Talki Academy
Commencer gratuitement
Guide15 min de lecture

RGPD et IA : Checklist Complète de Conformité pour 2026

Guide complet RGPD pour systèmes IA en 2026 : DPIA, gestion du consentement, minimisation des données, droit à l'explication et alignement avec l'AI Act Article 4. Checklist actionnable et étapes pratiques.

Par Talki Academy·Mis a jour le 30 avril 2026

En 2026, déployer un système d'intelligence artificielle sans cadre RGPD solide, c'est s'exposer à des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial — et à une perte de confiance bien plus coûteuse encore. Ce guide fournit une checklist complète et actionnable pour mettre vos projets IA en conformité avec le RGPD et l'AI Act Article 4.

Voir la version anglaise : GDPR and AI: Complete Compliance Checklist for 2026.

Pourquoi le RGPD s'applique à tous les systèmes IA

Un modèle de langage qui génère du texte semble, à première vue, éloigné de la question des données personnelles. En réalité, la quasi-totalité des déploiements IA en entreprise traitent des données personnelles d'une façon ou d'une autre :

  • Chatbots et assistants : les conversations contiennent souvent des informations sur les clients (nom, problème, numéro de commande).
  • Systèmes de recommandation : ils construisent des profils comportementaux des utilisateurs.
  • Outils RH : tri de CV, scoring de candidatures, analyse de performances.
  • Systèmes de scoring : crédit, assurance, détection de fraude.
  • Modèles entraînés en interne : les données d'entraînement peuvent elles-mêmes constituer un traitement.

Le RGPD s'applique dès lors que vous traitez des données de résidents de l'UE, quelle que soit la localisation de votre entreprise ou de vos serveurs.

Les 6 bases légales pour les traitements IA

Tout traitement IA doit reposer sur l'une des six bases légales du RGPD (Article 6). En pratique, trois d'entre elles sont les plus couramment utilisées pour l'IA :

1. Le consentement (Article 6.1.a)

Base privilégiée pour les traitements non essentiels au service. Conditions pour un consentement valide en contexte IA :

  • Libre : l'utilisateur peut refuser sans perdre accès au service de base.
  • Spécifique : chaque finalité distincte nécessite un consentement distinct. "Améliorer nos services IA" est trop vague.
  • Éclairé : l'utilisateur comprend ce que fait le système (pas seulement "nous utilisons l'IA").
  • Univoque : action positive requise — case pré-cochée invalide.
  • Retirable : mécanisme de retrait aussi simple que celui du recueil.

2. L'intérêt légitime (Article 6.1.f)

Utilisable pour des traitements où votre intérêt légitime l'emporte sur les droits des individus. Nécessite un test de mise en balance documenté. Exemples valides : détection de fraude interne, sécurité des systèmes, analytics agrégées.

3. L'exécution d'un contrat (Article 6.1.b)

Applicable lorsque le traitement IA est strictement nécessaire à l'exécution du service contractuel. Un chatbot de support client qui traite les données pour résoudre un problème peut s'appuyer sur cette base.

DPIA : Quand et Comment

La Analyse d'Impact relative à la Protection des Données (DPIA) est obligatoire pour les traitements IA à risque élevé. En pratique, la majorité des déploiements IA en entreprise y sont soumis.

Critères déclencheurs d'une DPIA

La CNIL indique qu'une DPIA est nécessaire dès que deux des neuf critères suivants sont réunis (et obligatoire dès l'un d'eux pour certains traitements) :

  • Évaluation ou scoring des personnes
  • Prise de décision automatisée avec effet juridique
  • Surveillance systématique
  • Données sensibles ou données à caractère hautement personnel
  • Traitement à grande échelle
  • Croisement ou combinaison de données
  • Personnes vulnérables (enfants, patients, employés)
  • Usage innovant ou application de nouvelles technologies
  • Blocage de l'exercice d'un droit

Structure d'une DPIA pour un projet IA

Une DPIA pour un système IA doit couvrir :

