Votre PME utilise de l'IA. Et elle viole peut-être le RGPD sans le savoir.
Ce n'est pas une hypothèse. Depuis 2024, la CNIL a engagé des procédures contre des structures de toutes tailles — y compris des PME — pour des usages d'IA non conformes. La fin du mythe d'un RGPD « réservé aux grandes entreprises » est actée : la procédure simplifiée de la CNIL permet désormais de sanctionner rapidement les structures moyennes, avec des amendes allant jusqu'à 20 000 €.
Et à partir de 2026, une deuxième réglementation s'empile sur le RGPD : l'AI Act européen, qui impose des obligations spécifiques selon le type d'IA que vous utilisez.
Dans cet article, nous allons identifier exactement quelles obligations s'appliquent à votre PME, quels articles du RGPD sont les plus souvent violés lors d'un usage IA, et quelle est la façon la plus simple de se mettre en conformité. Avant d'aller plus loin, consultez notre guide sur le Shadow AI — la principale source de violations RGPD IA dans les PME.
- Le RGPD s'applique à tout usage d'IA traitant des données personnelles — sans exception pour les PME.
- 8 obligations RGPD sont couramment violées lors d'un déploiement IA non encadré.
- L'AI Act ajoute une couche d'obligations selon le niveau de risque de l'IA utilisée, dès 2026.
- Une amende CNIL peut atteindre 4% du CA mondial ou 20 M€.
- La conformité est accessible : une IA souveraine locale coche toutes les cases en un déploiement.
RGPD et IA : pourquoi votre PME est concernée dès le premier usage
La règle est simple : dès qu'un système d'IA traite des données à caractère personnel, le RGPD s'applique. Et les données personnelles couvrent bien plus qu'on ne le pense : noms, emails, téléphones, historiques d'achat, données RH, données de santé, adresses IP, identifiants de connexion, données de géolocalisation.
Concrètement : si vous utilisez ChatGPT pour rédiger des emails clients, Copilot pour analyser des données RH, ou tout outil IA qui reçoit des informations identifiantes sur vos clients ou collaborateurs — vous effectuez un traitement au sens du RGPD. Et vous avez des obligations.
Ce que beaucoup de dirigeants ignorent : votre entreprise est juridiquement responsable, même si c'est un éditeur américain qui traite les données. L'article 28 du RGPD impose de conclure un contrat de traitement des données (DPA) avec tout sous-traitant — y compris OpenAI, Google, Microsoft. Sans ce contrat, chaque donnée transmise à l'outil est une violation potentielle.
Les 8 obligations RGPD les plus souvent violées lors d'un usage IA
Voici les 8 articles du RGPD que les PME violent le plus fréquemment quand elles déploient de l'IA sans encadrement.
| Obligation RGPD | Article | Ce que ça implique pour votre PME |
|---|---|---|
| Base légale du traitement | Article 6 | Justifier légalement pourquoi vous utilisez une IA traitant des données personnelles |
| Contrat DPA sous-traitant | Article 28 | Signer un accord de traitement avec chaque éditeur IA utilisé |
| Registre des traitements | Article 30 | Documenter chaque usage IA impliquant des données personnelles |
| Information des personnes | Articles 13-14 | Informer vos clients/salariés que leurs données sont traitées par une IA |
| Analyse d'impact (AIPD) | Article 35 | Obligatoire si l'IA présente un risque élevé pour les droits et libertés |
| Décisions automatisées | Article 22 | Interdire les décisions purement automatisées sans intervention humaine |
| Transferts hors UE | Articles 44-49 | Garantir le niveau de protection adéquat si données vers serveurs US |
| Limitation de conservation | Article 5.1.e | Définir une durée de conservation des données dans l'IA |
Parmi ces 8 obligations, 3 sont particulièrement critiques car elles exposent à des sanctions immédiates.
