73 % des entreprises françaises déclarent s'inquiéter de la conformité de leurs projets d'intelligence artificielle au RGPD. Pourtant, seules 12 % d'entre elles ont pris des mesures concrètes pour y remédier. Résultat : des projets gelés, des opportunités manquées, et une concurrence qui avance pendant que vous hésitez. Chez JAIKIN, nous déployons depuis notre création des systèmes d'IA conforme RGPD — parce qu'une automatisation qui expose votre entreprise à une amende de 20 millions d'euros n'est pas une automatisation intelligente. Ce guide complet vous donne les clés pour déployer une IA conforme RGPD en toute sérénité.
Dans cet article
- 1. RGPD et IA : ce que dit vraiment le texte
- 2. Les 7 obligations RGPD pour les systèmes d'IA
- 3. Checklist pratique : votre IA est-elle conforme ?
- 4. Notre approche : IA conforme by design
- 5. Cas concret : automatisation RH conforme RGPD
- 6. IA conforme RGPD et AI Act : la double conformité
- 7. Questions fréquentes
- 8. Sources
1. RGPD et IA : ce que dit vraiment le texte
Le Règlement Général sur la Protection des Données n'a pas été rédigé en pensant spécifiquement à l'intelligence artificielle — il date de 2016, bien avant l'explosion des modèles de langage. Mais ses principes s'appliquent pleinement aux systèmes d'IA dès lors qu'ils traitent des données personnelles. Et c'est précisément là que la plupart des entreprises se trompent : elles pensent que l'IA conforme RGPD est un objectif inatteignable, alors que le cadre juridique est en réalité clair et structurant.
Article 22 : la décision automatisée
L'article 22 du RGPD est le texte le plus directement lié à l'IA. Il stipule que « la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé », lorsque cette décision produit des effets juridiques ou significatifs. Concrètement, si votre agent IA décide seul de refuser une candidature, de résilier un contrat ou d'attribuer un score de crédit, vous êtes en infraction — sauf si vous avez mis en place des garanties spécifiques.
La solution n'est pas de renoncer à l'automatisation, mais de concevoir des agents IA conformes RGPD qui intègrent une supervision humaine dans leur boucle de décision. Chez JAIKIN, chaque automatisation touchant à des décisions significatives inclut un mécanisme de validation humaine (human-in-the-loop).
Article 35 : l'analyse d'impact (DPIA)
L'article 35 impose la réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD, ou DPIA en anglais) lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL considère que la plupart des traitements IA à grande échelle entrent dans cette catégorie, notamment ceux impliquant du profilage, de l'évaluation systématique, ou le traitement de données sensibles.
Une DPIA n'est pas une formalité administrative : c'est un outil stratégique. Elle vous oblige à cartographier les flux de données, identifier les risques, et documenter les mesures d'atténuation avant le déploiement. Nous intégrons systématiquement cette analyse dans nos missions d'automatisation IA conforme RGPD.
Base légale : intérêt légitime vs consentement
Tout traitement de données personnelles nécessite une base légale. Pour l'IA en entreprise, deux bases sont généralement invoquées : l'intérêt légitime (article 6.1.f) et le consentement (article 6.1.a). L'intérêt légitime est souvent plus adapté pour les traitements B2B (optimisation de processus internes, analyse de données commerciales), mais il exige une mise en balance avec les droits des personnes concernées. Le consentement, quant à lui, est inévitable lorsque vous traitez des données sensibles ou que vous effectuez du profilage à grande échelle.
« L'IA conforme RGPD n'est pas un frein à l'innovation. C'est le cadre qui permet à l'innovation de durer. »
2. Les 7 obligations RGPD pour les systèmes d'IA
Déployer une IA conforme RGPD exige de respecter sept obligations fondamentales. Nous les détaillons ici avec leur application spécifique aux systèmes d'intelligence artificielle.
