RGPD et outils IA : ma checklist 2026 pour auditer avant de déployer
Ma checklist pratique pour auditer un outil IA avant déploiement en équipe : DPA, hébergement UE, opt-out training, AI Act. Retour d'expérience PME.
En bref : Avant de déployer un outil IA en équipe, auditez cinq points : un DPA signé, l'hébergement des données dans l'UE, la possibilité d'opt-out du training, la base légale des transferts vers les États-Unis et la conformité à l'AI Act. Cette checklist filtre les outils au regard du RGPD et de l'AI Act européen.
Quand un DSI ou un dirigeant me demande "est-ce qu'on peut déployer ChatGPT pour nos équipes ?", la réponse honnête commence toujours par cinq questions précises. Cet article est ma checklist personnelle, celle que je sors systématiquement avant d'autoriser le déploiement d'un outil IA chez un client. Je la révise tous les trois mois, parce que le contexte juridique bouge vite, et je vous la partage telle qu'elle me sert sur le terrain.
Pourquoi je prends ce sujet au sérieux
J'ai vu trop d'équipes balancer des données clients sensibles dans une fenêtre ChatGPT depuis un compte personnel, sans se poser de question. Le contexte 2026 ne pardonne plus cette désinvolture. Le RGPD est appliqué avec une rigueur croissante par la CNIL française et ses homologues européennes — les sanctions tombent régulièrement, et elles font mal. À cela s'ajoute l'AI Act européen (Règlement UE 2024/1689), entré en vigueur en août 2024 et dont les obligations s'appliquent progressivement.
Les transferts de données vers les États-Unis restent le point le plus instable du dossier. Entre les invalidations successives (Safe Harbor, Privacy Shield) et le Data Privacy Framework actuel, je suis devenu prudent par défaut. Quand un DPO me dit "on signe avec Anthropic ou OpenAI, c'est tranquille", je lui demande s'il a lu le DPA dans le détail. Neuf fois sur dix, la réponse est non.
Ma checklist en cinq points
Avant chaque déploiement, je passe par ces cinq blocs dans cet ordre. Aucun n'est optionnel.
1. Hébergement et localisation des données
Je veux savoir où les données vivent physiquement. Pas où l'entreprise est basée, où les serveurs tournent. Je demande à l'éditeur s'il propose une résidence des données dans l'UE, et je vérifie dans le contrat — pas dans la brochure commerciale. Si des transferts vers les États-Unis ou d'autres pays tiers existent (ce qui est presque toujours le cas), je vérifie s'ils sont couverts par les clauses contractuelles types validées par la Commission européenne ou par le Data Privacy Framework.
2. Contrats et DPA
Le Data Processing Agreement est non négociable. S'il n'existe pas, je passe mon chemin. Quand il existe, je lis trois choses : les finalités du traitement (qui doivent être limitées et précises), la liste des sous-traitants (Microsoft Azure, AWS, sous-traitants techniques) et les engagements sectoriels si je suis dans la santé, la finance ou le juridique. Sur ce dernier point, Anthropic publie sa documentation Trust Center qui sert de référence sérieuse.
3. Entraînement des modèles
Question simple, réponse souvent floue : vos données sont-elles utilisées pour entraîner les modèles ? Je veux un opt-out clair, activable au niveau organisation, pas un toggle individuel que chaque salarié doit penser à activer. Les versions Enterprise apportent presque toujours cet opt-out par défaut, contrairement aux versions grand public. La rétention des prompts compte aussi : un opt-out d'entraînement ne supprime pas forcément les logs.
4. Droits des personnes
Comment un salarié peut-il exercer son droit d'accès, de rectification ou de suppression sur ses prompts ? L'éditeur supprime-t-il vraiment les données sur demande, ou se contente-t-il de les marquer "à supprimer" ? Existe-t-il un point de contact DPO côté éditeur, joignable en français ? Les délais de réponse sont-ils compatibles avec le mois imposé par le RGPD ? Sans réponse claire à ces quatre questions, je recommande d'attendre.
5. Certifications et audits
Je regarde dans l'ordre : SOC 2 Type II, ISO 27001, HDS pour la santé en France. Un bug bounty actif est bon signe — il prouve que l'éditeur invite la communauté à trouver ses failles. L'historique d'incidents publié de manière transparente compte autant : un éditeur qui n'a "jamais eu d'incident" en cinq ans, soit il ment, soit il ne sait pas qu'il en a eu.
