En 2025, la quasi-totalité des PME utilisent au moins un outil IA dans leur quotidien — souvent sans politique claire sur les données. C'est compréhensible : les outils sont simples, les gains sont immédiats, et la CNIL n'a pas encore frappé à votre porte. Mais le cadre légal existe, et il est temps de s'y conformer simplement.
Réalité en 2025 : 68 % des PME utilisent des outils IA sans charte formelle. La CNIL a ouvert 15 dossiers d'investigations en 2024-2025 sur des usages IA. Les amendes varient de €5k à €20M selon la gravité. Même une petite amende peut faire mal à une PME.
Le vrai problème : vos données sortent souvent de France
Quand un collaborateur colle un contrat client dans ChatGPT pour en extraire les points clés, que se passe-t-il avec ces données ? Elles partent vers les serveurs d'OpenAI, aux États-Unis. Si votre plan ChatGPT ne précise pas le contraire — ce qui est souvent le cas pour les plans grand public — ces données peuvent être utilisées pour améliorer les modèles.
Ce n'est pas anodin si :
- Vous traitez des données personnelles de clients (noms, emails, téléphones…)
- Vous envoyez des informations financières ou commerciales confidentielles
- Vous êtes dans un secteur réglementé (santé, finance, juridique…)
- Vos contrats clients incluent des clauses de confidentialité
Rappel légal : Le RGPD s'applique dès que vous traitez des données personnelles de résidents européens. L'utilisation d'un outil IA est un traitement de données comme un autre — ce n'est pas optionnel.
Les 5 questions à se poser pour chaque outil IA
1. Où sont hébergées les données ?
Union européenne ? États-Unis ? La plupart des grands acteurs (OpenAI, Google, Microsoft) proposent des options d'hébergement européen sur leurs offres enterprise. Un hébergement UE avec des garanties contractuelles (clauses contractuelles types) est la situation idéale.
2. Vos données servent-elles à entraîner le modèle ?
Sur les plans gratuits ou grand public, la réponse est souvent oui par défaut (bien que vous puissiez vous désinscrire). Sur les plans enterprise ou API, la réponse est généralement non. Vérifiez les conditions générales et activez les bons paramètres.
3. Avez-vous un DPA (Data Processing Agreement) ?
Tout sous-traitant qui traite vos données doit signer un DPA avec vous. ChatGPT Teams et Enterprise, Microsoft 365, Google Workspace Business — tous proposent ce document. Sans DPA signé, vous n'êtes pas en règle vis-à-vis du RGPD.
4. Vos collaborateurs sont-ils informés ?
Le RGPD impose d'informer vos salariés de l'utilisation des données dans le cadre de leur travail. Une note interne sur les usages autorisés de l'IA, les données que l'on ne met jamais dans un outil IA, et les outils validés par l'entreprise — c'est la base minimale.
5. Avez-vous une politique IA écrite ?
Une "Charte IA" d'une page suffit pour commencer. Elle définit : quels outils sont autorisés, quelles données ne doivent jamais y entrer, qui valide les nouveaux outils, et comment signaler un incident. Ce document vous protège aussi en cas d'audit.
Tableau de conformité RGPD : les solutions du marché
| Outil / Plan | Hébergement | DPA signé | Données d'entraînement | Pour les PME |
|---|---|---|---|---|
| ChatGPT (gratuit) | USA | Non ✗ | Oui ✗ | ⚠ Données publiques uniquement |
| ChatGPT Teams/Enterprise | USA/EU option | Oui ✓ | Non ✓ | ✓ Pour données sensibles |
| Copilot M365 (Business) | EU ✓ | Oui (MPA) ✓ | Non ✓ | ✓ Excellent choix PME |
| Gemini Workspace (Business) | EU ✓ | Oui ✓ | Non ✓ | ✓ Excellent choix PME |
| Mistral (API/Entreprise) | France ✓ | Oui ✓ | Non ✓ | ✓ Souveraineté max |
À noter : "DPA signé" signifie Data Processing Agreement. C'est le contrat légal requis quand un fournisseur (OpenAI, Microsoft, etc.) traite vos données. Vérifiez que votre plan l'inclut. Consultez les recommandations officielles de la CNIL pour plus de détails.
La solution pragmatique pour une PME
Pas besoin de tout bloquer pour être conforme. Une approche en 3 niveaux fonctionne bien :
Approche 3 niveaux : (1) Données internes non sensibles → outils grand public OK avec précautions. (2) Données clients / contrats → uniquement outils avec DPA signé. (3) Données sensibles ou secteur réglementé → solutions souveraines (Mistral, hébergement privé) ou exclusion totale.
