Sommaire
👉 L’IA n’échappe pas au RGPD : les principes fondamentaux restent pleinement applicables, quel que soit le niveau de complexité du système.
👉 La conformité devient un sujet d’architecture : traçabilité des données, gestion des droits et documentation doivent être intégrées dès la conception des modèles.
👉 La CNIL impose une logique de gouvernance : au-delà de la technique, l’enjeu est de maîtriser ses usages de l’IA et de pouvoir les expliquer, les encadrer et les justifier.
Sur cette thématique, en 2026 les entreprises passent de la théorie à l’opérationnel.
Contrairement aux idées reçues, le RGPD ne disparaît pas et n’est pas remplacé par un autre règlement face à l’IA. On pourrait même dire qu’il s’applique plus que jamais.
La CNIL l’a d’ailleurs rappelé à plusieurs reprises, notamment à travers ses travaux publiés entre 2024 et 2025 sur le développement des systèmes d’IA. L’autorité insiste sur un point central : les principes fondamentaux du RGPD (finalité, minimisation, transparence, droits des personnes) restent pleinement applicables aux modèles d’IA .
Dans la pratique, cela soulève des tensions très concrètes :
- Peut-on entraîner un modèle sur des données collectées en ligne ?
- Comment informer des personnes dont les données ont été utilisées indirectement ?
- Est-il possible de supprimer une donnée d’un modèle déjà entraîné ?
- L’usage d’outils d’IA générative expose-t-il la propriété intellectuelle ?
Ces questions ne concernent plus uniquement les éditeurs d’IA, mais toutes les entreprises qui utilisent ces technologies.
Dans les lignes qui suivent, nous tenterons de vous donner une lecture claire des recommandations de la CNIL sur l’IA et le RGPD, en traduisant ces principes en enjeux concrets.
RGPD et IA : les principes fondamentaux qui s’appliquent
L’un des premiers réflexes consiste à penser que l’intelligence artificielle nécessite un cadre juridique entièrement nouveau.
En réalité, la position de la CNIL est plus nuancée : le RGPD s’applique déjà pleinement aux systèmes d’IA, à condition d’en respecter les principes fondamentaux [1].
Autrement dit, l’IA ne crée pas un vide juridique, mais force est de constater qu’elle met sous tension des règles existantes.
Le principe de finalité
Premier point dont il faut tenir compte est qu’une IA ne peut pas être entraînée ou utilisée sans objectif clair.
Le RGPD impose que les données soient collectées pour une finalité déterminée, explicite et légitime. Cela signifie concrètement qu’un modèle ne peut pas être alimenté par des données “au cas où” ou pour des usages futurs indéterminés.[2]
La CNIL rappelle que cette exigence reste pleinement valable pour les systèmes d’IA, y compris dans des phases de recherche ou d’expérimentation .
La minimisation des données : entraîner, oui… mais pas tout collecter
Deuxième principe clé : la minimisation. Un modèle d’IA peut nécessiter de grandes quantités de données. Mais cela ne justifie pas une collecte indiscriminée.
Les entreprises doivent être capables de démontrer que :
- les données utilisées sont pertinentes,
- elles sont limitées à ce qui est nécessaire,
- leur volume est justifié par l’objectif poursuivi.
Ce point est particulièrement sensible dans les cas de web scraping ou de réutilisation de bases de données existantes.
La transparence : un défi majeur pour l’IA
La transparence constitue probablement le point le plus complexe. Le RGPD impose d’informer les personnes sur l’utilisation de leurs données.
Or, dans le cas de l’IA, notamment lorsque les données sont collectées indirectement, cette exigence devient difficile à mettre en œuvre.
Les droits des personnes : un principe… sous contrainte technique
Accès, rectification, opposition, effacement. Ces droits restent applicables aux systèmes d’IA. Mais leur mise en œuvre devient plus complexe une fois le modèle entraîné. l’article 12.3 du RGPD stipule que :
“Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.”
Un principe clé en filigrane : la responsabilité
Au-delà de ces règles, un principe domine : la responsabilité du responsable de traitement.
C’est à l’entreprise de démontrer :
- la conformité de son système,
- la légitimité de ses traitements,
- la proportionnalité de ses choix techniques.
L’IA ne déplace pas cette responsabilité. Elle la rend “simplement” plus exigeante.
Les spécificités du traitement des données dans l’IA
Sur le papier, les principes du RGPD sont clairs. Dans un système d’IA, ils deviennent plus difficiles à appliquer, non pas par manque de volonté, mais à cause de contraintes techniques bien réelles.
Pour les DSI, le sujet bascule rapidement dans la mesure où l’enjeu de la conformité est dépassé par celui de la faisabilité.
Des données nombreuses… mais une traçabilité incertaine
Un système d’IA s’alimente rarement d’une source unique. Il agrège des données internes, des bases existantes, parfois des contenus accessibles en ligne. Progressivement, ces flux se mélangent, s’enrichissent, se transforment.