Minimisation des données
Ne collectez que les données strictement nécessaires au traitement. Un agent IA d'analyse commerciale n'a pas besoin des adresses personnelles de vos clients. C'est le principe le plus souvent violé : par défaut, on envoie « tout » au modèle, alors que seule une fraction est pertinente.
Limitation des finalités
Les données collectées pour un objectif précis ne peuvent pas être réutilisées pour un autre sans base légale. Si votre CRM collecte des données pour le suivi commercial, vous ne pouvez pas les utiliser pour entraîner un modèle de scoring RH.
Transparence
Les personnes concernées doivent être informées qu'un système d'IA traite leurs données, de la logique du traitement, et des conséquences possibles. Cela implique des mentions d'information claires dans vos conditions et formulaires.
Droit à l'explication
En cas de décision automatisée, toute personne peut demander une explication humaine compréhensible. Vos systèmes doivent donc être capables de retracer et d'expliquer le raisonnement ayant conduit à une décision.
Analyse d'impact (DPIA)
Obligatoire pour les traitements à risque élevé. La CNIL a publié une liste de traitements nécessitant une DPIA, et la plupart des cas d'usage IA y figurent : profilage, évaluation systématique, données à grande échelle.
Rôle du DPO
Le Délégué à la Protection des Données doit être consulté dès la phase de conception du système d'IA. S'il n'existe pas dans votre structure, un DPO externalisé est recommandé pour tout projet d'envergure.
Conservation limitée des données
Les données personnelles traitées par votre IA ne peuvent pas être conservées indéfiniment. Vous devez définir des durées de conservation proportionnées à la finalité du traitement, et mettre en place des mécanismes de purge automatique. Pour un agent IA de tri de candidatures, par exemple, les données des candidats non retenus doivent être supprimées ou anonymisées dans un délai raisonnable (généralement 24 mois selon la CNIL).
Ces sept obligations ne sont pas des contraintes théoriques : elles forment le socle de toute automatisation IA conforme RGPD. Ignorer l'une d'entre elles, c'est s'exposer à des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial annuel — et, plus concrètement, à une perte de confiance de vos clients et partenaires.
3. Checklist pratique : votre IA est-elle conforme ?
Avant de déployer — ou si vous avez déjà déployé — un système d'IA, passez en revue cette checklist. Chaque point non coché représente un risque juridique concret.
Gouvernance et documentation
Registre des traitements mis à jour
Votre système d'IA figure-t-il dans votre registre des traitements (article 30) avec la description des données traitées, les finalités, et les destinataires ?
DPIA réalisée
Une analyse d'impact a-t-elle été conduite pour identifier et atténuer les risques liés au traitement IA ?
Base légale identifiée
Avez-vous déterminé et documenté la base légale applicable (intérêt légitime, consentement, exécution contractuelle) ?
DPO consulté
Votre DPO (interne ou externe) a-t-il validé le déploiement du système d'IA ?
Architecture technique
Minimisation des données en entrée
Seules les données strictement nécessaires sont envoyées au modèle d'IA ? Pas de champs superflus ?
Hébergement des données localisé
Les données personnelles sont-elles hébergées dans l'UE ? Les transferts hors UE sont-ils encadrés par des clauses contractuelles types ?
Chiffrement des données
Les données sont-elles chiffrées au repos et en transit ? Les clés de chiffrement sont-elles sécurisées ?
Pseudonymisation ou anonymisation
Les données sont-elles pseudonymisées avant traitement par l'IA lorsque l'identification n'est pas nécessaire ?
Droits des personnes
Information transparente
Les personnes concernées sont-elles informées de l'utilisation d'un système d'IA dans le traitement de leurs données ?
Procédure d'exercice des droits
Existe-t-il un processus clair pour répondre aux demandes d'accès, de rectification, de suppression et d'opposition ?
Supervision humaine
Un être humain peut-il intervenir et contester une décision prise par le système d'IA ? Le processus d'escalade est-il documenté ?
Politique de conservation et purge
Des durées de conservation sont-elles définies ? Un mécanisme de suppression automatique est-il en place ?