Obligation critique n°1 : le contrat DPA avec l'éditeur IA
Le problème : sans DPA, vous ne pouvez légalement pas transmettre de données personnelles à un outil IA. La version gratuite de ChatGPT est incompatible avec tout usage professionnel impliquant des données personnelles.
La sanction potentielle : violation directe de l'article 28 RGPD, sanctionnable lors de tout contrôle CNIL.
La solution : déployer une IA souveraine locale qui ne nécessite aucun DPA tiers — vos données ne quittent pas votre infrastructure.
Obligation critique n°2 : le registre des traitements
Le problème : l'article 30 exige de documenter chaque traitement de données. L'absence de registre est l'un des premiers éléments vérifiés lors d'un contrôle CNIL.
La sanction potentielle : preuve que l'entreprise n'a aucune gouvernance des données — facteur aggravant dans tout contentieux.
La solution : une IA souveraine locale n'a qu'un seul sous-traitant interne à documenter.
Obligation critique n°3 : les transferts hors UE
Le problème : OpenAI, Google, Microsoft sont des entreprises américaines. Même avec un DPA, le Cloud Act autorise la justice US à accéder aux données — insécurité juridique permanente.
La sanction potentielle : la CNIL a déjà sanctionné des transferts vers les États-Unis insuffisamment encadrés.
La solution : héberger les données sur une infrastructure souveraine européenne (SecNumCloud ou serveur interne).
Votre usage actuel de l'IA est-il conforme ?
Découvrez la solution souveraine S.A.F.E. →L'AI Act : ce qui s'applique à votre PME dès 2026
L'AI Act européen (UE 2024/1689) est entré en vigueur en août 2024 avec une application progressive jusqu'en 2027. Son principe : classer les systèmes d'IA par niveau de risque et imposer des obligations proportionnées.
| Niveau | Calendrier | Exemples d'usages PME | Obligations |
|---|---|---|---|
| INTERDIT | Dès août 2024 | Scoring social, manipulation subliminale | Aucune PME ne peut déployer ces systèmes |
| HAUT RISQUE | Obligations strictes dès 2026 | RH (tri CV), crédit, médical | AIPD + documentation + contrôle humain |
| LIMITÉ | Obligations de transparence | Chatbot client, générateur de contenu | Déclarer l'usage de l'IA aux utilisateurs |
| MINIMAL | Aucune obligation spécifique | Filtres email, recommandations | Respect du RGPD suffit |
Ce que ça change concrètement pour une PME :
- Si vous utilisez une IA pour trier des CV : zone haut risque. Obligation de documentation et supervision humaine.
- Si vous avez un chatbot client IA : informer les clients qu'ils interagissent avec une IA.
- Si vous utilisez une IA générative pour rédiger du contenu : risque minimal AI Act, mais RGPD toujours applicable.
L'AI Act ne remplace pas le RGPD. Les deux textes s'appliquent simultanément. Une PME utilisant une IA en zone haut risque doit respecter les obligations RGPD ET les obligations AI Act. La non-conformité aux deux double l'exposition aux sanctions.
Combien peut coûter une non-conformité RGPD IA à votre PME ?
- Violation grave (transfert illicite, absence de DPA, traitement sans base légale) : jusqu'à 20 M€ ou 4% du CA mondial annuel — le montant le plus élevé des deux.
- Violation non grave (registre incomplet, manquement à l'information) : jusqu'à 10 M€ ou 2% du CA mondial.
- Procédure simplifiée CNIL (PME, cas moins graves) : amendes jusqu'à 20 000 € prononcées rapidement, sans instruction longue.
Exemple concret : pour une PME de 5 M€ de CA, 4% = 200 000 € d'exposition maximale. Une amende à 20 000 € en procédure simplifiée est réaliste pour une absence de DPA avérée.
Au-delà des amendes, le coût réputationnel est souvent plus dévastateur : perte de contrats avec des clients grands comptes, perte de confiance des salariés, couverture médiatique négative. La CNIL publie toutes ses décisions de sanction — y compris pour les structures moyennes.
