En 2025, la CNIL a prononcé 478 millions d'euros d'amendes. En 2026, elle cumule ses pouvoirs RGPD et AI Act. Pour toute organisation utilisant des LLM dans ses processus, l'ignorance n'est plus une défense recevable.
Un nouveau régime de contrôle, une même organisation
Depuis août 2025, la CNIL est désignée comme autorité de régulation de l'AI Act en France pour plusieurs domaines — catégorisation biométrique, reconnaissance des émotions au travail, scoring social. Elle peut désormais contrôler les entreprises à la fois sur le RGPD et sur l'AI Act, dans un même cycle d'inspection. Les enjeux de protection des données et de sécurité des systèmes algorithmiques convergent pour la première fois dans un même cadre de contrôle.
Les recommandations publiées en février 2025 sur l'usage des LLM en entreprise sont le résultat d'une consultation publique associant entreprises, chercheurs, universités, associations et syndicats. Elles constituent désormais le cadre de référence pour toute organisation utilisant de l'IA générative en France.
Quand le RGPD s'applique-t-il à votre LLM ?
La CNIL identifie trois situations précises déclenchant l'application du RGPD.
Les bases d'entraînement contiennent des données identifiables. Noms, adresses, parcours professionnels, données de santé — si votre modèle a été entraîné sur des données personnelles, même accessibles publiquement (profils LinkedIn, CVthèques), leur réutilisation doit être conforme aux finalités initiales de collecte.
Le modèle mémorise et peut restituer des informations personnelles. Un LLM entraîné sur des données internes d'entreprise peut, dans certaines conditions, restituer des informations confidentielles à un utilisateur malveillant via des prompts habilement construits. Ce risque d'extraction est réel et documenté.
Les interactions via prompt génèrent des sorties impliquant des individus identifiables. Chaque fois qu'un collaborateur saisit un email client, un CV ou un compte rendu dans un prompt, il effectue un traitement de données personnelles au sens du RGPD — même si l'interface est conviviale et le geste anodin.
Les systèmes d'IA véritablement anonymes ne sont pas soumis au RGPD. La CNIL reconnaît également la difficulté technique d'exercer certains droits dans le contexte des LLM, et recommande d'anonymiser les modèles autant que possible plutôt que d'exiger une granularité impossible.
Les transferts vers des serveurs américains : le risque le plus sous-estimé
L'utilisation de ChatGPT, Claude ou Gemini dans leurs versions cloud standard implique des transferts de données vers des serveurs américains. Ces transferts sont soumis à des obligations strictes : Transfer Impact Assessment, clauses contractuelles types, évaluation des risques liés au Cloud Act américain.
La CNIL recommande clairement de privilégier des prestataires européens ou des solutions auto-hébergées. Le cas de France Travail est désormais un cas d'école : l'organisme a choisi de déployer le modèle Mixtral (Mistral AI) en installation locale plutôt que de recourir à un LLM hébergé aux États-Unis. Ce choix d'architecture a été validé par la CNIL dans le cadre de son bac à sable IA.
« Pour chaque outil IA utilisé dans votre entreprise, trois questions non négociables : où sont hébergés les serveurs qui traitent vos données ? Vos prompts servent-ils à réentraîner le modèle ? Pouvez-vous auditer et supprimer vos données ? »
Recommandations CNIL, février 2025La qualification des sous-traitants IA : un vide contractuel dangereux
Lorsqu'une entreprise fait appel à un fournisseur d'IA pour traiter des données personnelles, elle reste responsable du traitement au sens du RGPD. Le contrat de sous-traitance (article 28 du RGPD) doit définir précisément les finalités du traitement, les catégories de données concernées, les durées de conservation, les mesures de sécurité et les conditions d'audit.
Or, la plupart des outils d'IA grand public — dans leurs versions standard — ne proposent pas de contrat de sous-traitance conforme au RGPD. Les versions Enterprise (ChatGPT Enterprise, Claude for Business, Google Workspace avec Gemini) offrent généralement des garanties contractuelles plus solides, mais chaque clause mérite d'être vérifiée et non présumée conforme.
Le programme de contrôles 2026-2028 : ce qui vous attend
La CNIL annonce un programme de contrôles renforcé pour 2026-2028, avec un focus particulier sur les secteurs de la santé, des RH, du e-commerce et de la finance. Le Baromètre Privacy 2026 révèle que 80 % des organisations ne disposent pas d'une vision claire de leurs usages IA, 48 % n'ont pas identifié leurs systèmes d'IA au sens de l'AI Act, et seules 32 % des organisations ayant des projets IA ont mené des analyses d'impact sur la protection des données.
Réalisez un inventaire des traitements IA impliquant des données personnelles. Évaluez la légalité des bases de données utilisées pour l'entraînement. Vérifiez les conditions de transfert international pour chaque outil. Documentez les mesures techniques mises en place. Mettez à jour votre registre des traitements RGPD. Et surtout : n'attendez pas un contrôle pour agir. La mise en conformité proactive coûte toujours moins cher qu'une mise en conformité sous contrainte.