RGPD et IA : traiter des données personnelles légalement en 2026

RGPD et IA : les fondamentaux à maîtriser

Le RGPD (Règlement général sur la protection des données) est entré en vigueur en mai 2018. Il s'applique à tout traitement de données personnelles effectué dans le cadre des activités d'un responsable de traitement ou d'un sous-traitant établi dans l'UE, ou à destination de personnes situées dans l'UE. Comme l'IA implique quasi systématiquement un traitement de données, l'intersection entre les deux régimes est fondamentale.

Ce que le RGPD impose en matière de traitement des données — et que l'IA doit respecter — se résume en sept principes fondamentaux définis à l'article 5 :

• Licéité, loyauté, transparence : le traitement doit reposer sur une base légale, être loyal envers les personnes concernées, et transparent
• Limitation des finalités : les données ne peuvent être utilisées que pour les finalités pour lesquelles elles ont été collectées — pas pour entraîner un modèle IA si cette finalité n'était pas prévue
• Minimisation des données : ne collecter que les données strictement nécessaires
• Exactitude : maintenir les données à jour et exactes
• Limitation de la conservation : ne pas conserver les données plus longtemps que nécessaire
• Intégrité et confidentialité : sécuriser les données contre les accès non autorisés
• Responsabilité (accountability) : être capable de démontrer la conformité à tout moment

Chacun de ces principes soulève des questions spécifiques pour les systèmes d'IA, que nous allons examiner dans les sections suivantes.

Ce qui distingue l'IA des traitements classiques

Les systèmes d'IA présentent des caractéristiques qui compliquent l'application du RGPD par rapport à des traitements de données classiques :

L'opacité : un LLM est une boîte noire dont les décisions sont difficiles à expliquer. Or le RGPD exige la transparence et, dans certains cas, une explication des décisions automatisées.

La rémanence des données d'entraînement : une fois un modèle entraîné sur des données, ces données sont implicitement encodées dans les poids du modèle. Exercer le droit à l'effacement sur un modèle entraîné est techniquement très difficile.

La dérive des finalités : un modèle entraîné pour une tâche peut être utilisé pour une autre. Le principe de limitation des finalités s'applique, mais son respect est difficile à contrôler dans la pratique.

L'effet d'échelle : les modèles IA sont souvent entraînés sur des volumes de données qui rendent le respect individuel de chaque droit des personnes (accès, rectification, effacement) techniquement et économiquement très complexe.

Bases légales pour l'IA : choisir et documenter la bonne

Tout traitement de données personnelles par un système IA doit reposer sur une base légale valide parmi les six prévues à l'article 6 du RGPD. Le choix de la base légale n'est pas anodin : il conditionne les droits des personnes et les obligations du responsable de traitement.

Le consentement (article 6.1.a)

Le consentement est souvent la première base légale à laquelle on pense — mais c'est rarement la plus appropriée pour les systèmes IA en contexte B2B. Pour être valable, le consentement doit être libre (la personne peut refuser sans conséquence), spécifique (pour une finalité précise), éclairé (la personne comprend ce à quoi elle consent), et univoque (une action positive, pas une case pré-cochée).

Dans un contexte professionnel, le consentement des salariés est problématique car le déséquilibre de pouvoir entre employeur et employé remet en cause le caractère libre du consentement. Pour les clients, le consentement est envisageable mais exige une information précise sur l'utilisation IA — et le risque que des personnes retirent leur consentement, ce qui complexifie la gestion des modèles IA entraînés sur ces données.

L'exécution d'un contrat (article 6.1.b)

Cette base légale est utilisable lorsque le traitement est nécessaire à l'exécution du contrat avec la personne concernée. Un système de recommandation qui personnalise le service pour un client peut s'appuyer sur cette base, si la personnalisation est présentée comme une composante du service contractualisé.

L'obligation légale (article 6.1.c)

Lorsque le traitement est imposé par une obligation légale. Un système IA de détection de fraude dans le cadre des obligations LCB-FT (lutte contre le blanchiment) ou de détection de transaction suspecte peut s'appuyer sur cette base.

L'intérêt légitime (article 6.1.f)

C'est souvent la base légale la plus utilisée pour les traitements IA en contexte B2B. Elle autorise le traitement lorsqu'il est nécessaire aux intérêts légitimes du responsable de traitement ou d'un tiers, sauf si les droits fondamentaux des personnes prévalent. Un test de mise en balance (balancing test) doit être réalisé et documenté.

