En bref
IA générative et données personnelles en PME : anonymisation, contrats, registre RGPD et cas interdits. Guide aligné CNIL pour ChatGPT et copilotes.
Responsabilités : qui fait quoi
Vous restez responsable de traitement pour les données que vous envoyez à un outil IA. Le fournisseur est sous-traitant si vous avez un contrat adapté (DPA, clauses de confidentialité, localisation).
Sans contrat entreprise, les conditions grand public s'appliquent. Elles sont rarement compatibles avec des données clients nominatives.
Documentez dans le registre RGPD : finalité du traitement IA, base légale, durée, destinataires, mesures de sécurité.
Liste rouge et liste verte
Interdit sans cadre strict : données santé, dossiers RH nominatifs, coordonnées clients non anonymisées, secrets commerciaux non protégés contractuellement.
Autorisé en pilote encadré : notes internes anonymisées, brouillons sans données personnelles, reformulation de textes génériques, brainstorming sur idées non liées à des personnes.
Zone grise : cas clients décrits avec contexte métier. Anonymisez (prénom, société, secteur trop précis) ou obtenez un cadre contractuel solide.
Deux chemins conformes
Chemin 1 : offre entreprise avec DPA, hébergement adapté, désactivation de l'entraînement, liste blanche d'outils. C'est la voie standard pour la productivité bureautique.
Chemin 2 : assistant interne ou RAG hébergé dans votre périmètre, avec authentification et filtrage d'accès par rôle. Indispensable pour des corpus sensibles.
Dans les deux cas : formation, charte signée, procédure d'incident si une donnée personnelle a été exposée.
Conclusion
La CNIL ne interdit pas l'IA : elle exige de traiter les données personnelles avec le même sérieux que dans tout autre outil. Complétez avec le guide IA encadrée et le pilier gouvernance IA.
Cosmos audite les flux de données sur les projets IA et refonte. Brief en ligne.