IA et RGPD en PME française : ce qu'il faut savoir avant de te lancer

Tu hésites à utiliser ChatGPT pour traiter tes mails clients à cause du RGPD. Tu as entendu que les données envoyées à ChatGPT sont "utilisées pour entraîner les modèles". Tu te demandes si tu mets ta boîte en risque juridique en laissant ton commercial utiliser Claude au quotidien.

Cet article te donne ce que tu dois savoir, en clair, avant de déployer l'IA dans ta PME française. Sans jargon juridique. Avec les 3 stratégies concrètes pour rester conforme et la checklist à dérouler avant de signer un abonnement. C'est ce qu'on cadre systématiquement chez Audiaa, agence IA et No Code à Rennes avec nos clients PME.

Le RGPD en 2 lignes pour un dirigeant

Le RGPD (Règlement Général sur la Protection des Données) impose 2 obligations principales quand tu manipules des données personnelles de clients ou prospects européens :

1. Tu dois savoir où sont stockées ces données et qui peut y accéder.
2. Tu dois pouvoir prouver que tu protèges ces données et que tu as recueilli un consentement valide.

L'IA introduit un risque parce que quand tu envoies un prompt à ChatGPT contenant des données client (nom, email, contenu d'une discussion), ces données partent vers les serveurs OpenAI aux États-Unis. Selon ce que ChatGPT en fait ensuite, tu peux être en infraction RGPD.

La bonne nouvelle : tu peux utiliser ChatGPT, Claude ou Gemini en restant conforme, à condition d'appliquer 3 règles simples qu'on détaille ci-dessous.

Les 3 catégories de données : sensibilité décroissante

Toutes les données ne sont pas égales devant le RGPD. Voici les 3 catégories que tu dois distinguer :

Catégorie 1, sensibles au sens RGPD strict : données de santé, données financières détaillées (numéros de carte bancaire, RIB), données concernant les mineurs, données révélant des opinions politiques, religieuses, syndicales ou orientation sexuelle. Sur ces données, le RGPD est intransigeant. Pas question de les envoyer à ChatGPT version gratuite ou Plus.

Catégorie 2, données personnelles courantes : nom, prénom, email, adresse postale, numéro de téléphone, contenu d'échanges commerciaux, photos identifiables. La majorité des données que tu manipules au quotidien. Acceptable avec ChatGPT Enterprise ou Claude offre entreprise, à éviter en version gratuite.

Catégorie 3, données anonymes ou anonymisables : texte sans identifiants nominatifs, contenu marketing public, brainstorms internes sans données client. Acceptable même en version gratuite, sans risque RGPD significatif.

La règle Audiaa : si tu hésites entre catégorie 2 et 3, traite en catégorie 2 (plus prudent).

Ce que ChatGPT, Claude et Gemini font de tes données

En 2026, voici les politiques officielles des 3 acteurs principaux :

ChatGPT (OpenAI) :

• Version gratuite : tes prompts peuvent être utilisés pour entraîner les futurs modèles. Pas adapté pour des données personnelles.
• Version Plus (20 USD/mois) : tu peux désactiver l'utilisation de tes données pour l'entraînement dans les paramètres. Mais elles transitent toujours par les serveurs US.
• Version Enterprise et Team : tes données ne sont JAMAIS utilisées pour l'entraînement. Stockage sécurisé, conforme SOC 2. Acceptable pour catégorie 2.

Claude (Anthropic) :

• Version gratuite et Pro : tes données ne sont par défaut pas utilisées pour l'entraînement (politique "opt-out" par défaut depuis 2024).
• Version Team et Enterprise : engagement formel de non-entraînement, plus accord DPA pour la conformité européenne.

Gemini (Google) :

• Version Workspace : intégrée à ton abonnement Google Workspace, soumise au DPA Workspace. Acceptable si tu es déjà conforme Workspace.
• Version grand public (gemini.google.com) : usage personnel uniquement, à éviter en pro pour catégorie 2.

Pour comparaison plus large entre les 3 outils, voir notre comparatif ChatGPT vs Claude vs Gemini.