Le problème n’est pas tant le volume que la perte de lisibilité. À mesure que le modèle se construit, il devient plus difficile de retracer précisément l’origine des données ou d’identifier si une information personnelle y est présente. Or, la CNIL rappelle que cette transparence reste attendue, même dans des environnements complexes, avec un niveau de précision adapté au contexte.
👉 Autrement dit, plus le système est performant, plus l’exigence de documentation augmente.
Informer… sans toujours pouvoir identifier
Comme indiqué plus tôt, l’un des points de friction les plus concrets concerne l’information des personnes.
Dans un modèle classique, informer un utilisateur est relativement simple. Dans un système d’IA entraîné sur des données collectées indirectement, l’exercice devient nettement plus délicat.
En pratique, cela oblige les entreprises à repenser leur manière de documenter et d’exposer leurs traitements, parfois bien au-delà des standards habituels.
Une fois le modèle entraîné, le contrôle se réduit
C’est probablement le point le plus sensible côté opérationnel.
Tant que les données sont dans une base classique, les droits RGPD restent relativement simples à gérer. Mais une fois intégrées dans un modèle d’IA, les choses changent de nature.
Modifier, supprimer ou isoler une donnée devient beaucoup plus complexe. Dans certains cas, cela suppose de réentraîner le modèle. Dans d’autres, il faut mettre en place des mécanismes indirects, comme le filtrage des réponses.
Anticiper plutôt que corriger
On se répète, mais dans ce contexte, une conclusion s’impose assez vite : corriger a posteriori devient difficile, parfois impossible.
C’est précisément pour cette raison que la CNIL insiste sur le principe de “privacy by design”. La conformité ne peut plus être ajoutée en fin de projet. Elle doit être pensée dès la conception du système.
Cela implique d’anticiper les usages, les risques, les mécanismes d’identification et les modalités d’exercice des droits. Non pas pour cocher une case réglementaire, mais pour éviter de se retrouver dans une impasse technique quelques mois plus tard.
Un équilibre à construire en permanence
Au fond, l’IA introduit une tension qui a une dimension structurelle. D’un côté, la performance des modèles repose sur la quantité et la diversité des données.De l’autre, le RGPD impose de limiter, encadrer, justifier. Il ne s’agit pas de choisir entre les deux, mais de construire un équilibre. Et cet équilibre n’est jamais figé : il dépend du cas d’usage, des risques, et des arbitrages techniques.
Les recommandations de la CNIL en matière de RGPD et d’IA
Nous vous proposons une lecture opérationnelle des recommandations CNIL dans le tableau suivant.
| Recommandation CNIL | Ce que cela signifie réellement | Exemple concret en entreprise |
|---|---|---|
| Définir une base légale claire | Vous devez justifier pourquoi vous utilisez des données dans votre IA (intérêt légitime, consentement, etc.) | Vous déployez un outil d’IA pour analyser les conversations clients → vous documentez précisément l’objectif (amélioration du support, pas réutilisation marketing) |
| Informer les personnes, même indirectement | Même si vous ne collectez pas les données directement, vous devez expliquer leur utilisation | Vous entraînez un modèle sur des données issues du web → vous publiez une page dédiée expliquant les sources et finalités |
| Adapter le niveau de transparence | Plus le risque est élevé, plus l’information doit être précise | Un modèle interne RH → information détaillée ; un modèle basé sur données publiques → information plus globale mais accessible |
| Anticiper l’exercice des droits | Accès, suppression, opposition doivent être possibles, même en environnement IA | Vous prévoyez un processus permettant de traiter une demande de suppression avant ou après entraînement |
| Ne pas se réfugier derrière la complexité technique | “On ne peut pas” n’est pas une réponse acceptable sans justification | Votre modèle ne permet pas d’isoler une donnée → vous documentez pourquoi et mettez en place des mesures compensatoires |
| Mettre en place des solutions techniques adaptées | Réentraînement ou filtrage doivent être envisagés selon les cas | Une donnée sensible apparaît dans une réponse IA → vous implémentez un filtrage en sortie plutôt que de réentraîner immédiatement |
| Documenter l’ensemble du processus | La conformité doit pouvoir être démontrée à tout moment | Vous conservez une documentation complète : sources, choix techniques, arbitrages, limites |
| Prévoir un délai avant entraînement (bonne pratique) | Laisser un temps pour que les personnes puissent exercer leurs droits | Avant d’entraîner un modèle sur une base client, vous laissez une fenêtre d’opposition |
| Communiquer sur les mises à jour | Informer sur la prise en compte des demandes renforce la transparence | Vous indiquez dans votre documentation que certaines données ont été supprimées suite à des demandes RGPD |
Entre IA & RGPD il est plutôt question d’un arbitrage de gouvernance
Le débat autour de l’IA et du RGPD est souvent mal posé. Il ne s’agit pas seulement de savoir si votre entreprise est conforme mais de savoir si elle maîtrise réellement ses usages de l’IA.