  1. Description du traitement : données collectées, finalités, acteurs impliqués, flux de données
  2. Évaluation de la nécessité et proportionnalité : base légale, durée de conservation, minimisation
  3. Identification des risques : accès non autorisé, biais algorithmiques, discrimination, opacité des décisions
  4. Mesures d'atténuation : techniques (chiffrement, pseudonymisation, explicabilité) et organisationnelles (formation, supervision humaine)
  5. Consultation du DPO et avis des personnes concernées : documentation obligatoire
  6. Plan de révision : la DPIA doit être mise à jour lors de tout changement significatif du système

Minimisation des données et principe de Privacy by Design

L'Article 25 du RGPD impose la protection des données dès la conception. Pour l'IA, cela se traduit par des choix architecturaux concrets :

Checklist Privacy by Design pour l'IA

  • Données d'entraînement : utilisez-vous uniquement les données strictement nécessaires ? Avez-vous envisagé des données synthétiques ou l'anonymisation ?
  • Pseudonymisation : les identifiants directs (nom, email) sont-ils remplacés par des pseudonymes avant traitement ?
  • Agrégation : les résultats sont-ils agrégés pour éviter la réidentification ?
  • Durée de conservation : les données utilisées pour l'entraînement ou l'inférence sont-elles effacées après leur utilité ?
  • Localisation : le traitement a-t-il lieu dans l'UE ou avec des garanties équivalentes (SCC, BCR) ?
  • Logs et traces : les conversations ou requêtes envoyées au LLM sont-elles loguées ? Si oui, avec quelle rétention et quel accès ?

Le cas particulier des LLM cloud

L'utilisation d'API LLM externes (OpenAI, Anthropic, Google) implique un transfert de données vers des serveurs hors UE. Vous devez :

  • Vérifier que le fournisseur propose des garanties contractuelles adéquates (DPA avec SCC)
  • Évaluer si les données transmises à l'API constituent des données personnelles
  • Vérifier la politique de rétention des données par le fournisseur (les prompts sont-ils utilisés pour l'entraînement ?)
  • Envisager des alternatives hébergées en EU ou des modèles on-premise pour les données sensibles

Droit à l'explication et Article 22 RGPD

L'Article 22 du RGPD accorde aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou les affectant de manière similaire significative.

Ce que cela signifie concrètement

Si votre système IA prend ou influence des décisions dans ces domaines, le droit à l'explication s'applique :

  • Scoring de crédit ou assurance
  • Sélection ou rejet de candidatures RH
  • Modulation de prix individualisée
  • Accès ou exclusion d'un service
  • Évaluation de performance d'employés

Exigences techniques pour l'explicabilité

Pour satisfaire le droit à l'explication, vous devez pouvoir fournir :

  • Les variables déterminantes : quelles données ont le plus influencé la décision ?
  • La logique générale : comment le modèle arrive-t-il au résultat (pas nécessairement les poids, mais la logique compréhensible) ?
  • Les voies de recours : comment contester la décision et obtenir une intervention humaine ?

En pratique, cela exclut l'usage de modèles purement "boîte noire" pour ces décisions sans couche d'explicabilité (SHAP, LIME, ou systèmes RAG avec sources citables). Des architectures comme les systèmes RAG qui citent leurs sources sont naturellement plus conformes.

AI Act Article 4 : L'obligation de formation IA

L'AI Act impose une nouvelle obligation à partir du 2 août 2026 : les fournisseurs et déployeurs de systèmes IA doivent s'assurer que leur personnel dispose d'un niveau suffisant de "littératie IA".

Ce que couvre l'Article 4

La formation requise doit porter sur :

  • Les capacités et les limites du système IA utilisé
  • Les risques potentiels associés à son usage
  • Les situations nécessitant une supervision ou intervention humaine
  • Les procédures de signalement d'anomalies ou d'incidents

Interaction avec le RGPD

L'Article 4 de l'AI Act et le RGPD sont complémentaires et simultanément applicables :

  • Le RGPD exige que les personnes soumises à une décision automatisée puissent obtenir une intervention humaine
  • L'AI Act exige que les humains en charge de cette intervention soient formés pour l'exercer efficacement
  • Ensemble, ils imposent une supervision humaine qualifiée sur les systèmes IA à impact significatif

Formation Gouvernance IA et RGPD

La formation Gouvernance IA en Entreprise de Talki Academy couvre l'ensemble de ce cadre réglementaire : DPIA, bases légales, droit à l'explication et conformité AI Act. Elle est finançable OPCO — reste à charge potentiel : 0€.

