L'IA générative pose des défis inédits en matière de protection des données personnelles. La CNIL a publié plusieurs recommandations spécifiques que toute entreprise utilisant ces technologies doit connaître.
Les sanctions peuvent atteindre 4% du CA mondial. Au-delà du risque juridique, c'est la confiance des clients et collaborateurs qui est en jeu.
Les exigences réglementaires clés à respecter pour tout projet d'IA générative.
Chaque usage d'IA doit avoir une finalité déterminée, explicite et légitime
Exemple
Un chatbot RH ne peut pas réutiliser les conversations pour entraîner un modèle marketing
Risque
Détournement de finalité = traitement illicite
Ne collecter que les données strictement nécessaires à l'objectif poursuivi
Exemple
Pour résumer un email, pas besoin de stocker l'historique complet de la boîte mail
Risque
Collecte excessive = non-conformité
Identifier la base légale appropriée (consentement, intérêt légitime, contrat...)
Exemple
L'intérêt légitime ne suffit pas toujours : le consentement peut être requis pour certains usages IA
Risque
Base légale invalide = traitement illicite
Informer clairement que l'IA est utilisée et comment
Exemple
Mention explicite si un chatbot est une IA, pas un humain
Risque
Défaut d'information = manquement sanctionnable
Garantir l'exercice des droits (accès, rectification, effacement, opposition)
Exemple
Pouvoir supprimer ses données des contextes utilisés par le modèle
Risque
Impossibilité technique n'est pas une excuse valable
Chaque type de données a ses règles spécifiques, et ses risques propres avec l'IA.
Exemples
Règle
Interdiction de principe sauf exceptions limitées
Risque IA
Les LLMs peuvent inférer des données sensibles à partir de données anodines
Exemples
Règle
Base légale généralement = exécution du contrat de travail
Risque IA
Attention aux biais dans le recrutement assisté par IA
Exemples
Règle
Intérêt légitime possible mais analyse au cas par cas
Risque IA
Le profilage automatisé a des règles spécifiques (art. 22)
Exemples
Règle
Public ne signifie pas libre de droits
Risque IA
Le scraping massif pour entraîner des modèles pose question
Actions concrètes à chaque étape de votre projet IA.
Vérifiez toujours les conditions actuelles, car elles évoluent fréquemment
| Fournisseur | Rétention données | Réentraînement | Localisation |
|---|---|---|---|
| OpenAI (API) | 30 jours par défaut, opt-out possible | Pas de réentraînement sur les données API (depuis mars 2023) | USA. Nécessite des garanties appropriées (SCCs) |
| Anthropic (Claude API) | 30 jours, configurable | Pas de réentraînement sur les données API par défaut | USA. SCCs nécessaires |
| Azure OpenAI | Configurable, option zéro rétention | Pas de réentraînement, données isolées | Régions UE disponibles |
| Google Vertex AI | Configurable | Pas de réentraînement sur données client | Régions UE disponibles |
Nous auditons vos usages IA et vous accompagnons dans la mise en conformité RGPD de vos projets d'intelligence artificielle.