RGPD et IA générative : ce que votre PME fait probablement mal en 2026
En janvier 2026, la CNIL a infligé 42 millions d'euros d'amende à Free Mobile et Free pour manquements à la sécurité des données. Les sanctions RGPD ont augmenté de 340 % en 2025, et 60 % des PME restent non conformes. Utiliser ChatGPT, Claude ou Copilot en entreprise sans cadre juridique, c'est aujourd'hui le principal angle mort des PME françaises.
Pourquoi le RGPD et l'IA générative sont inséparables
Quand un collaborateur tape une question dans ChatGPT avec des données clients, des informations de dossier ou des données RH, ces données quittent l'entreprise et partent sur des serveurs américains. C'est un transfert de données personnelles au sens du RGPD. Le fait que l'outil soit grand public ne change rien : vous restez responsable du traitement.
La CNIL a publié des recommandations explicites depuis 2023 sur l'usage des outils d'IA générative en entreprise. En 2026, ces recommandations sont devenues des critères de contrôle. Les organisations qui n'ont pas cadré leurs usages IA s'exposent à des mises en demeure, voire à des sanctions.
Chiffre à connaître : 86 % des entreprises françaises continuent d'envoyer des données sensibles à des IA américaines soumises au Cloud Act, souvent sans le savoir et sans encadrement contractuel (IDC, 2025).
Les 5 erreurs RGPD les plus fréquentes avec l'IA en PME
Erreur 1 : utiliser la version grand public de ChatGPT ou Claude pour des données professionnelles
Les versions grand public (gratuite ou abonnement individuel) de ChatGPT, Claude.ai et Gemini utilisent vos conversations pour améliorer leurs modèles, sauf désactivation explicite dans les paramètres. Par défaut, vos données d'entreprise alimentent l'entraînement du modèle. C'est une violation potentielle du RGPD si ces données contiennent des informations sur des personnes identifiables.
La solution : utiliser uniquement les versions API ou Enterprise de ces outils, qui incluent un DPA (Data Processing Agreement) et excluent contractuellement l'usage des données pour l'entraînement. Ou déployer un modèle local (voir notre article sur Ollama).
Erreur 2 : ne pas signer de DPA avec le fournisseur d'IA
Un DPA (accord de traitement des données) est obligatoire quand vous confiez des données personnelles à un sous-traitant. Quand votre workflow n8n appelle Claude API ou GPT-4 avec des données clients, le fournisseur est un sous-traitant au sens RGPD. Sans DPA signé, le traitement est non conforme, quelle que soit la qualité technique de votre intégration.
Anthropic, OpenAI et Mistral proposent tous des DPA pour leurs offres API. Ce document doit être signé et archivé. Chez WorkFlow, nous intégrons systématiquement cette étape dans notre process de déploiement.
Erreur 3 : oublier les droits des personnes sur les données traitées par l'IA
Si vos workflows IA traitent des données de clients, de prospects ou de salariés, ces personnes conservent leurs droits RGPD : droit d'accès, de rectification, d'effacement, d'opposition. Si une personne vous demande la suppression de ses données, cela inclut potentiellement les traces dans vos logs n8n, dans votre base RAG, dans votre historique d'appels API.
La solution : documenter précisément quelles données transitent par quels systèmes IA, combien de temps elles sont conservées, et mettre en place un processus de réponse aux demandes de droits.
Erreur 4 : ne pas réaliser d'AIPD pour les traitements à risque élevé
Une Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Cela inclut les traitements à grande échelle de données sensibles, le profilage automatisé avec effets juridiques, et certains usages de l'IA générative en RH ou dans la relation client.
Beaucoup de PME ne savent pas qu'une AIPD est requise pour leur chatbot client qui collecte des données ou pour leur outil de scoring commercial automatisé. La CNIL met à disposition un outil gratuit (PIA) pour réaliser cette analyse.
Erreur 5 : le Shadow AI non détecté et non encadré
Le Shadow AI désigne l'usage d'outils IA par les collaborateurs en dehors de tout cadre approuvé par l'entreprise. Un commercial qui copie des données clients dans Claude.ai, une RH qui soumet des CV à ChatGPT, un comptable qui envoie des bilans à Gemini : ces usages existent dans la grande majorité des organisations, souvent à l'insu de la direction.
Ce risque est difficile à éliminer entièrement, mais il peut être réduit par deux actions complémentaires : publier une politique d'utilisation de l'IA en entreprise (quels outils sont autorisés, pour quelles données), et proposer des alternatives officielles et approuvées qui couvrent les besoins des collaborateurs.
La checklist RGPD-IA en 10 points pour une PME
| Point de contrôle | Action requise | Priorité |
|---|---|---|
| DPA avec chaque fournisseur IA | Signer et archiver le DPA | Critique |
| Registre des traitements mis à jour | Ajouter les traitements IA identifiés | Critique |
| Version API / Enterprise uniquement | Passer aux plans sans utilisation pour entraînement | Critique |
| Politique IA interne publiée | Rédiger et diffuser la charte d'usage IA | Haute |
| AIPD si traitement à risque | Réaliser l'analyse avec l'outil CNIL PIA | Haute |
| Transferts hors UE documentés | Identifier les flux vers serveurs US, mettre en conformité | Haute |
| Droits des personnes couverts | Processus de réponse aux demandes RGPD incluant les IA | Haute |
| Logs et rétention limités | Purge automatique des logs au-delà de la durée nécessaire | Moyenne |
| Formation collaborateurs | Sensibilisation aux risques du Shadow AI | Moyenne |
| Audit annuel | Revue des outils IA en place et de leur conformité | Basse |
Ce que la CNIL surveille en priorité en 2026
La CNIL a annoncé trois domaines de contrôle prioritaires en 2026 pour les usages IA :
- Les systèmes RH automatisés : tout outil de scoring de candidats, d'évaluation automatique de performance ou de planification des équipes est dans le viseur.
- Les traitements de données sensibles via IA : santé, finances, données biométriques. Un chatbot médical ou un analyseur de bulletins de salaire entre dans cette catégorie.
- La transparence envers les personnes : informer explicitement un client ou un salarié qu'une IA participe à une décision le concernant.
Un point souvent négligé : la CNIL peut être alertée par n'importe quel salarié ou client, pas seulement sur plainte. Si un collaborateur signale que son entreprise envoie des dossiers clients à ChatGPT sans cadre, la CNIL peut ouvrir un contrôle.
La conformité ne protège pas seulement des amendes : elle protège aussi des conflits internes.
RGPD et n8n : les bonnes pratiques spécifiques
Pour les workflows n8n que WorkFlow déploie chez ses clients, voici les pratiques que nous appliquons systématiquement :
- Minimisation des données : on ne passe dans le workflow que les champs strictement nécessaires. Si le workflow a besoin du nom du client pour générer un email, on n'envoie pas aussi sa date de naissance et son IBAN.
- Pseudonymisation avant appel API : quand des données doivent passer par une API externe, on pseudonymise les identifiants personnels en amont et on re-mappe en aval. Le fournisseur d'IA ne reçoit jamais l'identité réelle.
- Rétention automatique : les logs de workflow sont purgés après une durée définie (en général 30 à 90 jours selon le cas d'usage). Aucune donnée personnelle ne s'accumule indéfiniment dans les logs n8n.
- Audit trail : chaque exécution est horodatée et tracée. En cas de demande d'accès d'une personne, on peut répondre précisément sur quelles données ont été traitées et quand.