L'intérêt légitime est invocable pour : l'amélioration des produits via analyse des usages, la détection de fraude, le scoring commercial, la sécurité informatique. Il n'est pas invocable pour des finalités non raisonnablement attendues par les personnes, ou pour des traitements qui leur causent un préjudice significatif.

Cas d'usage IA	Base légale recommandée	Conditions particulières
Entraînement LLM sur données clients	Consentement ou intérêt légitime (+ balancing test)	Finalité doit être prévue dès la collecte
Décision RH automatisée (recrutement)	Consentement + droit de recours humain	Article 22 RGPD s'applique
Scoring crédit automatisé	Exécution de contrat ou obligation légale	Explication obligatoire, droit de contestation
Détection de fraude interne	Intérêt légitime + obligation légale (LCB-FT)	Proportionnalité, balancing test
Personnalisation marketing	Consentement (PECR) ou intérêt légitime	Opt-out facile obligatoire
Analyse comportementale employés	Obligationtation légale ou intérêt légitime	Information préalable obligatoire, consultation CSE

Entraînement des LLM et RGPD : la question la plus complexe

L'entraînement de modèles de langage à grande échelle est l'un des terrains les plus complexes de l'intersection RGPD-IA. Les grands LLM ont été entraînés sur des quantités astronomiques de texte issu du web — texte qui contient inévitablement des données personnelles. Cette situation soulève des questions juridiques non totalement résolues.

La question de la base légale pour l'entraînement

Sur quelle base légale un acteur comme OpenAI, Google ou Meta peut-il entraîner ses modèles sur des données collectées sur le web, incluant des données personnelles ? Les positions divergent :

• Intérêt légitime : position défendue par plusieurs acteurs — améliorer les capacités de l'IA est un intérêt légitime. Mais l'Autorité irlandaise de protection des données (DPC) et la CNIL ont contesté cette position pour des entraînements massifs et non anticipés par les personnes concernées
• Consentement : difficile à obtenir à l'échelle du web entier ; Meta a tenté cette approche avec son mécanisme d'opt-out mais s'est heurté à des injonctions de plusieurs APD européennes
• Intérêt public ou scientifique : applicable pour les acteurs académiques, difficilement défendable pour des entreprises commerciales

La réponse réglementaire est encore en cours de construction. En 2025, plusieurs régulateurs européens ont lancé des enquêtes formelles sur les pratiques d'entraînement des grands LLM. La CNIL française a publié des lignes directrices (voir section suivante) qui conditionnent les pratiques acceptables.

L'entraînement sur données internes d'entreprise

Pour les entreprises qui entraînent ou fine-tunent des modèles sur leurs propres données internes (documents RH, conversations clients, données CRM), les obligations sont plus claires :

• L'entraînement sur des données collectées pour une autre finalité constitue une nouvelle finalité qui doit être compatible avec la finalité originale (test de compatibilité de l'article 6.4 du RGPD)
• Si la nouvelle finalité n'est pas compatible, une nouvelle base légale doit être établie — souvent le consentement explicite des personnes dont les données sont utilisées pour l'entraînement
• Les personnes doivent être informées de cette utilisation (principe de transparence)
• L'AIPD est généralement obligatoire pour ce type de traitement (voir section suivante)

Le problème de la rémanence et du droit à l'effacement

L'une des questions les plus épineuses est la suivante : si une personne exerce son droit à l'effacement, comment effacer ses données d'un modèle déjà entraîné ? Techniquement, les données ne sont pas stockées littéralement dans le modèle — elles sont encodées dans des paramètres mathématiques. Il est impossible, dans l'état actuel de la technique, d'effacer les informations relatives à une personne spécifique d'un modèle entraîné sans réentraîner le modèle depuis le début.

La CNIL a pris position : l'impossibilité technique n'efface pas l'obligation juridique. Des solutions alternatives doivent être mises en place : pseudonymisation préalable des données d'entraînement (si les données ne sont pas personnelles à l'entrée, le problème est en grande partie résolu), mécanismes de machine unlearning (techniques en développement permettant de réduire l'influence d'exemples spécifiques), ou engagement de ne pas réentraîner sur des données faisant l'objet d'une demande d'effacement.

Droits des personnes et IA : ce qui change avec les systèmes automatisés

Les droits des personnes prévus par le RGPD s'appliquent pleinement aux systèmes d'IA. Mais leur exercice soulève des questions pratiques spécifiques au contexte de l'IA.

