Aller au contenu principal

Plan de vol

IA générative et données personnelles

Coller un email client dans ChatGPT gratuit reste l'erreur la plus fréquente que nous voyons en mission. L'IA générative et le RGPD ne s'opposent pas, mais ils imposent des règles claires sur ce qui entre dans un prompt, qui est responsable du traitement et comment informer les personnes concernées. Ce guide traduit les positions CNIL en gestes quotidiens pour les PME.

En bref

IA générative et données personnelles en PME : anonymisation, contrats, registre RGPD et cas interdits. Guide aligné CNIL pour ChatGPT et copilotes.

Responsabilités : qui fait quoi

Anonymiser ou contractualiser : deux chemins pour traiter des données personnelles.

Vous restez responsable de traitement pour les données que vous envoyez à un outil IA. Le fournisseur est sous-traitant si vous avez un contrat adapté (DPA, clauses de confidentialité, localisation).

Sans contrat entreprise, les conditions grand public s'appliquent. Elles sont rarement compatibles avec des données clients nominatives.

Documentez dans le registre RGPD : finalité du traitement IA, base légale, durée, destinataires, mesures de sécurité.

Liste rouge et liste verte

Interdit sans cadre strict : données santé, dossiers RH nominatifs, coordonnées clients non anonymisées, secrets commerciaux non protégés contractuellement.

Autorisé en pilote encadré : notes internes anonymisées, brouillons sans données personnelles, reformulation de textes génériques, brainstorming sur idées non liées à des personnes.

Zone grise : cas clients décrits avec contexte métier. Anonymisez (prénom, société, secteur trop précis) ou obtenez un cadre contractuel solide.

Deux chemins conformes

Chemin 1 : offre entreprise avec DPA, hébergement adapté, désactivation de l'entraînement, liste blanche d'outils. C'est la voie standard pour la productivité bureautique.

Chemin 2 : assistant interne ou RAG hébergé dans votre périmètre, avec authentification et filtrage d'accès par rôle. Indispensable pour des corpus sensibles.

Dans les deux cas : formation, charte signée, procédure d'incident si une donnée personnelle a été exposée.

Conclusion

La CNIL ne interdit pas l'IA : elle exige de traiter les données personnelles avec le même sérieux que dans tout autre outil. Complétez avec le guide IA encadrée et le pilier gouvernance IA.

Cosmos audite les flux de données sur les projets IA et refonte. Brief en ligne.

Questions fréquentes

Seulement avec base légale, information du candidat si requis, outil contractuel et politique RH validée. Sinon non.
Oui si l'IA traite leurs données ou génère des réponses qui les concernent. La transparence est aussi une exigence AI Act.
Plus maîtrisable si l'hébergement, les accès et la gouvernance documentaire sont solides. Ce n'est pas automatique.

Voir aussi

Sources

Autres articles : Intelligence artificielle

Contact

Parlons d’une mission utile, réaliste et mesurable.

À partir du brief, vous recevez une proposition structurée : objectifs, périmètre, livrables, planning, risques et hypothèses. Nous priorisons la clarté dans les choix et la mise en production.

Vous préférez un message court ? utilisez le formulaire sur la page contact.

Étapes clés - projet web

  1. 01Brief & cadrage
  2. 02UX, UI & contenus
  3. 03Développement & intégration
  4. 04Recette, performance & qualité
  5. 05Mise en ligne & transfert

Ce que vous obtenez

Ressources

Notre agence met à disposition des ressources pour vous aider à monter en compétence sur vos outils favoris, quel que soit votre niveau.

Accéder à l’Académie
Agence Cosmos

Studio web à Bordeaux : design produit, développement sur mesure et IA utile pour des missions claires et mesurables.

Bordeaux, Nouvelle-Aquitaine, France

contact@agence-cosmos.fr

Certifications

Navigation

Expertises

Légal & confiance

© 2024 - 2026 Agence Cosmos. Tous droits réservés - orbite en maintenance continue.