Le RGPD plus l'AI Act européen entré en vigueur. Pour un dirigeant PME, ça fait beaucoup de pages à lire. Voici l'essentiel à comprendre pour être en règle sans devenir avocat.

Les 4 questions à se poser avant de déployer une IA

  1. Quelles données personnelles je traite ? Nom, email, comportement, voix, image. Si la réponse est "aucune", la majorité du RGPD ne s'applique pas.
  2. Quelle est ma base de licéité ? Consentement, contrat, intérêt légitime, obligation légale. Sans base de licéité, le traitement est illicite.
  3. Où va la donnée ? En UE, hors UE avec clauses contractuelles, hors UE sans cadre. Chaque cas a un régime différent.
  4. Mon usage IA est-il "à haut risque" au sens AI Act ? Recrutement, notation crédit, évaluation salariés. Si oui, obligations renforcées.

Les bases de licéité utilisables en B2B

Intérêt légitime : la base la plus fréquente en B2B. Permet d'utiliser de l'IA pour optimiser des process internes, à condition que l'intérêt de l'entreprise prime sur les droits des personnes (test de balance documenté).

Contrat : si le traitement IA est nécessaire pour exécuter un contrat avec le client. Exemple : agent IA support qui répond aux clients ayant souscrit votre service.

Consentement : nécessaire pour tout traitement marketing ou tout usage IA non prévu au contrat. Doit être libre, éclairé, spécifique, révocable.

Transferts hors UE (USA, UK, autres)

Quand vous utilisez OpenAI, Anthropic, Google AI, vos données peuvent transiter par les USA. Depuis 2023, le DPF (Data Privacy Framework) UE-US permet ces transferts si le provider est certifié.

Pratique : vérifiez que le provider IA est sur la liste DPF, sinon utilisez les Clauses Contractuelles Types (CCT) ou auto-hébergez. Documentez ce choix dans votre registre des traitements.

AI Act : ce qui change pour les PME

Pour 95% des usages PME (productivité interne, automatisation reporting, support client basique), l'AI Act n'impose presque rien.

Les usages "à haut risque" déclenchent des obligations : transparence, supervision humaine, documentation, audit. Concerne RH (recrutement), scoring crédit, biométrie, et certains usages éducation.

Droits des personnes : le minimum à câbler

  • Information claire qu'une IA est utilisée (mention dans politique de confidentialité)
  • Droit d'accès aux données utilisées
  • Droit d'opposition à un traitement par décision automatisée
  • Droit à intervention humaine sur décisions importantes

La checklist pratique (15 minutes)

  1. Lister les outils IA utilisés dans l'entreprise
  2. Vérifier qu'ils sont sur le DPF ou couverts par CCT
  3. Mettre à jour la politique de confidentialité (1 paragraphe IA)
  4. Documenter la base de licéité de chaque traitement IA
  5. Former 30 minutes les équipes sur ce qui peut/ne peut pas aller dans l'IA
Le RGPD n'interdit pas l'IA. Il oblige à savoir ce qu'on fait. Pour la majorité des PME, c'est 4 heures de cadrage, pas un projet 6 mois.

Tu veux qu'on identifie ta contrainte IA n°1 ?

Audit offert 25 min avec Maxence. Plan d'action écrit livré sous 48h.

Réserver mon audit