Le déploiement de l'IA générative en entreprise soulève des questions RGPD que de nombreuses DSI n'ont pas encore pleinement anticipées. Envoyer des données personnelles à un LLM externe, utiliser des données clients pour entraîner un modèle, générer du contenu personnalisé avec un assistant IA : chacune de ces actions a des implications réglementaires précises.

Les 3 types de traitements IA qui concernent le RGPD

1. Envoyer des données à un LLM externe (API OpenAI, Anthropic…)

Chaque appel API contenant des données personnelles constitue un transfert de données vers un tiers. Si ce tiers est américain, vous effectuez un transfert international. Vous devez : avoir une base légale, signer un DPA avec le fournisseur, et vous assurer que des garanties appropriées existent pour le transfert international.

2. Fine-tuning sur des données internes

Entraîner un modèle sur vos données constitue un traitement de données personnelles si ces données en contiennent. Vous devez identifier la base légale, documenter les finalités, et prévoir les droits des personnes — notamment le droit à l'effacement, particulièrement complexe pour un modèle fine-tuné.

3. Génération de contenu sur des personnes identifiables

Utiliser un LLM pour générer des analyses sur des personnes identifiables (candidats, clients, employés) peut constituer une prise de décision automatisée soumise à l'article 22 du RGPD. Les personnes ont alors le droit à l'intervention humaine, à l'explication et à la contestation.

La question du transfert international : le Cloud Act américain

Le Cloud Act américain de 2018 permet aux autorités américaines d'exiger l'accès aux données stockées par des entreprises américaines, même sur des serveurs en Europe. Même si OpenAI héberge des données en Europe via Azure, les autorités américaines peuvent théoriquement y accéder. Solution recommandée : pour les données sensibles, utilisez des LLM déployés on-premise ou sur un cloud souverain français.

Le registre des traitements : documenter vos déploiements IA

Chaque nouveau traitement IA qui implique des données personnelles doit être documenté dans votre registre RGPD (article 30). Créez une fiche de traitement pour chaque outil IA déployé : chatbot interne, assistant documentaire RAG, outil d'analyse de CV, générateur de rapports.

Les droits des personnes concernées et l'IA

—Droit d'information : les personnes doivent être informées que leurs données sont utilisées dans un système IA.
—Droit d'accès : les personnes peuvent demander l'accès aux données les concernant traitées par votre système IA.
—Droit à l'effacement : particulièrement complexe pour les modèles fine-tunés — prévoyez une procédure de machine unlearning.
—Droit à l'explication : pour les décisions automatisées, les personnes ont le droit de comprendre la logique sous-jacente.
—Droit d'opposition : possibilité pour les personnes de s'opposer à l'utilisation de leurs données dans un système IA basé sur l'intérêt légitime.

Les 5 recommandations pratiques pour les DSI

—Cartographiez vos déploiements IA existants : de nombreuses entreprises utilisent déjà des outils IA (GitHub Copilot, Microsoft Copilot) sans avoir évalué leur conformité RGPD.
—Signez des DPA avec tous vos fournisseurs IA : vérifiez les clauses relatives à l'utilisation de vos données pour l'amélioration des modèles.
—Privilégiez les déploiements souverains pour les données sensibles : on-premise ou cloud français.
—Impliquez votre DPO dès la conception des projets IA : le Privacy by Design s'applique à l'IA comme à tout traitement.
—Formez vos équipes : les collaborateurs qui utilisent des outils IA doivent comprendre ce qu'ils peuvent et ne peuvent pas soumettre comme données.

La conformité RGPD de l'IA n'est pas une contrainte à contourner mais une discipline qui protège votre entreprise. Les amendes RGPD peuvent atteindre 4 % du chiffre d'affaires mondial, et les premières décisions contre des entreprises utilisant des LLM sans conformité adéquate commencent à émerger en Europe.