Le droit à l'information et à la transparence

Les personnes dont les données sont traitées par un système IA doivent être informées de ce traitement, de ses finalités, de sa base légale, et — point crucial pour l'IA — de l'existence d'une prise de décision automatisée et de sa logique. L'article 13.2.f du RGPD impose d'informer les personnes de "l'existence d'une prise de décision automatisée, y compris un profilage, et des informations utiles concernant la logique sous-jacente".

En pratique, cela signifie que les systèmes IA qui prennent ou influencent des décisions sur des personnes doivent être signalés dans les politiques de confidentialité, avec une explication (même simplifiée) de leur fonctionnement. Les notices de confidentialité qui ne mentionnent pas l'utilisation de l'IA sont donc incomplètes et non conformes.

L'article 22 : décisions automatisées et profilage

L'article 22 du RGPD est l'un des plus importants pour les systèmes IA. Il dispose que toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé — y compris le profilage — produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

Les exceptions sont limitées :

• La décision est nécessaire à la conclusion ou à l'exécution d'un contrat (avec droit de recours humain)
• Elle est autorisée par le droit de l'UE ou d'un État membre (avec garanties appropriées)
• Elle est fondée sur le consentement explicite de la personne

Dans tous les cas où l'article 22 s'applique, le responsable de traitement doit : mettre en œuvre des mesures appropriées pour sauvegarder les droits de la personne, lui permettre d'obtenir une intervention humaine, d'exprimer son point de vue, et de contester la décision.

Droit RGPD	Application aux systèmes IA	Difficulté de mise en œuvre
Droit d'accès (art. 15)	Accéder aux données utilisées par le modèle pour produire une décision	Élevée (opacité des modèles)
Droit de rectification (art. 16)	Corriger les données erronées qui ont influencé une décision IA	Moyenne
Droit à l'effacement (art. 17)	Effacer les données d'un modèle entraîné	Très élevée (rémanence)
Droit à la portabilité (art. 20)	Recevoir les données dans un format structuré pour les transmettre	Faible à moyenne
Droit d'opposition (art. 21)	Refuser le profilage et le traitement pour intérêt légitime	Moyenne (opt-out technique)
Décision automatisée (art. 22)	Exiger une intervention humaine, contester la décision	Élevée (processus à mettre en place)

Le droit à la portabilité et l'IA

Le droit à la portabilité (article 20 du RGPD) permet à une personne de recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Dans un contexte IA, cela soulève des questions intéressantes : si un modèle de recommandation a construit un profil d'une personne, cette personne peut-elle recevoir ce profil et le transférer à un concurrent ?

La réponse est nuancée : le droit à la portabilité s'applique aux données brutes fournies par la personne, pas aux inférences ou déductions produites par l'IA. Mais la frontière est parfois floue, et la jurisprudence continue de se préciser.

AIPD : quand l'analyse d'impact est obligatoire pour vos projets IA

L'Analyse d'Impact relative à la Protection des Données (AIPD), également appelée DPIA (Data Protection Impact Assessment), est une procédure formelle d'évaluation des risques d'un traitement sur les droits et libertés des personnes. Pour les projets IA, elle est très souvent obligatoire.

Les critères de déclenchement

L'article 35 du RGPD impose une AIPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Le CEPD (Comité Européen de la Protection des Données) a identifié 9 critères ; deux critères suffisent généralement pour déclencher l'obligation :

• Évaluation ou scoring de personnes (y compris profilage)
• Décision automatisée avec effets juridiques ou similaires
• Surveillance systématique
• Données sensibles ou données à caractère hautement personnel
• Traitement à grande échelle
• Croisement ou combinaison de jeux de données
• Données concernant des personnes vulnérables
• Usage innovant ou application de nouvelles solutions technologiques
• Transferts de données hors UE

Un système d'IA coche quasi systématiquement au moins deux de ces cases : il constitue une nouvelle technologie (critère 8), et il implique généralement une évaluation ou du profilage (critère 1) ou des décisions automatisées (critère 2). En pratique, tout déploiement d'un système IA traitant des données personnelles devrait déclencher une AIPD.