Checklist RGPD IA : 30 points de contrôle

Fondations légales

  • ☐ Base légale identifiée et documentée pour chaque finalité de traitement
  • ☐ Registre des activités de traitement (RAT) mis à jour avec les systèmes IA
  • ☐ DPO consulté (ou DPD selon votre terminologie) sur les projets IA
  • ☐ Contrats de sous-traitance (DPA) signés avec tous les fournisseurs LLM cloud
  • ☐ Transferts hors UE documentés avec garanties adéquates (SCC, BCR, décision d'adéquation)

DPIA et gestion des risques

  • ☐ Évaluation systématique du besoin de DPIA pour chaque projet IA
  • ☐ DPIA réalisée et documentée pour les traitements à risque élevé
  • ☐ Identification des biais algorithmiques potentiels dans la DPIA
  • ☐ Plan de révision de la DPIA défini (déclencheurs de mise à jour)
  • ☐ Mesures de sécurité techniques proportionnées au niveau de risque

Consentement et information

  • ☐ Information claire sur l'usage de l'IA fournie aux personnes concernées
  • ☐ Consentement spécifique recueilli pour les finalités IA non contractuelles
  • ☐ Mécanisme de retrait du consentement aussi simple que son recueil
  • ☐ Politique de confidentialité mise à jour pour mentionner les systèmes IA
  • ☐ Transparence sur les transferts vers des LLM tiers (mentionner OpenAI, Anthropic, etc.)

Minimisation et Privacy by Design

  • ☐ Audit des données transmises aux LLM (identification des données personnelles)
  • ☐ Pseudonymisation ou anonymisation des données avant envoi aux API LLM
  • ☐ Durées de conservation définies et appliquées (logs, historiques de conversation)
  • ☐ Politique de rétention des fournisseurs LLM vérifiée et documentée
  • ☐ Alternatives on-premise évaluées pour les données sensibles (santé, RH, juridique)

Droits des personnes

  • ☐ Procédure de droit d'accès adaptée (incluant les données IA)
  • ☐ Droit à l'effacement implémenté (suppression des données dans les logs LLM)
  • ☐ Droit à l'explication documenté pour toute décision automatisée impactante
  • ☐ Voie de recours humain définie et accessible pour contester les décisions IA
  • ☐ Délai de réponse aux demandes (30 jours) respecté pour les demandes liées à l'IA

AI Act Article 4 et formation

  • ☐ Inventaire des systèmes IA déployés par l'entreprise (déployeur) ou commercialisés (fournisseur)
  • ☐ Programme de formation IA défini pour les équipes utilisant des systèmes IA
  • ☐ Formation documentée et traçable (attestations, dates)
  • ☐ Procédure de signalement d'incidents IA définie et communiquée
  • ☐ Revue annuelle de conformité AI Act planifiée

Cas pratiques : RGPD et IA au quotidien

Cas 1 : Chatbot de support client

Risques RGPD : logs de conversation contenant des données personnelles, transfert vers API LLM externe, réponses générées potentiellement incorrectes.

Mesures requises : DPA avec le fournisseur LLM, politique de rétention des logs (7 jours maximum recommandé), information claire dans l'interface ("Ce chat est assisté par une IA"), procédure de transfert vers agent humain, et pseudonymisation automatique des données personnelles avant envoi au LLM.

Cas 2 : Outil de tri de CV par IA

Risques RGPD : prise de décision automatisée affectant les droits des candidats, risque de biais discriminatoire (âge, genre, origine), données sensibles potentielles dans les CV.

Mesures requises : DPIA obligatoire, supervision humaine sur toute décision d'élimination, droit à l'explication pour les candidats rejetés, audit de biais régulier, base légale spécifique (consentement préférable au consentement implicite pour les CV envoyés avant déploiement de l'outil IA).

Cas 3 : Modèle IA entraîné sur données clients

Risques RGPD : les données d'entraînement constituent un traitement, le modèle peut "mémoriser" des données personnelles, risque de réidentification.

Mesures requises : base légale pour l'usage des données en entraînement (distinct de la base légale pour le service original), anonymisation ou pseudonymisation robuste des données d'entraînement, tests de mémorisation du modèle (membership inference attacks), documentation du dataset dans la DPIA.

