/reboot/media/3b2353c4-0a3d-11f0-ad69-7a41756b04df/4555f602-0b41-11f1-80f2-6209344d9bd1/1-1-brown-tabby-cat-covered-with-white-blanket-cd-iay-oqoc.jpg){kind=spacer}
RGPD et IA générative en entreprise : attention aux données internes
Depuis quelques temps, les directions métiers se ruent sur l'IA générative sans se demander ce que deviennent leurs données internes dans ces outils. Or, tant du point de vue du RGPD que de la gouvernance de l'information, ces usages improvisés représentent un risque majeur pour les entreprises françaises.
IA générative en entreprise : sous le radar juridique
Dans de nombreuses sociétés, les projets d'intelligence artificielle avancent plus vite dans les équipes opérationnelles que dans les comités de gouvernance. Des collaborateurs copient‑collent des contrats, des tableaux RH ou des rapports de risque dans des assistants IA pour "gagner du temps", sans aucune traçabilité.
Depuis l'arrivée des modèles dits "copilot" proposés par les grands éditeurs, ce phénomène s'est accéléré, en particulier dans les environnements bureautiques et de développement.
Pourtant, sur le plan juridique, ces usages relèvent très souvent d'un traitement de données personnelles et/ou confidentielles au sens contractuel ou du secret des affaires.
Du côté du RGPD
Si des données personnelles sont injectées dans un outil d'IA générative, il faut :
- Qualifier le rôle des acteurs - responsable de traitement, sous‑traitant, co‑responsable - en fonction du modèle de service proposé.
- Identifier les finalités (assistance à la rédaction, analyse de contrats, support client, etc.).
- Cartographier les catégories de données traitées, y compris les données potentiellement sensibles.
- Vérifier les transferts hors UE, les mécanismes de garanties et l'empilement contractuel du fournisseur.
- Mettre à jour la documentation (registre, analyses d'impact, mentions d'information, politique interne).
Dans les faits, il n'existe que de façon rarissime une cartographie des usages d'IA dans l'entreprise, et le décalage entre pratique et conformité augmente de façon incontrôlée.
l'IA Act arrive, mais c'est dans les contrats avec les fournisseurs d'IA que réside le premier risque
L'AI Act européen, adopté en 2024, focalise l'attention. On y parle de systèmes à haut risque, de modèles de base, d'interdictions ciblées.
En réalité, le principal point de fragilité n'est généralement pas dans le périmètre formel de l'IA Act. Il est dans les contrats conclus avec les fournisseurs de solutions d'IA ou d'outils bureautiques intégrant de l'IA générative :
- Conditions générales floues sur l'usage ultérieur des données.
- Silence sur la traçabilité des prompts et des jeux de données utilisés.
- Clauses de sous‑traitance planétaires, impossibles à auditer sérieusement.
Il est nécessaire de reprendre la main contrat par contrat, projet par projet, avant que ces outils ne soient totalement enracinés dans les processus critiques de l'entreprise.
Le "dark usage" des données internes : exemple
Une équipe commerciale utilise un assistant IA connecté au CRM pour élaborer des propositions. L'outil agrège automatiquement des données clients historiques, des échanges de mails, des informations de facturation et parfois des éléments de santé indirects (mutuelles, prévoyance, etc.). Le tout repose sur un modèle fourni par un prestataire étranger, via une plateforme multi‑tenant.
Un jour, un client reçoit, par erreur, une synthèse contenant des éléments sur un autre client, générée à partir d'un prompt mal paramétré. On peut imaginer la suite.
Proposition : une feuille de route juridique réaliste
1. Cartographier les usages réels
- Interroger les métiers, les équipes IT, la direction financière, les RH.
- Identifier les outils d'IA déjà activés dans les suites bureautiques, CRM, solutions SaaS.
- Repérer les usages "officieux" : comptes gratuits, extensions navigateur, API testées en cachette.
2. Classer les cas d'usage par criticité juridique
Une fois la cartographie réalisée, il faut hiérarchiser :
- Les usages manipulant des données sensibles ou hautement confidentielles (santé, données RH, finance, propriété industrielle).
- Les usages exposés à des tiers (support client, chatbots, scoring, décision semi‑automatisée).
- Les usages internes à faible enjeu (assistance à la rédaction de contenus génériques, support à la veille).
3. Revoir les contrats avec les fournisseurs d'IA
Pour les usages critiques, il est légitime d'exiger :
- Une clarification explicite des finalités et des catégories de données traitées.
- Une interdiction claire de réutilisation des données à des fins d'entraînement du modèle, sauf accord strictement encadré.
- Des garanties sur la localisation des traitements et les transferts hors UE.
- Un véritable régime de responsabilité (plafond, exclusions, pénalités) aligné sur les enjeux métier.
- Des droits d'audit ou, à tout le moins, des rapports de conformité sérieux.
4. Documenter
La CNIL, dans ses lignes directrices sur l'intelligence artificielle, rappelle que l'enjeu n'est pas seulement la conformité théorique, mais la capacité à prouver cette conformité.
- Mettre à jour le registre des traitements pour intégrer les usages d'IA pertinents.
- Documenter les analyses d'impact lorsqu'elles sont nécessaires.
- Adapter les mentions d'information aux personnes concernées.
- Formaliser une politique interne encadrant l'usage de l'IA par les équipes.
/reboot/media/3b2353c4-0a3d-11f0-ad69-7a41756b04df/1431a58c-0905-11f1-9ca0-6209344d9bd1/1-1-a-microphone-that-is-sitting-on-a-stand-ekhshvgr27k.jpg)
/reboot/media/3b2353c4-0a3d-11f0-ad69-7a41756b04df/3d5cd93a-df44-11f0-b170-d633c70351ee/1-1-rows-of-white-archive-boxes-on-wooden-shelves-5utyi64hnj0.jpg)
/reboot/media/3b2353c4-0a3d-11f0-ad69-7a41756b04df/4948931e-2d6b-11f0-b036-4e3df4547316/1-1-a-close-up-of-a-sign-on-a-table-mlgjb5d9is0.jpg)