RGPD et IA : ce qu'un dirigeant de PME doit absolument savoir

Vous avez signé pour ChatGPT Team. Vos commerciaux y collent leurs comptes-rendus de réunion. Votre RH y prépare des fiches de poste. Votre comptable y résume des contrats. Personne n'a jamais lu la politique de confidentialité, et encore moins évalué les risques RGPD. Vous n'êtes pas seul : 68% des dirigeants de PME que nous rencontrons sont dans cette situation exacte.

Le problème, c'est qu'en 2026, l'addition peut être salée. Entre le RGPD qui s'applique depuis 2018 et l'AI Act européen entré en vigueur par paliers depuis février 2025, le cadre s'est durci. Voici ce qu'un dirigeant de PME doit vraiment comprendre pour déployer l'IA sans se mettre en danger juridique, sans pour autant geler tous ses projets.

Pourquoi le RGPD et l'IA forment un cocktail délicat

Le RGPD encadre le traitement des données personnelles. L'IA générative, par nature, traite massivement des données : ce que vos équipes tapent dans les prompts, ce qui sort des modèles, ce qui s'entraîne en arrière-plan.

Trois zones de friction reviennent systématiquement chez nos clients :

• Les données injectées dans les prompts : noms de clients, emails, salaires, données de santé, parfois sans s'en rendre compte
• L'entraînement des modèles sur vos données : selon les versions et les paramètres, ce que vous saisissez peut nourrir le modèle public
• Les décisions automatisées : un score de candidat généré par IA, un refus de crédit, un tri de CV — l'article 22 du RGPD impose des garde-fous précis

La CNIL a publié en 2024 et 2025 plusieurs recommandations spécifiques à l'IA. Elle ne sanctionne pas pour faire peur, mais elle sanctionne. Une PME française a écopé de 250 000 € d'amende en 2024 pour usage non encadré d'un outil d'analyse de CV. Le montant fait mal pour une structure de 80 personnes.

L'AI Act : ce qui change pour une PME en 2026

L'AI Act européen est le premier texte qui régule l'IA elle-même, indépendamment du RGPD. Il classe les systèmes d'IA en quatre niveaux de risque.

Les quatre catégories à connaître

1. Risque inacceptable : interdits (notation sociale, manipulation cognitive). Vous n'êtes pas concerné.
2. Haut risque : recrutement, évaluation des salariés, accès au crédit, biométrie. Obligations lourdes : documentation technique, supervision humaine, registre, évaluation de conformité.
3. Risque limité : chatbots, IA générative. Obligation de transparence (informer l'utilisateur qu'il parle à une IA).
4. Risque minimal : la majorité des usages bureautiques. Pas d'obligation spécifique.

Concrètement, si vous utilisez l'IA pour rédiger des emails, résumer des réunions ou générer des visuels, vous êtes en risque limité ou minimal. Si vous l'utilisez pour trier des candidatures ou évaluer des collaborateurs, vous basculez en haut risque, et là, le terrain juridique devient sérieux.

Le calendrier à retenir

Les interdictions s'appliquent depuis février 2025. Les obligations sur les modèles à usage général sont entrées en vigueur en août 2025. Les exigences pour les systèmes à haut risque s'appliquent progressivement jusqu'en août 2026 et 2027 selon les cas. Vous avez encore le temps de vous mettre en ordre, à condition de commencer maintenant.

Les sept erreurs que nous voyons le plus souvent

Sur les audits que nous menons en TPE/PME, voici ce qui revient le plus :

• Comptes ChatGPT/Claude personnels utilisés pour le travail : aucune traçabilité, données potentiellement utilisées pour l'entraînement
• Aucune charte d'usage interne : chaque salarié décide seul ce qu'il met dans l'IA
• Données clients copiées-collées sans pseudonymisation : noms, contacts, montants, parfois des éléments confidentiels
• Outils IA non listés dans le registre des traitements : obligation RGPD article 30, oubliée dans 9 cas sur 10
• Pas de mention dans la politique de confidentialité : vos clients ne savent pas que leurs données passent par une IA
• Sous-traitants IA sans DPA signé : le data processing agreement est obligatoire
• Aucune information aux salariés : leurs prompts peuvent être analysés, ils doivent le savoir

Aucune de ces erreurs n'est dramatique prise isolément. Cumulées, elles construisent un dossier embarrassant en cas de contrôle CNIL ou de plainte d'un salarié ou d'un client.

Le cas du cabinet d'expertise-comptable de 12 personnes

Un cabinet d'expert-comptable nous a contactés en mars 2025. Trois associés, neuf collaborateurs, 340 clients. Ils utilisaient ChatGPT depuis dix-huit mois pour résumer des liasses fiscales, rédiger des courriers et préparer des notes de synthèse.

Le problème : les comptes étaient personnels, les données clients (noms, SIREN, chiffres d'affaires, parfois données salariales) étaient copiées sans filtre. Aucune mention dans la lettre de mission. Aucune information aux clients.

