IA générative et RGPD : où vont mes données ?

Quand tu envoies un texte à une IA générative, tes données quittent ton appareil et partent sur les serveurs de son fournisseur, qui peuvent se trouver hors de l'Union européenne, et qui peuvent dans certains cas réutiliser ce que tu envoies. C'est tout l'enjeu du RGPD ici. Cet article reste général et n'est pas un conseil juridique : pour un cas précis, valide avec un juriste ou ton DPO.

Prenons Pierre, qui dirige Maisons&Mobilia (M&M). Il se demande s'il peut coller une liste de fiches clients dans un chatbot grand public pour gagner du temps. La vraie question n'est pas « est-ce que ça marche », c'est « où vont ces noms, ces adresses, ces historiques d'achat une fois envoyés ».

Où va concrètement ce que tu tapes

Un outil d'IA générative fonctionne à distance : ton prompt est transmis au fournisseur, traité sur ses serveurs, puis la réponse te revient. Le texte ne reste pas chez toi.

Ces serveurs sont souvent hébergés hors UE, fréquemment aux États-Unis. Selon le service, tes données peuvent y transiter, y être stockées un temps, et parfois être consultées par les équipes du fournisseur pour des raisons de sécurité ou de lutte contre les abus.

Reste la question de la réutilisation. Selon les conditions d'usage, ce que tu envoies peut servir à améliorer ou entraîner le modèle. La nuance est forte entre un outil grand public et une offre entreprise : par défaut, sur les API entreprise d'OpenAI et d'Anthropic, les contenus envoyés ne servent pas à entraîner les modèles, et la rétention est limitée dans le temps. Sur une application grand public, les réglages par défaut et les durées varient, et peuvent évoluer. À lire à chaque fois, sans présumer.

Ce que le RGPD met en jeu

Dès que tu traites des données personnelles, c'est-à-dire des informations sur des personnes identifiables (un nom, un email, un numéro de client), le RGPD s'applique. En voici les points qui pèsent le plus dans un usage d'IA, en général.

Une base légale. Tu dois avoir une raison valable de traiter ces données : exécution d'un contrat, intérêt légitime, consentement, selon le cas. Pas de base, pas de traitement.

La minimisation. Tu n'envoies que ce qui est strictement utile à la tâche. Coller un fichier client entier pour reformuler un seul email, c'est l'inverse de ce principe.

L'information des personnes. Les gens dont tu traites les données doivent en général savoir que tu le fais et comment. La CNIL rappelle d'ailleurs, dans ses recommandations sur l'IA, que les personnes concernées doivent être informées quand leurs données alimentent un système.

Les transferts hors UE. Envoyer des données vers un pays hors UE n'est pas interdit, mais cadré. Il faut en général un mécanisme reconnu : une décision d'adéquation de la Commission européenne, des clauses contractuelles types, ou d'autres garanties. Pour les États-Unis, le « EU-US Data Privacy Framework » (entré en vigueur en juillet 2023) sert de décision d'adéquation pour les organisations américaines qui s'y sont auto-certifiées. Ce cadre peut évoluer : à vérifier au moment où tu l'utilises.

La sous-traitance. Si un fournisseur traite des données personnelles pour ton compte, il est en général ton sous-traitant. Cela passe par un contrat dédié (souvent appelé acte d'engagement ou DPA, data processing agreement) qui encadre ce qu'il a le droit de faire. La CNIL aide d'ailleurs à qualifier qui est responsable de traitement et qui est sous-traitant, car ce n'est pas toujours évident.

Les réflexes qui réduisent vraiment le risque

N'envoie pas de données personnelles ou sensibles sans cadre. Le réflexe par défaut sur un outil grand public : pas de vrais noms, pas de coordonnées, pas de données de santé ou autres données sensibles. Pierre ne colle pas ses fiches clients dans un chatbot public.

Préfère une offre entreprise sans entraînement sur tes données. Les offres pro et les API entreprise proposent en général des engagements écrits : pas d'usage pour l'entraînement, durée de rétention courte, parfois rétention zéro pour les clients qualifiés. Lis l'engagement, ne te fie pas au nom commercial.

Regarde où c'est hébergé. Héberger en UE, ou passer par un modèle ouvert (open weights) que ton organisation déploie sur son propre serveur, limite la question des transferts hors UE. Tu gardes la main sur l'endroit où circulent les données.

Anonymise ou pseudonymise. Avant d'envoyer, remplace ce qui identifie : « le client M. Dubois, 12 rue X » devient « un client professionnel d'Île-de-France ». Souvent l'IA fait aussi bien le travail, sans manipuler de données personnelles.

Écris une règle interne courte. Une page qui dit quels outils sont autorisés, pour quels types de données, et ce qu'on ne colle jamais. Sophie et Antoine n'ont pas à deviner : ils ont une consigne claire, et le réflexe devient automatique.

Aller plus loin

Sur saisir.ai, tu apprends ce genre de réflexe en manipulant, par petites sessions de 5 min par jour, en français, sans coder. Tu vois concrètement ce qui part dans un prompt et comment le formuler proprement.

Pour creuser les choix de fond : un modèle hébergé chez un fournisseur ou un modèle que tu déploies toi-même, c'est l'arbitrage qu'on détaille dans open source ou propriétaire. Et si la souveraineté des données pèse dans ta décision, regarde du côté des nouveaux modèles Mistral, avec des options d'hébergement en Europe.

Dernier rappel : cet article donne des repères généraux, pas un avis juridique. Pour un cas réel chez M&M ou ailleurs, fais valider par un juriste ou ton DPO.