Derrière les principes évoqués comme la transparence, la minimisation ou encore les droits des personnes se joue en réalité un sujet plus large : celui de la gouvernance des données et de la capacité à piloter des systèmes complexes.
L’IA a introduit une rupture. Elle dilue le contrôle, complexifie la traçabilité et rend certaines décisions en la matière difficilement réversibles.
Dans ce contexte, le RGPD agit comme un cadre de discipline. Il oblige à structurer, à documenter, à arbitrer.
Les recommandations de la CNIL vont dans ce sens : et nous arguons qu’elles ne freinent pas l’innovation. On pourrait plutôt dire qu’elles filtrent les usages non maîtrisés.
Pour les entreprises, la ligne de fracture devient claire :
- celles qui expérimentent sans cadre accumulent une dette juridique et technique,
- celles qui intègrent ces contraintes dès la conception construisent un avantage durable.
Chez Ringover, les enjeux liés à l’IA, à la gouvernance des données sont intégrés depuis plusieurs années dans notre approche produit et réglementaire.
Si vous souhaitez en savoir plus, nous vous conseillons cette conférence animée par Pourya Karimi, notre Head of Legal et Ludovic Rateau, le CEO de Ringover. Il y détaillent les implications directes de l’IA en matière de de protection et de souveraineté des données.
Si vous vous interrogez sur l’intégration de l’IA dans vos outils de communication et ses implications en matière de données, nos experts peuvent vous aider à clarifier vos choix et structurer votre approche.
FAQ sur le RGPD et l’IA
Qu’est-ce que le RGPD ?
Le RGPD (Règlement Général sur la Protection des Données) est le cadre juridique européen qui encadre la collecte, le traitement et l’utilisation des données personnelles.[4]
Entré en application en 2018, il impose aux entreprises de :
- justifier l’usage des données,
- limiter leur collecte,
- garantir leur sécurité,
- et permettre aux individus d’exercer leurs droits (accès, suppression, opposition…).
Quels sont les risques posés par l’IA ?
Les risques ne sont pas uniquement techniques. Ils sont aussi juridiques et stratégiques.
L’IA introduit notamment :
- une perte de traçabilité des données utilisées,
- un risque d’utilisation non maîtrisée des données (notamment pour l’entraînement),
- des difficultés à respecter les droits des personnes une fois les modèles entraînés,
- un risque de fuite ou de réutilisation de données sensibles.
Comment l’IA peut-elle être conforme au RGPD ?
Une IA conforme au RGPD repose moins sur la technologie que sur la méthode. Concrètement, cela implique :
- définir un objectif clair (finalité),
- limiter les données utilisées,
- informer les personnes concernées,
- prévoir des mécanismes pour exercer leurs droits,
- documenter les choix techniques et juridiques.
Rappelons encore une fois que ma conformité ne se corrige pas après coup. Elle se construit dès la conception (privacy by design).
Est-ce que ChatGPT est RGPD ?
La question est mal posée. Un outil comme ChatGPT n’est pas “RGPD” ou “non RGPD” en soi. Tout dépend de la manière dont il est utilisé.
Les points de vigilance concernent :
- les données saisies dans l’outil,
- leur éventuelle réutilisation pour entraîner les modèles,
- la localisation et la juridiction du fournisseur,
- les garanties contractuelles.
Une entreprise peut utiliser ChatGPT de manière conforme… ou s’exposer à des risques si l’usage n’est pas encadré.
Quelles IA sont RGPD ?
Aucune IA n’est “RGPD par nature”. En revanche, certaines solutions facilitent la conformité :
- absence de réutilisation des données client,
- transparence sur les traitements,
- conformité aux standards européens (RGPD, AI Act).
Le critère clé reste toujours le même : le niveau de contrôle que vous conservez sur vos données.
Le RGPD réglemente-t-il l’IA ?
Oui, indirectement. Le RGPD ne cible pas spécifiquement l’IA, mais il s’applique à tout traitement de données personnelles, y compris ceux réalisés via des systèmes d’intelligence artificielle.
En parallèle, d’autres textes viennent compléter ce cadre, notamment l’AI Act, qui encadre spécifiquement les systèmes d’IA selon leur niveau de risque. Le RGPD reste le socle. L’AI Act vient ajouter une couche.
Que dit l’article 22 du RGPD sur l’IA ?
L’article 22 encadre les décisions automatisées. Il prévoit qu’une personne a le droit de ne pas faire l’objet d’une décision entièrement automatisée (sans intervention humaine) si cette décision produit des effets juridiques ou significatifs.
Dans le contexte de l’IA, cela peut concerner par exemple :
- un refus de crédit bancaire automatisé,
- un tri automatique de candidatures pour un poste donné,
- une décision RH basée uniquement sur un algorithme.
Des exceptions existent, mais elles sont strictement encadrées.
Mentions
[1] https://www.cnil.fr/
[2] https://www.actu-juridique.fr/
[3] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/
[4] https://www.economie.gouv.fr/
Publié le 2 avril 2026.