Check-list de conformité RGPD IA pour PME — 10 actions concrètes
Voici les 10 actions prioritaires pour sécuriser votre usage IA au regard du RGPD, classées du plus urgent au plus structurant.
- Inventorier tous vos outils IA actuels : listez chaque outil IA utilisé dans l'entreprise, y compris les usages informels (Shadow AI). C'est le point de départ obligatoire.
- Vérifier l'existence d'un DPA pour chaque outil : si vous utilisez ChatGPT, Google Workspace AI, Microsoft Copilot — vérifiez si vous avez signé un contrat de traitement des données avec l'éditeur.
- Identifier la base légale de chaque traitement IA : consentement, intérêt légitime, exécution d'un contrat, obligation légale. Chaque usage doit avoir sa base légale documentée.
- Mettre à jour votre registre des traitements : ajouter une ligne par usage IA avec finalité, catégories de données, sous-traitant, durée de conservation, mesures de sécurité.
- Analyser vos transferts hors UE : chaque outil IA américain utilisé = transfert potentiel. Évaluer si les garanties offertes sont suffisantes.
- Informer vos clients et salariés : mettre à jour vos mentions d'information pour mentionner l'usage de l'IA et le traitement de leurs données.
- Supprimer les décisions 100% automatisées : toute décision significative (embauche, crédit, notation) doit prévoir une intervention humaine.
- Définir des durées de conservation IA : les conversations stockées dans les outils IA doivent avoir une durée de conservation définie et respectée.
- Former les équipes aux bonnes pratiques RGPD IA : règle simple — aucune donnée identifiante dans un outil IA sans base légale établie.
- Envisager une IA souveraine locale : la solution qui coche toutes les cases d'un coup — aucun transfert hors UE, aucun DPA tiers requis, registre simplifié à un seul sous-traitant interne.
La solution qui coche toutes les cases en un seul déploiement
Toutes les obligations RGPD listées ci-dessus convergent vers un seul problème fondamental : dès que vos données quittent votre infrastructure pour rejoindre un outil IA externe, vous perdez le contrôle juridique de leur traitement.
C'est pourquoi la réponse la plus complète — et paradoxalement la plus simple à documenter pour la CNIL — est le déploiement d'une intelligence artificielle souveraine locale.
- Aucun DPA tiers requis : le sous-traitant, c'est vous. Un seul accord à documenter.
- Zéro transfert hors UE : données sur territoire français. Le Cloud Act américain ne s'applique pas.
- Registre simplifié : un seul traitement à décrire, une seule infrastructure, une seule mesure de sécurité.
- Traçabilité forensic : chaque interaction IA est traçable — exactement ce qu'exige l'AI Act.
- Données confinées : aucune conversation ne sert à réentraîner un modèle tiers.
Des solutions comme S.A.F.E. Pilotage Privé sont conçues précisément pour répondre à ces exigences : déploiement en 6 à 8 semaines, agents IA spécialisés, hébergement SecNumCloud ou serveur interne, traçabilité complète. Entre 5 000 et 20 000 € — à comparer au coût d'une amende CNIL ou d'une mise en conformité juridique en urgence.
Votre PME est-elle éligible à un déploiement S.A.F.E. conforme RGPD ?
Demander une démonstration gratuite →Ce qu'il faut retenir
En 2026, utiliser l'IA sans cadre RGPD n'est plus un risque théorique pour une PME — c'est une exposition mesurable, chiffrable et sanctionnable.
La bonne nouvelle : la conformité n'est pas une montagne insurmontable. Elle commence par un inventaire des outils, se structure avec des contrats DPA et un registre mis à jour, et se consolide idéalement par le déploiement d'une IA souveraine locale — la seule architecture qui coche toutes les cases réglementaires en une seule décision.
Les PME qui anticipent la conformité RGPD et AI Act ne subissent pas les contraintes — elles les transforment en argument de confiance auprès de leurs clients, de leurs partenaires et de leurs collaborateurs.