Si vous avez coché moins de 8 points sur 12, votre système d'IA présente des risques de non-conformité. C'est précisément le type de situation où un accompagnement spécialisé fait la différence.
Besoin d'un audit de conformité IA ?
Nos experts analysent vos systèmes d'IA existants ou vos projets d'automatisation pour identifier les risques RGPD et proposer des solutions concrètes. Audit gratuit, sans engagement.
Demander un audit gratuit →4. Notre approche : IA conforme by design
Chez JAIKIN, la conformité RGPD n'est pas un audit post-déploiement — c'est un principe fondateur de chaque automatisation. Nous avons développé une méthodologie « compliance by design » qui intègre la protection des données dès la première ligne de spécification. Voici les piliers techniques qui rendent notre approche différente.
n8n auto-hébergé : vos données restent chez vous
Nous utilisons n8n comme moteur d'orchestration de workflows, déployé sur votre infrastructure ou sur des serveurs européens. Contrairement aux plateformes SaaS américaines (Zapier, Make), un n8n auto-hébergé garantit que vos données ne transitent jamais par des serveurs situés hors de l'Espace économique européen. C'est une différence fondamentale pour la conformité : pas de transfert transatlantique, pas de risque lié au Cloud Act américain, pas de dépendance à un prestataire soumis au droit américain.
Pour en savoir plus sur les limites des plateformes SaaS américaines, consultez notre guide complet de l'automatisation IA pour PME.
LLM locaux : aucune donnée envoyée au cloud
Pour les traitements les plus sensibles, nous proposons le déploiement de modèles de langage locaux (Mistral, LLaMA, ou d'autres modèles open source) directement sur votre infrastructure. Vos données ne quittent jamais votre réseau. Cette option est particulièrement adaptée aux secteurs réglementés (santé, finance, RH) où la sensibilité des données est maximale.
Lorsque la puissance d'un LLM cloud est nécessaire (GPT-4, Claude), nous mettons en place des couches de pseudonymisation en amont : les données personnelles sont remplacées par des identifiants aléatoires avant l'envoi au modèle, puis rétablis en aval. Le modèle ne voit jamais de données identifiantes.
Architecture « zero data leakage »
Chaque automatisation que nous déployons suit un schéma architectural strict :
Filtrage en entrée
Seules les données nécessaires au traitement entrent dans le pipeline. Les champs superflus sont éliminés dès la première étape.
Pseudonymisation
Les données identifiantes sont remplacées par des tokens avant envoi à un LLM externe. La table de correspondance reste sur votre serveur.
Purge automatique
Les données temporaires sont supprimées automatiquement après traitement. Les logs sont anonymisés selon les durées de conservation définies.
Cette architecture rend nos solutions d'automatisation IA conforme RGPD parmi les plus sécurisées du marché européen. Découvrez l'ensemble de nos services d'automatisation IA.
5. Cas concret : automatisation RH conforme RGPD
Le recrutement est l'un des domaines où l'IA apporte le plus de valeur — et où les risques RGPD sont les plus élevés. Voici comment nous avons déployé une automatisation IA conforme RGPD pour le processus de pré-sélection de candidatures d'une PME de 200 salariés.
Le problème
L'équipe RH recevait en moyenne 350 candidatures par mois pour 8 à 12 postes ouverts. Le tri manuel prenait 40 heures par mois. Plusieurs solutions IA du marché avaient été envisagées, mais abandonnées par le DPO en raison de l'envoi de CV complets (avec photo, adresse, âge) vers des serveurs américains.
Notre solution
Nous avons conçu un workflow n8n auto-hébergé sur l'infrastructure de l'entreprise, articulant les étapes suivantes :
Étape 1 : Extraction et anonymisation
Un parseur extrait les compétences, l'expérience et la formation du CV. Les données personnelles (nom, adresse, photo, date de naissance) sont immédiatement séparées et stockées dans une base chiffrée distincte.
