1. La base légale du traitement

Toute utilisation de données personnelles dans un système IA doit reposer sur une base légale au sens du RGPD. Il en existe six : le consentement, l'exécution d'un contrat, l'obligation légale, la protection des intérêts vitaux, la mission d'intérêt public et l'intérêt légitime. La grande majorité des usages IA en PME reposent sur l'une des trois premières.

Un agent de relance de factures qui accède aux données de vos clients pour leur envoyer des emails repose sur l'exécution du contrat commercial qui vous lie à eux. Un agent de qualification de leads qui analyse les données d'un prospect peut s'appuyer sur l'intérêt légitime, à condition que cet intérêt ne prime pas sur les droits du prospect. Un agent de support client qui traite des données de santé ou des informations sensibles nécessite un consentement explicite.

Ce qui ne constitue pas une base légale : le fait que l'IA "en ait besoin pour fonctionner". L'IA n'est pas une exemption au RGPD. Définir la base légale avant le déploiement est une étape non négociable.

2. La durée de conservation

Le principe de limitation de la conservation impose que les données ne soient conservées que le temps nécessaire à la finalité du traitement. Pour un agent IA, cela signifie qu'il faut définir combien de temps les données clients alimentent le système, les logs de traitement, les historiques de décision.

En pratique : les données d'un prospect qui n'a pas répondu à vos relances depuis 18 mois ne justifient pas d'être conservées indéfiniment dans votre CRM ou accessibles à votre agent. Une purge automatique doit être configurée selon vos délais de rétention définis, et ces délais doivent être documentés dans votre registre des traitements.

Cette règle protège aussi contre les risques de fuite : moins de données conservées signifie moins de surface d'attaque en cas d'incident de sécurité.

3. Les transferts hors UE

La plupart des modèles d'IA performants sont hébergés ou développés par des entreprises américaines : OpenAI, Anthropic, Google, Microsoft. Dès lors qu'un agent IA envoie des données personnelles à ces fournisseurs — pour les analyser, les résumer, les classer — un transfert de données hors Union Européenne est effectué.

Ce transfert est légal, mais il exige un cadre contractuel adapté. Les clauses contractuelles types (CCT) de la Commission Européenne sont le mécanisme le plus courant pour encadrer ces transferts. Elles imposent des obligations au fournisseur américain sur la protection des données reçues. La plupart des grands fournisseurs (OpenAI, Microsoft Azure) proposent ces clauses dans leurs contrats entreprise.

Il est fortement déconseillé d'envoyer des données identifiantes (nom, email, numéro de téléphone, SIRET) sans vérifier que votre fournisseur IA a signé ces clauses avec vous. Une solution alternative est la pseudonymisation des données avant leur envoi au modèle — l'agent reçoit un identifiant opaque et réconcilie avec les données réelles en interne.

4. Le droit à l'explication

Le règlement européen sur l'IA (AI Act, applicable depuis 2025) et l'article 22 du RGPD encadrent les décisions automatisées dites "significatives". Une décision significative est celle qui produit un effet juridique ou affecte substantiellement la personne concernée : refus de crédit, score de solvabilité, exclusion d'une offre, catégorisation d'un profil client.

Si votre agent IA score des leads et décide automatiquement qu'un contact ne mérite pas de réponse commerciale, ou si un agent de scoring clients catégorise automatiquement un client en "à risque" et déclenche des procédures de recouvrement accélérées, ces décisions peuvent être qualifiées de significatives. Dans ce cas, la personne concernée a le droit de demander une explication humaine de la décision et de contester le résultat.

La mise en conformité pratique : documenter les critères de décision de votre agent, conserver les logs de chaque décision automatisée avec ses paramètres, et prévoir une procédure de révision humaine accessible sur demande.

La checklist pratique avant déploiement

6 points à vérifier

La base légale du traitement est identifiée et documentée dans le registre des traitements
La durée de conservation des données est définie et une purge automatique est configurée
Le fournisseur IA a signé des clauses contractuelles types (CCT) ou est hébergé en UE
Les décisions automatisées significatives sont loggées et une procédure de révision humaine existe
La politique de confidentialité mentionne explicitement l'usage de l'IA dans le traitement des données
Les accès aux données par l'agent sont tracés, auditable et restreints au strict nécessaire

Les solutions IA bien configurées sont souvent plus conformes RGPD que les équipes humaines — car chaque accès est loggé, traçable et auditable. Une relance envoyée manuellement par un collaborateur laisse peu de traces. Un agent IA enregistre chaque action avec son horodatage, ses paramètres et son contexte.

Déployez votre projet IA en conformité RGPD

Nous intégrons les exigences RGPD dès la conception de chaque agent : base légale documentée, durée de conservation configurée, clauses contractuelles avec les fournisseurs, logs de traçabilité. Pas de conformité improvisée après coup.

Contacter pour un audit RGPD IA