Nous avons mené un audit en deux semaines. Le plan d'action a tenu en cinq points :

1. Migration vers une licence ChatGPT Team (données non utilisées pour l'entraînement, contrôle administrateur)
2. Rédaction d'une charte d'usage de l'IA, signée par chaque collaborateur
3. Mise à jour de la lettre de mission et de la politique de confidentialité
4. Création d'un registre des traitements IA (3 traitements identifiés)
5. Formation de 2 heures sur les bonnes pratiques de prompt (anonymisation, données à ne jamais saisir)

Coût total : 4 800 € HT. Délai de mise en conformité : 6 semaines. Le cabinet a même gagné en productivité grâce aux prompts standardisés mis en place. Économie estimée : environ 6 heures par semaine pour l'équipe, soit un retour sur investissement en moins de trois mois.

Le socle minimum pour une PME en conformité

Vous n'avez pas besoin d'un département juridique pour être en règle. Voici le socle que nous recommandons à toute PME entre 10 et 250 personnes.

1. Choisir des outils adaptés au pro

Bannissez les comptes personnels. Privilégiez les versions entreprise : ChatGPT Team ou Enterprise, Claude for Work, Microsoft Copilot pour entreprise, Mistral Le Chat Pro. Ces versions garantissent que vos données ne servent pas à l'entraînement, hébergent dans l'UE quand c'est possible, et permettent un contrôle administrateur.

2. Rédiger une charte d'usage IA

Document court (2-3 pages) qui définit :

• Les outils autorisés et ceux qui sont interdits
• Les données qu'on peut saisir et celles qu'on ne peut pas (données de santé, données bancaires, données nominatives clients sans pseudonymisation)
• L'obligation de relecture humaine avant tout envoi externe
• Le rappel que l'IA peut se tromper et que la responsabilité reste humaine

Faites-la signer par chaque salarié. Annexez-la au règlement intérieur si possible.

3. Tenir un registre des traitements IA

L'article 30 du RGPD impose un registre pour toute organisation de plus de 250 salariés, ou traitant des données sensibles. Dans la pratique, tenez-le quelle que soit votre taille. Listez chaque outil IA, sa finalité, les données traitées, la base légale, la durée de conservation, les sous-traitants.

4. Vérifier les contrats avec vos fournisseurs IA

Chaque éditeur d'IA qui traite des données personnelles pour votre compte est un sous-traitant au sens du RGPD. Vous devez avoir un DPA (Data Processing Agreement) signé. Les grands éditeurs en proposent un en téléchargement. Vérifiez aussi la localisation des serveurs et les transferts hors UE.

5. Informer vos parties prenantes

Mettez à jour votre politique de confidentialité pour mentionner l'usage d'IA. Si vous traitez des données de salariés via IA (CV, évaluations, notes RH), informez-les explicitement, idéalement après consultation du CSE pour les structures concernées.

6. Former vos équipes

La conformité ne tient pas si les gens ne savent pas. Une formation courte (2 à 4 heures) sur les bons réflexes IA évite 80% des risques. Anonymiser avant de prompter, vérifier les sorties, ne pas saisir certains types de données, alerter en cas de doute.

Les questions à se poser avant chaque projet IA

Quand un de vos collaborateurs propose un nouveau projet IA, posez systématiquement ces questions :

• Quelles données vont être traitées ? Personnelles, sensibles, confidentielles ?
• Quelle est la finalité ? Documenter dans le registre.
• Y a-t-il une décision automatisée ? Si oui, supervision humaine obligatoire.
• L'outil est-il en risque limité ou haut risque selon l'AI Act ?
• Le fournisseur a-t-il un DPA et où sont les serveurs ?
• Les personnes concernées sont-elles informées ?

Cinq minutes de réflexion en amont évitent des semaines de remédiation après coup.

La conformité IA n'est pas un frein, c'est un levier commercial

Nous voyons de plus en plus d'appels d'offres, notamment B2B et secteur public, qui exigent désormais une charte IA et une preuve de conformité. Les clients grands comptes posent la question de l'usage d'IA dans le traitement de leurs données.

Une PME qui peut présenter en deux pages sa gouvernance IA gagne en crédibilité. Ce n'est plus seulement défensif, c'est devenu un argument commercial. Et le coût de mise en conformité reste très inférieur au coût d'une perte de contrat ou d'une sanction.

L'AI Act et le RGPD ne demandent pas l'impossible aux PME. Ils demandent de la rigueur sur les bases : savoir ce qu'on fait, le documenter, informer les bonnes personnes, choisir les bons outils.

Si vous voulez savoir où vous en êtes vraiment, Rocket IA propose un audit gratuit de votre usage actuel de l'IA, incluant une cartographie des outils, une évaluation des risques RGPD et AI Act, et un plan d'action priorisé adapté à votre taille. Une heure d'échange, un livrable concret, et vous repartez avec une vision claire de ce qu'il vous reste à faire pour déployer l'IA sereinement en 2026.