Étape 2 : Analyse par LLM local
Un modèle Mistral déployé localement évalue l'adéquation entre les compétences anonymisées et le profil recherché. Il génère un score et une synthèse — sans jamais accéder aux données identifiantes.
Étape 3 : Validation humaine
Le recruteur reçoit une shortlist avec scores et synthèses. Il valide, ajuste ou conteste les recommandations. Aucune candidature n'est rejetée automatiquement — l'IA assiste, elle ne décide pas.
Étape 4 : Purge programmée
Les données des candidats non retenus sont automatiquement anonymisées après 24 mois (conformément aux recommandations CNIL). Les candidats retenus sont transférés dans le SIRH avec leur consentement.
Résultats
de temps consacré au tri de candidatures
conformité RGPD validée par le DPO
donnée personnelle envoyée hors infrastructure
Ce cas illustre parfaitement qu'une IA conforme RGPD n'est pas une IA limitée — c'est une IA mieux conçue. Pour découvrir d'autres cas d'usage d'agents IA opérationnels, consultez notre guide dédié.
6. IA conforme RGPD et AI Act : la double conformité
Depuis le 2 février 2025, l'AI Act (Règlement européen sur l'intelligence artificielle) est entré en vigueur, ajoutant une couche de conformité supplémentaire. Désormais, une entreprise qui déploie de l'IA en Europe doit respecter à la fois le RGPD et l'AI Act. Cette double conformité n'est pas redondante : les deux règlements sont complémentaires.
| Aspect | RGPD | AI Act |
|---|---|---|
| Objet | Protection des données personnelles | Régulation des systèmes d'IA |
| Classification | Par type de données | Par niveau de risque (minimal, limité, élevé, inacceptable) |
| Transparence | Information sur le traitement des données | Information sur le fonctionnement du système d'IA |
| Supervision humaine | Droit de ne pas subir de décision automatisée | Exigence de contrôle humain pour les systèmes à haut risque |
| Sanctions | Jusqu'à 4 % du CA mondial | Jusqu'à 35 millions € ou 7 % du CA mondial |
L'AI Act classe les systèmes d'IA en quatre niveaux de risque. La plupart des automatisations d'entreprise (CRM, finance, RH) tombent dans les catégories « risque limité » ou « risque élevé », cette dernière s'appliquant notamment au recrutement, à l'évaluation de crédit et au scoring de personnes.
Notre méthodologie « compliance by design » couvre nativement les exigences des deux règlements. Pour approfondir ce sujet, consultez notre livre blanc sur l'AI Act ainsi que notre analyse détaillée de l'IA conforme AI Act en pratique.
« Les entreprises qui anticipent la double conformité RGPD + AI Act prendront une avance considérable. Celles qui attendront devront gérer l'urgence réglementaire en plus de la transformation technologique. »
Prêt à déployer une IA responsable ?
JAIKIN conçoit des automatisations IA conformes RGPD et AI Act dès le premier jour. Parlons de votre projet.
Prendre rendez-vous →7. Questions fréquentes
L'utilisation de ChatGPT en entreprise est-elle conforme au RGPD ?
Pas nécessairement. Si vous envoyez des données personnelles de clients ou de salariés via l'interface ChatGPT ou l'API OpenAI, ces données sont transférées vers des serveurs américains. Cela constitue un transfert hors UE qui nécessite des garanties spécifiques (clauses contractuelles types, évaluation d'impact du transfert). Notre approche privilégie les LLM européens ou auto-hébergés, et lorsqu'un LLM américain est indispensable, nous pseudonymisons les données avant envoi.
Faut-il réaliser une DPIA pour chaque projet d'IA ?
La DPIA est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. En pratique, la CNIL recommande de réaliser une DPIA pour tout traitement impliquant du profilage, une évaluation systématique, ou des données à grande échelle. Chez JAIKIN, nous réalisons systématiquement une DPIA simplifiée pour chaque projet, même lorsqu'elle n'est pas formellement requise, car c'est un excellent outil de cartographie des risques.