Matrice des risques : quelles données, où ?
| Type de données | Risque RGPD | Recommandation |
|---|---|---|
| Notes internes, idées | Bas ≈ | ✓ ChatGPT gratuit OK (avec prudence) |
| Textes publics, contenu blog | Bas ≈ | ✓ Tous les outils OK |
| Noms clients, emails, téléphones | Moyen ⚠ | ✓ Outil avec DPA obligatoire |
| Contrats clients, tarifs confidentiels | Moyen ⚠ | ✓ Outil avec DPA + hébergement EU |
| Données de santé, données biométriques | Élevé ✗ | ✗ Mistral hébergement FR ou solution locale |
| Données financières strictes (bilans, virements) | Élevé ✗ | ✗ Ne pas utiliser d'IA cloud sans accord légal préalable |
Checklist de conformité : 4 actions à faire cette semaine
□ Audit rapide (2 heures)
- □ Lister les 3-5 outils IA utilisés par vos équipes
- □ Pour chaque outil : vérifier si DPA disponible (dans les conditions générales)
- □ Noter les données sensibles qu'on y met actuellement
□ Politique IA minimale (1-2 heures)
- □ Créer un document "Charte IA" d'une page avec :
- Outils autorisés par type de données
- Données qu'on ne met jamais (PII, secrets, contrats…)
- Personne responsable des nouvelles demandes d'outils
- Procédure en cas d'incident (données copiées accidentellement, etc.)
- □ Faire signer la charte par tous les collaborateurs (email suffit)
□ Sécuriser vos données sensibles (2-3 heures)
- □ Si vous utilisez ChatGPT Teams/Enterprise : activation du DPA dans les settings
- □ Si vous êtes sur M365/Google Workspace : vérifier que les plans business incluent les protections (ils la plupart du temps)
- □ Interdire les outils gratuits pour données clients (email de rappel à l'équipe)
□ Documenter (30 minutes)
- □ Ajouter dans votre "Registre des Activités de Traitement" (RAT) : "Utilisation d'outils IA pour [type de traitement]"
- □ Indiquer le fournisseur, le type de données, la justification commerciale
- □ Conserver ce document 3 ans (au cas où)
Questions fréquentes et risques concrets
Mon collaborateur a copié un contrat client dans ChatGPT gratuit. C'est grave ?
Pas catastrophique, mais il faut documenter l'incident. Si le contrat contient des données personnelles (noms, emails), il y a un risque RGPD. Actions immédiates : (1) documenter l'incident (date, données, contenu), (2) informer votre responsable conformité interne, (3) mettre à jour la charte IA pour éviter que ça se répète, (4) utiliser un outil avec DPA pour les données clients. La CNIL accepte les PME qui agissent rapidement après un incident.
Faut-il demander la permission des clients pour utiliser l'IA sur leurs données ?
Légalement, si vous utilisez un outil avec DPA signé et hébergement conforme, non. Votre droit de traiter les données clients pour votre gestion administrative suffit. Cependant, en pratique, si vous traitez des données très sensibles (santé, finance), informer le client est une bonne pratique. Une ligne dans votre politique de confidentialité du site suffit : "Nous utilisons [outil IA] pour optimiser notre service, sans données personnelles à titre entraînement".
Est-ce que Copilot M365 ou Gemini Workspace sont vraiment 100% conformes ?
Oui, sur le plan contractuel : DPA signé, hébergement EU, pas d'utilisation pour entraînement, transparence complète. Cependant, la conformité c'est aussi votre usage : ne pas mettre des données excessives, documenter, former vos équipes. Ces outils offrent le cadre légal, à vous de l'utiliser correctement.
Quel est le risque réel d'une amende CNIL pour une PME ?
La CNIL cible surtout les grandes entreprises (Google, Meta, Microsoft), mais des PME ont été amendées : e-commerce de 10 personnes (€10k), cabinet médical (€5k), conseil en RH (€8k). Les critères : taille de l'entreprise, gravité (données sensibles ?), réaction rapide. Une PME qui peut montrer une charte IA et une action corrective rapide après un incident aura une amende réduite. Pas avoir de charte du tout = situation beaucoup plus risquée.
Dois-je faire appel à un avocat ou un DPO pour la conformité IA ?
Pour une PME de moins de 50 personnes avec des données clients simples : une charte IA d'une page et une vérification des plans payants suffit. Un DPO (Data Protection Officer) est obligatoire à partir de 250 salariés ou si vous traitez massives données sensibles. Un audit légal chez un avocat spécialisé RGPD (€500-€1000) peut valoir le coup si vous avez doutes.
Ce que la CNIL recommande concrètement
La CNIL a publié des recommandations sur l'IA générative. Les points clés pour les PME :
- Pas de données personnelles identifiantes dans des outils sans DPA signé
- Former les collaborateurs avant de déployer un outil IA en production
- Documenter les traitements IA dans votre Registre des Activités de Traitement (RAT)
- Préférer les API (avec contrats) aux interfaces grand public pour les usages professionnels
À retenir en 30 secondes
- 68% des PME n'ont pas de charte IA → risque d'amende CNIL (€5k-€20M selon gravité)
- Les plans gratuits d'IA (ChatGPT gratuit) ne conviennent PAS aux données sensibles
- ✓ Copilot M365 Business et Gemini Workspace Business : conformes RGPD nativement
- ✓ Mistral offre l'hébergement souverain français pour secteurs hyper-réglementés
- ✓ DPA (accord de sous-traitance) est OBLIGATOIRE pour tout outil traitant données clients
- ✓ Une Charte IA d'une page (outils autorisés, données interdites) suffit pour débuter
- 4 actions faciles : audit (2h) + charte (2h) + sécuriser données (3h) + documen (30min)