🔐 Espace Nikitos
    Retour au blog
    Conformité27 février 2025

    IA et RGPD : ce que toute entreprise doit savoir avant de se lancer

    EL

    Émilie Le Goff

    Fondatrice de NIKITA

    IA et RGPD : ce que toute entreprise doit savoir avant de se lancer

    L'IA soulève des questions légitimes sur la protection des données. RGPD, AI Act, confidentialité des échanges avec les modèles... Entre obligations réelles et craintes infondées, difficile de s'y retrouver.

    Voici les points essentiels à connaître avant de déployer l'IA dans votre entreprise.

    Ce que dit le RGPD sur l'IA

    Le RGPD ne mentionne pas directement les modèles de langage, mais il s'applique à tout traitement de données personnelles. Utiliser un outil IA avec des données de clients, d'employés ou de prospects déclenche des obligations.

    Les principes fondamentaux à respecter

    • Minimisation des données : ne fournir à l'outil IA que ce qui est strictement nécessaire
    • Finalité limitée : ne pas utiliser les données pour un autre objectif que celui de leur collecte
    • Durée de conservation : ne pas conserver indéfiniment les historiques de conversations

    Que font vos données dans ChatGPT ou Claude ?

    Les versions grand public peuvent utiliser vos échanges pour améliorer leurs modèles. Les versions entreprise (ChatGPT Enterprise, Claude for Work) offrent des garanties contractuelles : pas d'utilisation pour l'entraînement, isolation des données, journaux d'accès disponibles.

    La règle simple

    Version gratuite ou personnelle : ne jamais y saisir de données clients, RH ou financières sensibles. Version entreprise avec contrat de traitement des données : utilisable pour des usages professionnels sous réserve d'un paramétrage adéquat.

    L'AI Act européen : ce qui change concrètement

    L'AI Act, entré en vigueur en août 2024, classe les systèmes IA par niveau de risque. Pour la grande majorité des usages en entreprise comme la rédaction, l'analyse ou le support, le niveau de risque est faible et les obligations sont légères. Les usages à risque élevé comme le recrutement, l'octroi de crédit ou la notation d'employés sont soumis à des exigences strictes de transparence et d'auditabilité.

    Les bonnes pratiques à adopter

    • Désigner un interlocuteur interne responsable des outils IA
    • Documenter les usages et les données traitées
    • Former les équipes aux règles de base de confidentialité
    • Choisir des fournisseurs proposant un contrat de sous-traitance conforme (DPA)

    Vous voulez déployer l'IA en toute conformité ? NIKITA vous accompagne avec une approche conforme AI Act et RGPD dès la conception.

    Évaluer ma conformité

    Prêt à passer à l'action ?

    Nous accompagnons les entreprises dans leur transformation IA.

    Prendre rendez-vousVoir nos formations
    ← Tous les articles

    Passez à l'action

    Formations et services pour concrétiser votre stratégie IA