Comment concilier la minimisation des données avec l'efficacité de l'IA ?
Contrairement à une idée reçue, moins de données ne signifie pas moins de performance. Un modèle d'IA nourri de données pertinentes et ciblées sera souvent plus performant qu'un modèle inondé de données bruitées. La clé est dans l'ingénierie des prompts et la structuration des données en amont. Nous concevons des pipelines qui extraient uniquement les attributs nécessaires avant le traitement IA.
Un agent IA peut-il prendre des décisions automatisées sur des personnes ?
L'article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs, sauf exceptions (consentement explicite, nécessité contractuelle, autorisation légale). En pratique, nous concevons tous nos agents IA avec un mécanisme human-in-the-loop : l'IA recommande, l'humain décide. Cela élimine le risque lié à l'article 22 tout en conservant 90 % du gain de productivité.
Quelle est la différence entre pseudonymisation et anonymisation pour l'IA ?
La pseudonymisation remplace les identifiants directs (nom, email) par des codes, mais les données restent « personnelles » car la ré-identification est possible avec la table de correspondance. Le RGPD s'applique toujours. L'anonymisation rend la ré-identification impossible — les données sortent alors du champ du RGPD. Pour l'IA, nous utilisons la pseudonymisation quand nous avons besoin de ré-associer les résultats à des individus (tri de CV, par exemple), et l'anonymisation pour l'analyse statistique et l'entraînement de modèles.
Comment s'assurer qu'un prestataire IA respecte le RGPD ?
Exigez cinq éléments : (1) un contrat de sous-traitance conforme à l'article 28 du RGPD, (2) la localisation précise des serveurs traitant vos données, (3) les mesures de sécurité techniques et organisationnelles, (4) la politique de conservation et de suppression des données, et (5) la capacité à répondre aux demandes d'exercice de droits. Chez JAIKIN, nous fournissons systématiquement ces éléments et privilégions les architectures où les données restent sous votre contrôle direct.
8. Sources
CNIL — Guide pratique : intelligence artificielle et données personnelles (2024).
https://www.cnil.fr/fr/intelligence-artificielle
CNIL — Recommandations sur les systèmes d'IA générative (2024).
https://www.cnil.fr/fr/ia-generative
Règlement (UE) 2016/679 — Règlement Général sur la Protection des Données.
Texte intégral sur EUR-Lex
Règlement (UE) 2024/1689 — AI Act (Règlement européen sur l'intelligence artificielle).
Texte intégral sur EUR-Lex
European Data Protection Board (EDPB) — Guidelines on Automated individual decision-making and Profiling (WP251rev.01).
https://www.edpb.europa.eu
CNIL — Liste des traitements nécessitant une analyse d'impact (AIPD).
https://www.cnil.fr/fr/analyse-dimpact
Déployez une IA conforme, dès aujourd'hui
JAIKIN accompagne les PME et ETI dans le déploiement d'automatisations IA conformes RGPD et AI Act. Nos solutions sont conçues pour la performance et la conformité — sans compromis. Prenez rendez-vous pour un diagnostic gratuit.
Diagnostic gratuit →Weiterführende Lektüre
AI Act 2026: Was die europäische Regulierung für Ihre KI ändert
Die europäische KI-Verordnung tritt phasenweise in Kraft. Zeitplan, Risikoklassifizierung, konkrete Pflichten und 8 Schritte zur Konformität Ihrer KI.
LesenKonforme KI-Automatisierung: Balance zwischen Leistung und Regulierung
Compliance ist kein Hindernis für Automatisierung – sie ist ein Wettbewerbsvorteil. Entdecken Sie die 3 Säulen der DSGVO- und AI-Act-konformen KI-Automatisierung.
LesenEU AI Act: Der vollständige Referenzleitfaden
Umfassende und neutrale Analyse der EU-Verordnung 2024/1689 über künstliche Intelligenz: Risikoklassifizierung, Pflichten nach Akteur, Sanktionen und Umsetzungszeitplan.
Lesen