Le contenu d'une AIPD pour un système IA

Une AIPD pour un projet IA comprend plusieurs éléments obligatoires :

• Description systématique du traitement : nature des données, finalités, périmètre, acteurs impliqués (responsables, sous-traitants, destinataires)
• Évaluation de la nécessité et de la proportionnalité : le traitement est-il nécessaire ? Les données collectées sont-elles les moins intrusives possibles pour atteindre la finalité ?
• Évaluation des risques : identifier et évaluer les risques pour les personnes concernées (violation de données, discrimination, perte d'autonomie, surveillance...) en termes de probabilité et de gravité
• Mesures pour traiter les risques : pour chaque risque identifié, décrire les mesures techniques et organisationnelles mises en place pour le réduire à un niveau acceptable
• Avis du DPO : le Délégué à la Protection des Données doit être consulté et son avis formellement recueilli

Si les risques résiduels (après mesures) demeurent élevés, l'entreprise doit consulter préalablement la CNIL avant de lancer le traitement. Cette consultation préalable est une obligation légale souvent méconnue — et son non-respect expose à des sanctions.

AIPD et systèmes IA à haut risque : le double régime

Pour les systèmes IA classés à haut risque par l'EU AI Act (voir section dédiée), l'évaluation des risques prévue par l'AI Act peut être conduite conjointement avec l'AIPD RGPD. La Commission européenne a publié des lignes directrices sur l'articulation entre les deux instruments pour éviter la double charge. En pratique, les deux analyses se recoupent significativement mais ne sont pas identiques : l'AIPD se concentre sur la protection des données personnelles, l'évaluation AI Act couvre un spectre plus large (sécurité, discrimination, transparence).

Recommandations CNIL 2024-2025 : ce que vous devez appliquer

La Commission Nationale de l'Informatique et des Libertés (CNIL) a publié une série de recommandations et positions sur l'IA en 2024 et 2025 qui font désormais référence pour la conformité en France. Ces recommandations précisent l'application du RGPD aux systèmes IA et constituent un guide pratique pour les entreprises.

Les recommandations sur les systèmes d'IA générative (2024)

En 2024, la CNIL a publié ses premières recommandations spécifiques sur l'IA générative. Les points clés incluent :

• Base légale pour l'entraînement : la CNIL considère que l'intérêt légitime peut constituer une base légale valide pour l'entraînement de modèles IA à partir de données publiques, sous réserve d'un test de mise en balance favorable et du respect du principe de minimisation
• Données personnelles des personnes publiques : les données publiquement disponibles sur des personnes publiques (dirigeants, personnalités publiques) peuvent être utilisées pour l'entraînement dans un cadre plus libéral, à condition que l'usage soit proportionné
• Droit d'opposition à l'entraînement : les personnes dont les données sont utilisées pour l'entraînement doivent pouvoir exercer un droit d'opposition effectif
• Information des personnes : les responsables de traitement qui déploient des systèmes IA génératifs doivent informer les utilisateurs qu'ils interagissent avec une IA

Les recommandations sur les usages en entreprise (2025)

En 2025, la CNIL a élargi ses recommandations aux usages professionnels de l'IA. Les points les plus importants pour les entreprises :

• IA dans les ressources humaines : tout outil IA utilisé dans un processus RH (recrutement, évaluation, gestion de carrière) doit faire l'objet d'une AIPD spécifique. Les salariés doivent être informés et les délégués du personnel consultés. Les décisions automatisées de licenciement ou de non-recrutement sont particulièrement encadrées
• IA de surveillance des salariés : l'utilisation de l'IA pour surveiller la productivité ou le comportement des salariés (analyse des frappes clavier, surveillance des écrans, analyse des communications) est soumise à des conditions très strictes et doit être proportionnée à l'objectif légitime poursuivi
• Chatbots et assistants IA en contact client : obligation d'information du client qu'il interagit avec une IA ; le client doit pouvoir accéder à un humain s'il le souhaite
• Conservation des logs de requêtes : les logs de conversations avec des systèmes IA constituent des données personnelles et doivent être gérés conformément au RGPD (durée de conservation limitée, accès restreint)

Pour une couverture complète des recommandations CNIL, consultez notre article dédié : Recommandations CNIL sur l'IA : ce qui change en 2026.

Pseudonymisation et data minimization : les outils techniques de la conformité

La pseudonymisation et la minimisation des données sont deux techniques fondamentales pour concilier les ambitions des projets IA avec les exigences du RGPD. Le RGPD les encourage explicitement (article 25 — privacy by design) et les considère comme des mesures appropriées de protection.

La pseudonymisation : définition et portée

La pseudonymisation consiste à traiter les données de telle façon qu'elles ne peuvent plus être attribuées à une personne spécifique sans information supplémentaire, cette information étant conservée séparément avec des garanties appropriées. L'exemple classique est le remplacement d'un nom et prénom par un identifiant aléatoire (token), la correspondance token-identité étant conservée dans une table de référence sécurisée, séparée des données pseudonymisées.