Sanctions et risques en 2026

La CNIL et ses homologues européens ont renforcé leurs contrôles sur l'IA depuis 2024. Les sanctions peuvent atteindre :

  • 4 % du CA mondial ou 20 M€ pour les violations graves (Article 83.5 RGPD)
  • 2 % du CA mondial ou 10 M€ pour les violations moins graves (Article 83.4 RGPD)
  • Sanctions AI Act : jusqu'à 35 M€ ou 7 % du CA mondial pour certaines violations

Au-delà des amendes, les risques incluent l'obligation de cesser un traitement (coût opérationnel majeur), la publication de la sanction (atteinte à la réputation), et les actions en dommages et intérêts des personnes concernées.

FAQ : RGPD et IA en 2026

Tout système IA est-il soumis au RGPD ?

Oui, dès lors que le système traite des données personnelles de résidents de l'UE. Cela inclut les chatbots qui logguent des conversations, les systèmes de recommandation qui profilent les utilisateurs, les outils RH qui analysent des CV, et les modèles de scoring. Même un LLM hébergé aux États-Unis est concerné s'il traite des données de citoyens européens.

Quand doit-on réaliser une DPIA pour un projet IA ?

Une DPIA est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Pour l'IA, cela couvre : le profilage à grande échelle, la prise de décision automatisée avec effet juridique, le traitement de données sensibles (santé, biométrique, opinions politiques), et la surveillance systématique. En pratique, la majorité des projets IA en entreprise nécessitent une DPIA.

Comment recueillir un consentement valide pour un système IA ?

Le consentement RGPD pour l'IA doit être libre (sans contrepartie forcée), spécifique (finalité précise, pas 'amélioration de nos services'), éclairé (l'utilisateur comprend ce que fait l'IA), et univoque (action positive, pas de case pré-cochée). Pour les modèles entraînés sur des données utilisateurs, le consentement doit couvrir explicitement cet usage.

Que couvre le 'droit à l'explication' dans le contexte de l'IA ?

L'article 22 du RGPD garantit aux personnes soumises à une décision automatisée le droit d'obtenir une explication sur la logique sous-jacente. Concrètement : si votre système IA refuse un crédit, rejette une candidature ou propose une prime d'assurance, vous devez pouvoir expliquer les variables et leur poids dans la décision. Cela exclut de facto les modèles 'boîte noire' non explicables pour ces cas d'usage.

Quelle est la relation entre le RGPD et l'AI Act Article 4 ?

L'AI Act Article 4 impose une obligation de 'littératie IA' : former le personnel qui utilise ou supervise des systèmes IA aux risques, capacités et limites de ces outils. Cette obligation entre en vigueur le 2 août 2026. Elle est complémentaire au RGPD : l'AI Act porte sur la compétence des utilisateurs, le RGPD sur la protection des données. Les deux s'appliquent simultanément à la plupart des déploiements IA en entreprise.

Conclusion : La conformité RGPD-IA comme avantage compétitif

La conformité RGPD pour l'IA n'est pas un obstacle au déploiement — c'est un cadre qui force à prendre de meilleures décisions architecturales : moins de données inutiles, meilleure documentation, supervision humaine sur les décisions critiques.

Les entreprises qui investissent dans la gouvernance IA aujourd'hui construisent une infrastructure de confiance qui les distinguera quand les clients et régulateurs auront des exigences encore plus élevées demain.

Pour aller plus loin : Formation Gouvernance IA en Entreprise — finançable OPCO, 100 % pratique.

Formez votre equipe a l'IA

Nos formations sont financables OPCO — reste a charge potentiel : 0€.

Voir les formationsVerifier eligibilite OPCO

Formations recommandees

🛡️

Gouvernance IA

Conformité RGPD, éthique et bonnes pratiques pour déployer l'IA

1 jourDébutantManagers
Inclus dans l'abonnement

Articles similaires

Formation IA en Entreprise 2026 : Le Guide Complet
12 min · Guide
AI Training for Enterprises 2026: Complete Guide
12 min · Guide
Financement OPCO Formation IA : Votre Formation a 0€ en 2026
8 min · Guide