C’est l’angle qu’on néglige le plus en PME quand on lance un projet IA. Le RGPD ne disparaît pas parce qu’on utilise de l’IA. Au contraire, il s’applique avec plus de précision sur le traitement automatisé. Et la CNIL a publié plusieurs guides ces dernières années qui clarifient les attentes. Voici les sept points qu’on coche systématiquement avant de mettre un agent IA en production chez un client.
Point 1 : la finalité du traitement est claire et documentée
Première chose à formaliser : à quoi sert l’agent, sur quelles données, et pour quel objectif. Cette finalité doit être documentée, et elle conditionne tout le reste. Si vous traitez des emails clients pour les classifier, ce n’est pas la même finalité que si vous les analysez pour générer du contenu commercial.
La règle : une finalité par traitement, et un registre des traitements à jour. Si vous ne savez pas où dans votre registre RGPD vous inscrirez l’agent, c’est qu’il y a un trou dans votre méthode amont.
Point 2 : la base légale est identifiée
Pour traiter des données personnelles via un agent IA, il faut une base légale. En PME, c’est presque toujours soit le consentement explicite de la personne, soit l’intérêt légitime du responsable de traitement, soit l’exécution d’un contrat.
Chaque base légale impose des obligations différentes. Le consentement doit pouvoir être retiré facilement. L’intérêt légitime doit faire l’objet d’une mise en balance documentée. L’exécution d’un contrat suppose que le traitement soit nécessaire et proportionné. Choisir la mauvaise base légale, c’est ouvrir une faille juridique.
Point 3 : la minimisation des données est appliquée
Principe RGPD fondamental : ne collecter que ce qui est strictement nécessaire. Avec un agent IA, la tentation est de tout lui donner « au cas où ». C’est exactement ce qu’il ne faut pas faire.
La règle qu’on applique : si une donnée personnelle n’est pas indispensable à la finalité de l’agent, on l’exclut. Anonymiser ce qui peut l’être, pseudonymiser le reste. Si on doit envoyer des emails vers une API tierce pour traitement, on supprime les signatures et les pièces jointes avant.
Point 4 : la localisation des modèles est documentée
Le RGPD encadre les transferts de données hors UE. La plupart des grands modèles IA accessibles via API sont hébergés aux États-Unis. Ça pose une question d’adéquation et de mécanismes de transfert.
Notre méthode : pour tout traitement de données personnelles non triviales, on privilégie les modèles hébergés dans l’UE ou les modèles open source qu’on opère nous-même chez l’hébergeur du client. Quand on doit utiliser une API hors UE, on documente précisément les mécanismes de transfert (clauses contractuelles types, certifications, etc.) et on inclut cette information dans la politique de confidentialité du client.
Voir aussi notre article dédié sur la souveraineté des données et l’IA en PME.
Point 5 : la traçabilité des décisions automatisées est assurée
Quand un agent IA prend une décision qui affecte une personne (par exemple, qualifier un lead, classer un dossier, rejeter une candidature), cette décision doit pouvoir être tracée et expliquée. Le RGPD donne aux personnes un droit d’opposition aux décisions entièrement automatisées qui produisent des effets juridiques ou les affectent significativement.
Concrètement : on garde un log de chaque décision automatisée, avec les données d’entrée, le modèle utilisé, le résultat, et la justification quand le modèle peut la produire. On documente le processus de recours humain en cas de contestation.
Point 6 : les durées de conservation sont fixées et appliquées
Le RGPD impose de définir des durées de conservation justifiées. Pour un agent IA, ça concerne plusieurs jeux de données : les données traitées, les logs de traitement, les données utilisées pour fine-tuner ou améliorer le système, et les conversations historisées.
On définit pour chacun une durée, on l’inscrit au registre, et on met en place les processus de suppression automatique. Si l’IA conserve l’historique d’une conversation pour améliorer ses réponses futures, c’est un traitement secondaire qui doit être justifié.
Point 7 : les droits des personnes sont opérationnels
Une personne peut demander l’accès à ses données, leur rectification, leur suppression, leur portabilité, ou s’opposer à leur traitement. Avec un agent IA, ces droits doivent être implémentables. Pouvez-vous extraire toutes les données traitées par l’agent concernant une personne identifiée ? Pouvez-vous les supprimer du modèle et des logs ?
C’est souvent la partie technique la plus complexe. Le fine-tuning, par exemple, rend la suppression d’une donnée du modèle pratiquement impossible. C’est une raison de plus pour préférer le RAG, qui permet de modifier le corpus indexé.
Le contrôle final
Avant chaque mise en production, on fait une analyse d’impact (PIA) légère qui résume ces sept points. Si l’un est manquant ou mal fait, on ne met pas en production. C’est notre garde-fou, et c’est ce qui nous permet de garantir à nos clients qu’ils ne se mettront pas en risque réglementaire en signant avec nous.
Pour aller plus loin
Lire souveraineté des données et IA en PME, pourquoi 8 projets IA sur 10 en PME ne passent jamais en production et RAG vs fine-tuning vs prompt engineering en PME. Et si vous voulez qu’on regarde votre cas RGPD avant de signer, un échange suffit.