Les zones rouges que je vois souvent
Quelques signaux qui me font reculer immédiatement, par fréquence d'apparition chez les prospects que j'audite :
- Versions grand public déployées en entreprise sans contrat spécifique (le piège numéro un)
- Pas de DPA disponible, ou contrat opaque qu'on ne peut consulter qu'après signature d'un NDA
- Données utilisées par défaut pour l'entraînement, sans opt-out clair ni durable
- Pas de point de contact DPO identifié pour les exercices de droits
- Aucune certification ou audit externe vérifiable
- Politique de confidentialité floue, non datée, ou qui change sans notification
Quand un outil cumule trois de ces signaux, je déconseille l'usage professionnel jusqu'à ce que le fournisseur ait corrigé son cadre.
Le piège grand public vs Enterprise
C'est mon constat le plus régulier en mission. Les versions grand public — ChatGPT Plus, Claude Pro, acces personnels — ne sont généralement pas conformes aux exigences professionnelles européennes. Les conditions générales sont acceptées par l'utilisateur individuel, pas par l'organisation. Aucun DPA. Données potentiellement utilisées pour l'entraînement selon les paramètres par défaut. Pas de contrôles admin centralisés, donc impossible de gérer les accès à l'échelle.
Pour un déploiement en équipe sur des données métier, les versions Business, Team, Enterprise ou l'accès API avec contrat dédié sont les seules options crédibles. OpenAI documente clairement les différences entre Plus et Enterprise sur le traitement des données — la même logique s'applique chez Anthropic, Google et Microsoft.
L'AI Act européen en pratique
L'AI Act introduit une classification en niveaux de risque qui structure mes audits depuis 2024 :
- Risque inacceptable : interdits (scoring social, manipulation comportementale)
- Risque élevé : obligations strictes (santé, recrutement, accès au crédit, contrôle frontalier)
- Risque limité : obligations de transparence
- Risque minimal : libre
Les modèles à usage général (GPAI) — ChatGPT, Claude, Gemini, Mistral — sont soumis à des obligations propres en matière de transparence, respect du droit d'auteur et documentation technique. Le calendrier d'application est progressif : certaines obligations s'appliquent dès février 2025, d'autres en août 2026. Je conseille aux organisations de commencer dès maintenant à cartographier leurs usages IA et le niveau de risque associé. Attendre que tout soit applicable, c'est se retrouver pris de court.
Sans charte interne, rien ne tient
Au-delà des outils, l'organisation doit publier une charte d'usage IA qui couvre : outils approuvés, catégories de données autorisées (publiques, internes, confidentielles, restreintes), cas d'usage typiques et interdits, processus de validation pour les nouveaux outils, formation des collaborateurs, sanctions en cas d'usage non conforme.
Sans charte, les collaborateurs improvisent. Ils ouvrent ChatGPT depuis leur compte personnel avec des données professionnelles — c'est la cause numéro un des fuites involontaires que je rencontre. La charte ne sert à rien si elle reste dans un PDF sur le SharePoint. Il faut la former, la rappeler, l'intégrer aux processus d'onboarding.
Ma méthodologie pour Trust-Vault
Notre grille d'évaluation intègre directement ces critères dans les piliers Vie privée et Sécurité. Chaque outil de notre catalogue est noté sur la conformité RGPD, la localisation des serveurs, la politique de traitement des données, les certifications obtenues et les droits effectifs des utilisateurs. C'est la grille que j'applique avant de référencer un outil. Ceux qui ne passent pas les critères minimaux ne sont pas mis en avant.
Ce contenu est une synthèse pédagogique tirée de mon expérience d'audit. Il ne remplace pas un conseil juridique. Pour toute décision de conformité concrète, consultez votre DPO ou un avocat spécialisé en droit du numérique.
--- Sources : Règlement UE 2024/1689 (AI Act) ; CNIL — recommandations IA générative 2024 ; Anthropic Trust Center ; OpenAI Enterprise Privacy documentation ; Schrems II — CJUE 2020 ; Data Privacy Framework EU-US 2023.
Pour approfondir ce sujet
Sources officielles et méthode
Trust-Vault croise les usages terrain avec des sources institutionnelles pour renforcer la vérification, la conformité et la lisibilité des comparatifs.
- AI Act policy overview - European Commission. Présentation officielle du cadre européen pour une IA sûre et centrée sur l'humain.
- Recommandations IA et RGPD - CNIL. Recommandations de l'autorité française sur le développement des systèmes d'IA et le RGPD.
- AI Risk Management Framework - NIST. Référentiel fédéral américain pour évaluer et réduire les risques liés à l'IA.
- Artificial Intelligence - CISA. Ressources fédérales américaines sur la sécurité, la gouvernance et les risques IA.
Laurent Duplat
Directeur de la publication — Trust-Vault