61 % des collaborateurs utilisant l'IA en entreprise ont recours à des outils via des comptes personnels au moins une fois par semaine. 38 % partagent des informations sensibles avec des plateformes d'IA sans aucune validation. Ces chiffres ne décrivent pas des exceptions — ils décrivent la réalité quotidienne de la majorité des entreprises françaises en 2026.
Un angle mort de gouvernance qui expose juridiquement
Le RGPD s'applique à tout traitement de données personnelles — y compris lorsque ce traitement est effectué via un prompt saisi dans une interface conversationnelle par un collaborateur convaincu qu'il fait simplement son travail. L'ignorance de la règle ne constitue pas une défense recevable devant la CNIL. Et la CNIL a annoncé un programme de contrôles renforcé pour 2026-2028, avec un focus spécifique sur les usages IA.
Voici les sept situations que votre organisation vit probablement déjà — et qui constituent des manquements potentiels au RGPD.
Situation 1 — Coller des données clients dans un prompt : le risque le plus répandu
Un collaborateur copie-colle un email client, un bon de commande, une réclamation ou un devis dans ChatGPT pour générer une réponse. Ces données personnelles (nom, adresse, numéro de commande, historique d'achats) sont envoyées à un serveur américain sans base légale, sans information de la personne concernée, et sans garantie de non-conservation. Certains fournisseurs utilisent ces données pour réentraîner leurs modèles — ce qui signifie que des informations client peuvent se retrouver dans les réponses fournies à d'autres utilisateurs.
Situation 2 — Transcrire des réunions sans consentement : la violation silencieuse
Les outils de transcription automatique (Otter, Fireflies, Microsoft Copilot dans Teams, Google Meet) captent les voix, les noms, le contenu des échanges et parfois les tonalités émotionnelles. Sans information préalable claire et consentement explicite de tous les participants, cette pratique viole le RGPD. Le problème est d'autant plus insidieux que de nombreux participants ne sont même pas conscients que la transcription est active.
Informez systématiquement en début de réunion. Utilisez l'outil validé par l'entreprise. Offrez explicitement la possibilité de refuser la transcription sans pénalité. Ces trois gestes simples transforment un usage risqué en usage conforme.
Situation 3 — Utiliser l'IA pour analyser des CV : haut risque garanti
Soumettre des CV à un LLM pour en extraire une synthèse, un classement ou un scoring constitue un traitement de données personnelles sensibles (nom, adresse, parcours, parfois photo, âge, nationalité). Si le candidat n'est pas informé que ses données sont traitées par un système IA, c'est un manquement au RGPD. De plus, au sens de l'AI Act, ce cas d'usage relève du haut risque (catégorie emploi), imposant documentation technique, supervision humaine, traçabilité et évaluation de conformité.
Situation 4 — Entraîner un modèle interne avec des données personnelles
Le fine-tuning d'un modèle sur des données internes contenant des informations personnelles (emails internes, tickets clients, comptes rendus d'entretiens annuels) nécessite une base légale solide, une information adéquate des personnes concernées et des mesures techniques de protection. La CNIL recommande d'anonymiser les données d'entraînement autant que possible et de mettre en place des mécanismes limitant la mémorisation des données personnelles par le modèle.
Situation 5 — Générer des contenus marketing personnalisés : profilage dissimulé
Utiliser l'IA pour créer des emails personnalisés en masse, en croisant des données comportementales (parcours sur le site web, historique d'achats, interactions email) et des profils clients, peut constituer du profilage au sens de l'article 22 du RGPD. Ce profilage est soumis à des obligations spécifiques d'information, de droit d'opposition et, dans certains cas, de consentement préalable.
Situation 6 — Stocker des prompts contenant des données personnelles
Certains outils conservent l'historique des conversations indéfiniment par défaut. Si vos prompts contiennent des données personnelles (noms de clients, montants de transactions, informations médicales, situations RH), cet historique constitue un traitement de données personnelles qu'il faut encadrer : durée de conservation définie, accès restreint, procédure de suppression.
Situation 7 — Utiliser un outil IA sans contrat de sous-traitance conforme
La plupart des outils d'IA grand public (ChatGPT en version gratuite, Gemini, assistants intégrés aux navigateurs) ne proposent pas de contrat de sous-traitance conforme à l'article 28 du RGPD dans leurs conditions générales. Vérifiez trois points : la localisation des serveurs, les conditions de réutilisation des données par le fournisseur, et les mesures de sécurité et conditions d'audit. Les versions Enterprise offrent généralement des garanties contractuelles plus solides — mais vérifiez chaque clause.
« Le coût d'un audit préventif sur ces sept situations est dérisoire comparé au coût d'un incident de données ou d'une sanction CNIL. Et le coût réel d'un incident n'est pas l'amende — c'est la perte de confiance des clients. »
Analyse EMILIA FRANCE, mars 2026