IA

Nous n'avons pas pu confirmer votre inscription.
Pour finaliser votre inscription, merci de cliquer sur le lien de confirmation dans l'e-mail que nous venons de vous envoyer.

Inscrivez-vous

Toutes les semaines, recevez un article approfondi, infographie ou études de cas, … pour mettre le TechPM en action.