La pseudonymisation est différente de l'anonymisation : les données pseudonymisées restent des données personnelles au sens du RGPD (car re-identification reste possible avec la clé), mais elles bénéficient de garanties réduites en matière de risques. Les données véritablement anonymisées ne sont plus des données personnelles et sortent du champ du RGPD — mais l'anonymisation vraie est techniquement beaucoup plus difficile à atteindre qu'on ne le croit souvent.

Application à l'IA : pseudonymiser avant d'entraîner

Pour les projets d'entraînement de modèles sur des données internes, la pseudonymisation préalable est l'une des meilleures pratiques recommandées par la CNIL. Si les données d'entraînement ont été préalablement pseudonymisées (noms remplacés par des tokens, numéros de clients remplacés par des identifiants anonymes, etc.), les risques RGPD liés à la rémanence des données dans le modèle sont considérablement réduits.

Des outils de pseudonymisation automatique existent pour les données textuelles (NER — Named Entity Recognition — avec remplacement des entités identifiantes) et pour les données structurées. Ces outils peuvent être intégrés dans les pipelines de préparation des données d'entraînement.

La data minimization : ne collecter que ce dont on a besoin

Le principe de minimisation (article 5.1.c) impose de ne collecter que les données adéquates, pertinentes et strictement nécessaires au regard des finalités poursuivies. Pour les systèmes IA, cela implique une réflexion sur :

• La sélection des features : quelles variables d'entrée sont vraiment nécessaires pour atteindre la performance souhaitée ? Peut-on obtenir le même résultat sans certaines données personnelles ?
• La granularité des données : peut-on utiliser des données agrégées plutôt qu'individuelles ? Des tranches d'âge plutôt que des dates de naissance précises ?
• La durée de conservation : les données d'entraînement doivent-elles être conservées indéfiniment, ou peuvent-elles être supprimées une fois le modèle entraîné ?
• Le périmètre des données d'inférence : à chaque requête en production, le système IA ne doit accéder qu'aux données strictement nécessaires à sa réponse

EU AI Act + RGPD : gérer le double régime réglementaire

Depuis 2024 et plus encore en 2026, les entreprises déployant des systèmes IA en Europe font face à un double régime réglementaire : le RGPD, applicable à tous les traitements de données personnelles, et l'EU AI Act, applicable à tous les systèmes IA. Pour les systèmes IA à haut risque qui traitent des données personnelles — ce qui couvre une très grande partie des usages professionnels — les deux régimes s'appliquent simultanément et se cumulent.

Les obligations RGPD qui recoupent l'AI Act

Plusieurs obligations de l'EU AI Act font écho à des exigences RGPD, créant une synergie mais aussi une complexité documentaire :

Obligation	RGPD	EU AI Act
Transparence	Articles 13-14 : information des personnes	Articles 13 et 50 : transparence des systèmes IA
Documentation	Article 30 : registre des traitements	Article 11 : documentation technique obligatoire
Évaluation des risques	Article 35 : AIPD	Articles 9 et 43 : gestion des risques AI Act
Supervision humaine	Article 22 : droit à recours humain	Article 14 : human oversight obligatoire
Sécurité	Article 32 : sécurité du traitement	Article 15 : robustesse et cybersécurité
Accountability	Article 5.2 : responsabilité	Chapitre III : obligations des fournisseurs

Les sanctions : le risque de double peine

Le cumul des deux régimes implique un cumul potentiel des sanctions. Une violation grave d'un système IA à haut risque peut déclencher simultanément :

• Une amende RGPD jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel
• Une amende AI Act jusqu'à 30 millions d'euros ou 6 % du chiffre d'affaires mondial pour les violations les plus graves (systèmes interdits)
• Des obligations de mise en conformité corrective avec surveillance des régulateurs
• Des recours civils des personnes affectées (voir nos articles sur la conformité RGPD et IA)

En 2025, les premières sanctions combinées RGPD + AI Act ont commencé à être prononcées par les autorités de surveillance nationales. Les amendes restent pour l'instant principalement RGPD, l'AI Act étant encore en phase de montée en charge, mais les dossiers s'accumulent.