Les 3 stratégies pour rester conforme

Selon le profil et le volume de données sensibles, voici les 3 stratégies qu'on conseille :

Stratégie 1, anonymisation systématique avant prompt. Tu remplaces les noms, emails, données identifiantes par des marqueurs ([CLIENT_A], [EMAIL]) avant d'envoyer à l'IA. Adapté aux pros qui manipulent peu de données nominatives.

Stratégie 2, abonnement entreprise avec DPA signé. Tu prends ChatGPT Enterprise, Claude Team ou Gemini Workspace, tu signes le Data Processing Agreement avec l'éditeur. Adapté aux PME qui manipulent du volume mais pas de données ultra-sensibles.

Stratégie 3, self-hosted pour données très sensibles. Tu héberges un modèle open-source (Llama, Mistral) sur ton propre serveur via Ollama ou n8n. Aucune donnée ne sort de chez toi. Adapté aux secteurs santé, finance, juridique, ou aux PME avec contrainte RGPD stricte. Nécessite des compétences techniques.

Quand basculer en self-hosted

Le self-hosted (héberger un modèle IA sur ton propre serveur) résout 100 % des questions RGPD parce que tes données ne sortent jamais. Mais c'est plus complexe à opérer.

Les 3 critères qui justifient un self-hosted :

• Tu manipules des données catégorie 1 (santé, finance détaillée, mineurs)
• Tu as un volume important de données catégorie 2 (plus de 1 000 prompts par jour avec données client) et tu veux éviter le coût des offres entreprise
• Tu as une exigence client ou réglementaire spécifique de hosting français ou européen (secteur public, défense, certains contrats B2B)

Outils typiques : Ollama (Llama, Mistral en local), n8n self-hosted pour les workflows. Pour le contexte automatisation, voir notre comparatif Make vs n8n vs Zapier.

La checklist RGPD avant de signer un abonnement IA pro

Avant de payer 60 EUR par mois et par poste pour un abonnement IA entreprise, vérifie ces 7 points :

1. Localisation des serveurs : tes données transitent ou sont stockées dans quels pays ?
2. DPA disponible : l'éditeur fournit-il un Data Processing Agreement signable, conforme RGPD ?
3. Politique d'entraînement : tes prompts sont-ils utilisés pour entraîner les modèles ? Réponse écrite contractuelle obligatoire.
4. Durée de rétention : combien de temps tes données sont-elles stockées par l'éditeur ? Idéalement 30 jours max.
5. Audit et certifications : SOC 2, ISO 27001, HDS si santé. Demande les certificats.
6. Procédure de demande d'effacement : si un client te demande la suppression de ses données, comment tu la propages à l'éditeur IA ?
7. Mentions à mettre dans tes CGV et politique de confidentialité : ton DPO ou avocat doit valider les ajouts liés à l'usage IA.

Si l'éditeur botte en touche sur 2 de ces 7 points, change d'éditeur.

Et maintenant ?

Tu as deux options.

Option 1, autonomie : applique la stratégie 2 (abonnement entreprise + DPA) si tu es en catégorie 2 prédominante. La majorité des PME peuvent rester conforme en 1 demi-journée de mise en place : sélection de l'éditeur, signature DPA, mise à jour CGV/politique de confidentialité, formation équipe sur la grille des 3 catégories.

Option 2, accompagné : on propose chez Audiaa un audit RGPD-IA en 1 jour qui couvre les 3 stratégies, choisit la bonne pour ton contexte, et formalise les documents (politique d'usage interne, mentions CGV, DPA). Détails sur notre page prestations.

Tu veux qu'on en discute ? Parlons de votre projet en 30 minutes. Et pour explorer les autres dimensions (intégration, coût, ROI), regarde aussi notre guide d'intégration IA et l'article sur le coût d'intégration IA en PME.

Avertissement : cet article donne des bonnes pratiques générales. Pour ta situation spécifique, valide toujours avec un DPO qualifié ou un avocat spécialisé en données personnelles.