Les principes fondamentaux du RGPD
Le RGPD (Règlement Général sur la Protection des Données) est le texte européen de référence en matière de protection des données personnelles. Entré en application le 25 mai 2018, il s'applique à toute organisation qui traite des données personnelles de résidents de l'UE.
Les 7 principes fondamentaux
Les droits des personnes concernées
| Droit | Ce que ça signifie | Exemple concret |
|---|---|---|
| Droit à l'information | Savoir quelles données sont collectées et pourquoi | La politique de confidentialité d'un site web |
| Droit d'accès | Obtenir une copie de ses données personnelles | Demander à une entreprise quelles données elle a sur vous |
| Droit de rectification | Corriger des données inexactes | Modifier votre adresse dans un fichier client |
| Droit à l'effacement | "Droit à l'oubli" — supprimer ses données | Demander la suppression de votre compte et données |
| Droit à la portabilité | Récupérer ses données dans un format réutilisable | Exporter ses données Facebook en fichier JSON |
| Droit d'opposition | S'opposer au traitement de ses données | Refuser que ses données servent à l'entraînement d'une IA |
Une entreprise collecte les adresses email de ses clients via un formulaire web sans indiquer à quoi elles servent = non-conforme au RGPD (pas de transparence). Elle doit indiquer : "Votre email sera utilisé pour vous envoyer notre newsletter mensuelle. Vous pouvez vous désinscrire à tout moment."
À retenir
- Le RGPD s'applique à toute organisation traitant des données de résidents UE
- 7 principes : licéité, finalité, minimisation, exactitude, conservation limitée, sécurité, responsabilité
- Les personnes ont des droits concrets : accès, rectification, effacement, portabilité, opposition
- Le droit d'opposition est particulièrement important face à l'IA (entraînement des modèles)
RGPD et IA générative : enjeux spécifiques
L'IA générative pose des défis uniques en matière de protection des données. Les modèles comme ChatGPT et Gemini sont entraînés sur des milliards de données — et votre utilisation quotidienne crée aussi des données. Comment le RGPD s'applique-t-il concrètement ?
Les 4 enjeux RGPD spécifiques à l'IA
Cas pratique — Violation RGPD avec l'IA
❌ Situation problématique :
Marie, assistante RH, copie-colle l'évaluation annuelle complète d'un salarié dans ChatGPT (version gratuite) et demande : "Résume cette évaluation en 3 points clés".
Pourquoi c'est une violation RGPD :
- Données RH sensibles (nom, performance, commentaires du manager) envoyées à un serveur américain
- Sur la version gratuite, ces données peuvent servir à entraîner le modèle
- Aucun consentement du salarié pour ce traitement
- Pas de base légale identifiée
✅ Ce qu'elle aurait dû faire :
- Anonymiser les données AVANT de les coller (remplacer le nom par "Salarié A")
- Utiliser un compte professionnel avec l'entraînement désactivé
- Retirer toute information permettant d'identifier la personne
Les recommandations CNIL 2025
La CNIL a publié des recommandations spécifiques à l'IA :
- Ne jamais partager d'informations confidentielles ou de données personnelles dans les outils IA grand public
- Désactiver systématiquement la réutilisation des données pour l'entraînement (cf. Module 6)
- Pour les usages professionnels : utiliser des comptes professionnels dédiés avec des garanties appropriées
- Exercer son droit d'opposition à la réutilisation des données pour l'entraînement
- L'intérêt légitime peut justifier certains traitements IA, mais sous conditions strictes
Sources : CNIL, recommandations de février, juin et juillet 2025
À retenir
- L'IA générative pose 4 enjeux RGPD : consentement, entraînement, transferts hors UE, régurgitation
- Utiliser des données RH/clients dans un prompt sans anonymisation = violation RGPD
- La CNIL recommande de désactiver l'entraînement et d'utiliser des comptes professionnels
- Le droit d'opposition permet de refuser que ses données servent à entraîner les modèles
Bonnes pratiques professionnelles
Au-delà de la théorie, voici les actions concrètes à mettre en place dans votre entreprise pour utiliser l'IA générative en conformité avec le RGPD.
La checklist RGPD pour l'usage de l'IA
- ☐ Rédiger une politique de protection des données intégrant l'usage de l'IA
- ☐ Désigner un DPO (Délégué à la Protection des Données) si ce n'est pas déjà fait
- ☐ Tenir un registre des traitements incluant les usages IA
- ☐ Réaliser une AIPD (Analyse d'Impact) pour tout projet IA à risque élevé
- ☐ Former les équipes aux règles RGPD appliquées à l'IA
- ☐ Créer des prompts éthiques — ne jamais inclure de données personnelles non anonymisées
- ☐ Configurer les outils (désactiver l'entraînement dans ChatGPT et Gemini — cf. Module 6)
- ☐ Mettre en place des audits internes réguliers
Cas pratique — Prompt éthique et anonyme
Contexte : Un agent immobilier veut utiliser ChatGPT pour rédiger une offre d'achat à partir de notes prises en rendez-vous client.
❌ Mauvais prompt : "Rédige une offre d'achat pour M. Jean Dupont, né le 12/04/1975, domicilié 14 rue des Lilas 63000 Clermont-Ferrand, pour l'acquisition du local commercial au 28 avenue de la Gare pour 400 000€."
✅ Bon prompt (anonymisé) : "Rédige une ébauche générique d'offre d'achat pour un entrepreneur, relative à l'acquisition d'un local commercial dans une grande ville française. Le montant estimé est de 400 000 euros, avec des conditions de paiement classiques. Évite tout détail personnel — je compléterai les informations confidentielles moi-même."
Le rôle du DPO face à l'IA
| Responsabilité du DPO | Application concrète avec l'IA |
|---|---|
| AIPD (Analyse d'Impact) | Obligatoire dès que le traitement IA présente un risque élevé pour les droits des personnes |
| Registre des traitements | Documenter chaque usage d'IA et sa base légale |
| Transparence | S'assurer que les clients sont informés de l'usage d'IA |
| Shadow AI | Surveiller les usages non autorisés d'outils IA par les employés |
| Accords de traitement | Vérifier les DPA (Data Processing Agreements) avec OpenAI, Google, etc. |
Le Shadow AI désigne l'utilisation d'outils IA par les employés sans l'accord ni la connaissance de l'entreprise. Un salarié qui copie-colle des données clients dans ChatGPT sur son compte personnel crée un risque RGPD majeur. La solution : fournir des outils validés et former les équipes.
À retenir
- 8 actions concrètes à mettre en place : politique, DPO, registre, AIPD, formation, prompts éthiques, config outils, audits
- Toujours anonymiser les données avant de les soumettre à une IA
- Le DPO voit ses responsabilités s'élargir avec l'IA
- Le Shadow AI est un risque majeur — la formation et les outils validés sont la solution