Stratégie de conformité intégrée

Face à ce double régime, la bonne approche n'est pas de mener deux projets de conformité séparés, mais de construire une conformité intégrée qui répond aux deux régimes simultanément :

• Cartographie unique des systèmes IA couvrant à la fois les classifications RGPD (traitements à risque) et AI Act (niveaux de risque)
• Documentation unifiée : la documentation technique AI Act et la documentation RGPD se recoupent — un document bien structuré peut servir aux deux
• AIPD et évaluation des risques AI Act menées conjointement, avec un rapport unique couvrant les deux périmètres
• Gouvernance partagée entre DPO (RGPD) et responsable IA (AI Act) : ces deux fonctions doivent collaborer étroitement, idéalement sous une coordination commune

Questions fréquentes sur RGPD et IA

Peut-on utiliser ChatGPT ou Copilot pour traiter des données personnelles de clients ?

Non, pas sans précautions importantes. L'utilisation de LLM publics pour traiter des données personnelles de clients constitue un transfert de données vers un sous-traitant (l'opérateur du LLM) qui doit être encadré par un contrat de traitement de données (DPA — Data Processing Agreement) conforme à l'article 28 du RGPD. Microsoft propose un DPA pour Copilot Enterprise, OpenAI pour ChatGPT Enterprise — mais ces contrats impliquent un transfert de données hors UE soumis aux garanties adéquates et potentiellement au Cloud Act. La solution la plus robuste est un LLM déployé on-premise ou sur infrastructure souveraine. Pour plus de détails, consultez notre analyse de Microsoft Copilot et les risques RGPD.

L'AIPD est-elle obligatoire pour tous les projets IA ?

En théorie, l'AIPD est obligatoire uniquement lorsque le traitement est susceptible d'engendrer un risque élevé. En pratique, quasi tous les systèmes IA traitant des données personnelles remplissent au moins deux des neuf critères de risque élevé identifiés par le CEPD (notamment : usage de nouvelle technologie, et profilage ou décision automatisée). La CNIL recommande de réaliser une AIPD systématiquement pour tout projet IA impliquant des données personnelles — c'est la posture la plus sûre.

Comment gérer le droit à l'effacement lorsqu'un modèle a été entraîné sur des données d'une personne ?

C'est techniquement complexe. Les approches recommandées par les régulateurs incluent : la pseudonymisation préalable des données d'entraînement (qui réduit le risque en amont), l'engagement de ne pas ré-utiliser les données en question pour des entraînements futurs, les techniques de machine unlearning (en cours de développement), et dans les cas extrêmes, le réentraînement du modèle sans les données concernées. La CNIL reconnaît que l'impossibilité technique de réaliser un effacement total peut justifier des mesures compensatoires — mais cette impossibilité doit être documentée et prouvée, et des alternatives doivent être proposées.

Les salariés doivent-ils être informés des outils IA utilisés par leur employeur ?

Oui, systématiquement. Le principe de transparence du RGPD impose d'informer les salariés de tous les traitements de données qui les concernent, y compris les traitements IA. Cette information doit préciser la nature de l'outil IA utilisé, les données collectées, les finalités, et les droits des salariés. En France, le Comité Social et Économique (CSE) doit être informé et consulté préalablement au déploiement de tout outil numérique de gestion du personnel — y compris les outils IA — en application du Code du travail (articles L. 2312-8 et L. 2315-94).

Les données synthétiques générées par IA sont-elles soumises au RGPD ?

Les données synthétiques sont des données artificiellement générées qui imitent les propriétés statistiques des données réelles sans y correspondre directement. Si elles sont véritablement anonymes (aucune personne réelle ne peut être réidentifiée à partir d'elles, même avec des informations auxiliaires), elles ne sont pas des données personnelles et sortent du champ du RGPD. Mais attention : des études ont montré que certaines données synthétiques permettent une réidentification partielle des personnes ayant servi à leur génération. La qualification « données anonymes » doit être évaluée rigoureusement et documentée dans l'AIPD.

Quelles sont les sanctions réelles prononcées pour non-conformité IA-RGPD ?

Les sanctions concrètes incluent : l'amende de 20 millions d'euros infligée à Clearview AI par plusieurs APD européennes pour collecte illicite de données biométriques pour entraîner un système de reconnaissance faciale ; les injonctions à plusieurs fournisseurs d'IA d'interrompre des traitements illicites en Europe ; et les amendes multimillionnaires prononcées contre Meta pour ses systèmes de ciblage publicitaire fondés sur du profilage IA. En France, la CNIL a prononcé plusieurs rappels à l'ordre et mises en demeure sur des usages IA en 2024-2025, annonçant une intensification des contrôles sur ce sujet en 2026.