Digityx Studios
Retour aux ressources

Compliance

IA générative et RGPD.

L'IA générative pose des défis inédits en matière de protection des données personnelles. La CNIL a publié plusieurs recommandations spécifiques que toute entreprise utilisant ces technologies doit connaître.

RGPD et IA générative

Avertissement

Les sanctions peuvent atteindre 4% du CA mondial. Au-delà du risque juridique, c'est la confiance des clients et collaborateurs qui est en jeu.

Positions CNIL

Les exigences réglementaires à respecter.

Les principes clés de la CNIL pour tout projet d'IA générative.

01

Finalité du traitement

Exigence

Chaque usage d'IA doit avoir une finalité déterminée, explicite et légitime

Exemple

Un chatbot RH ne peut pas réutiliser les conversations pour entraîner un modèle marketing

Risque

Détournement de finalité = traitement illicite

02

Minimisation des données

Exigence

Ne collecter que les données strictement nécessaires à l'objectif poursuivi

Exemple

Pour résumer un email, pas besoin de stocker l'historique complet de la boîte mail

Risque

Collecte excessive = non-conformité

03

Base légale

Exigence

Identifier la base légale appropriée (consentement, intérêt légitime, contrat...)

Exemple

L'intérêt légitime ne suffit pas toujours : le consentement peut être requis pour certains usages IA

Risque

Base légale invalide = traitement illicite

04

Information des personnes

Exigence

Informer clairement que l'IA est utilisée et comment

Exemple

Mention explicite si un chatbot est une IA, pas un humain

Risque

Défaut d'information = manquement sanctionnable

05

Droits des personnes

Exigence

Garantir l'exercice des droits (accès, rectification, effacement, opposition)

Exemple

Pouvoir supprimer ses données des contextes utilisés par le modèle

Risque

Impossibilité technique n'est pas une excuse valable

Catégories de données

Règles et risques par type de données.

Données sensibles (art. 9)

Exemples

Origine ethniqueOpinions politiquesDonnées de santéOrientation sexuelle

Règle

Interdiction de principe sauf exceptions limitées

Risque IA

Les LLMs peuvent inférer des données sensibles à partir de données anodines

Données RH

Exemples

CVÉvaluationsEmails professionnelsConversations internes

Règle

Base légale généralement = exécution du contrat de travail

Risque IA

Attention aux biais dans le recrutement assisté par IA

Données clients

Exemples

Historique d'achatsConversations supportPréférences

Règle

Intérêt légitime possible mais analyse au cas par cas

Risque IA

Le profilage automatisé a des règles spécifiques (art. 22)

Données publiques

Exemples

Posts réseaux sociauxAvis en ligneDonnées web scrapées

Règle

Public ne signifie pas libre de droits

Risque IA

Le scraping massif pour entraîner des modèles pose question

Best practices

Actions concrètes à chaque étape.

Avant le projet

  • Réaliser une Analyse d'Impact (AIPD) si traitement à risque
  • Documenter la finalité et la base légale dans le registre des traitements
  • Impliquer le DPO dès la conception
  • Cartographier les flux de données vers les API externes

Pendant le développement

  • Privacy by design : anonymisation, pseudonymisation par défaut
  • Minimiser les données envoyées aux LLMs (pas de données brutes si évitable)
  • Chiffrement en transit et au repos
  • Logs d'accès et traçabilité des requêtes

En production

  • Information claire des utilisateurs (mention IA, finalité)
  • Mécanisme d'opt-out fonctionnel
  • Procédure de réponse aux demandes d'exercice de droits
  • Revue périodique de conformité

Avec les fournisseurs

  • Clause contractuelle sur le non-réentraînement sur vos données
  • Vérifier la localisation des traitements (UE vs hors UE)
  • Data Processing Agreement (DPA) conforme
  • Audit de sécurité du fournisseur

Comparaison

Points d'attention par fournisseur

Vérifiez toujours les conditions actuelles, car elles évoluent fréquemment

FournisseurRétentionRéentraînementLocalisation
OpenAI (API)30 jours par défaut, opt-out possiblePas de réentraînement sur les données API (depuis mars 2023)USA. Nécessite des garanties appropriées (SCCs)
Anthropic (Claude API)30 jours, configurablePas de réentraînement sur les données API par défautUSA. SCCs nécessaires
Azure OpenAIConfigurable, option zéro rétentionPas de réentraînement, données isoléesRégions UE disponibles
Google Vertex AIConfigurablePas de réentraînement sur données clientRégions UE disponibles

Checklist

Points de contrôle conformité.

Mise en conformité

Auditons vos usages IA sous l'angle RGPD.

Nous cartographions vos traitements, identifions les risques, et proposons un plan de mise en conformité priorisé.

Demander un auditDécouvrir nos services