Déployer l'intelligence artificielle en entreprise en respectant le RGPD

Juriste rédacteur web

17 vues · Mis à jour le 29 mai 2026 à 14:38

Vous êtes employeur et, après réflexion, vous avez décidé de déployer des outils d'intelligence artificielle (IA) au profit de vos salariés (aide à la rédaction, analyse de données, etc.). Toutefois, vous devez veiller à respecter le Règlement à la Protection des Données (RGPD), afin que cette technologie ne devienne pas un risque pour les données personnelles traitées par votre structure. Juritravail vous dévoile les informations essentielles à connaître pour rester en conformité !

Déployer l'intelligence artificielle en entreprise en respectant le RGPD

Se mettre en conformité avec le RGPD

L'intelligence artificielle et la collecte de données en entreprise

Si l'intelligence artificielle (IA) comporte son lot de d'opportunités pour les entreprises (productivité, gain de temps, automatisation des tâches, etc.), elle ne doit pas pour autant être la porte ouverte à tous les abus. L'utilisation de l'IA doit respecter le cadre légal et réglementaire.

Un système d'IA est un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels.

AI Act (1)

En entreprise, utiliser Claude, ChatGPT, Gemini, Copilot ou tout autre modèles de langage ("Large Language Models" - "LLM") peut s'avérer tentant pour répondre aux objectifs que peuvent remplir ces IA.

Toutefois, cette utilisation dans un cadre professionnel peut soulever des questions au titre de la protection des données :

une fois partagées, les données partagées pourraient ne plus appartenir à l'entreprise et pourront être utilisées pour entraîner l'IA (dit "machine learning") ;
les salariés non formés pourraient importer des documents (contrat de travail, contrats commerciaux, fiche de paie, CV, etc.) sans prendre le soin de les anonymiser et ainsi divulguer des données personnelles, voire sensibles ou confidentielles ;
un système d'IA peut être victime de failles de sécurité et compromettre les données que vous lui avez partagées en les rendant publiques (fuites de données, etc.).

+ 9,5 % violations de données en 2025

Selon le dernier rapport annuel de la Commission Nationale Informatique et Libertés (CNIL), les violations de données ont été en particulière expansion en 2025 (+ 9,5 %). La commission déclare avoir été notifiée de 6.167 violations de données personnelles, contre 5.630 l'année précédente (2).

💡 Bon à savoir : il est parfois obligatoire de consulter votre CSE avant d'introduire un système d'IA au sein de votre entreprise. Veillez à respecter la procédure avant de vous lancer !

Quel est le lien entre l'IA et le RGPD en entreprise ?

Les IA nécessitent de traiter un volume de données important pour fonctionner et être pertinentes. Parmi ces données, des données personnelles peuvent parfois être utilisées par vous ou vos salariés pour remplir des tâches professionnelles quotidiennes.

Pour mémoire, une donnée à caractère personnel est constituée par toute information se rapportant à une personne physique identifiée ou identifiable (3).

Exemples : prénom, nom, numéro d'identification, données de localisation, éléments spécifiques à l'identité physique, génétique, culturelle, etc.

En France, ce sont le Règlement Général sur la Protection des Données (RGPD) et la Loi informatique et libertés qui encadrent et protègent le traitement des données personnelles (4). Ces textes s'appliquent à votre entreprise et à la gestion des données personnelles.

Lorsqu'un logiciel d'IA est déployée en entreprise, le risque que des données personnelles soient partagées avec celle-ci sont importants :

pour la gestion des ressources humaines (automatisation de certaines tâches, analyse de CV pour le recrutement, etc.) ;
pour générer des documents et contrats ;
pour gérer un portefeuille de clients ;
pour analyser des dossiers volumineux ;
pour créer du contenu (texte, image, vidéo) ;
etc.

Les risques relatifs à la sécurité et la confidentialité des données transmises à l'IA pour réaliser ces tâches sont réels : le respect du RGPD est nécessaire pour les limiter.

💡 Bon à savoir : outre la sécurité des données, l'IA générative peut aussi soulever de nombreuses questions juridiques en entreprise relatives à la propriété intellectuelle, à la discrimination, à la désinformation, à la création de contenu faux (dits "hallucinations"), etc.

Quels sont les grands principes du RGPD à respecter lorsque une entreprise utilise l'IA ?

Comme pour tout traitement de données personnelles (opinions politiques, appartenance syndicale, identité, santé, etc.), votre entreprise doit veiller à respecter les principes fondamentaux du RGPD lorsqu'elle utilise l'intelligence artificielle.

Ces données personnelles doivent être traitées de manière (5) :

licite, loyale et transparente au regard de la personne concernée (principe de licéité, loyauté et transparence) ;
adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation) ;
à ce que leur collecte réponde à des finalités déterminées, explicites et légitimes (principe de finalité) ;
exactes et, si nécessaire, tenues à jour (principe d'exactitude) ;
etc.

Exemple : certaines IA peuvent être utilisées pour aider les services RH à analyser les CV reçus pour un poste et aider à la prise de décision. Afin de répondre au principe de minimisation, il semble plus prudent de retirer toutes les données permettant d'identifier les candidats (photographie, prénom, nom, adresse, numéro de téléphone), pour minimiser l'usage des données personnelles, et également éviter que le logiciel, potentiellement biaisé, crée des discriminations entre les profils.

En cas de doute sur les bonnes pratiques à adopter sur l'usage de l'IA au regard de la réglementation sur le sujet, vous pouvez vous adresser à votre délégué à la protection des données (DPD ou DPO).

👉 Pour aller plus loin : RGPD : tout savoir sur la protection des données et comment se mettre en conformité

ChatGPT, Claude, Copilot... Quel outil d'IA générative respecte les obligations prévues par le RGPD ?

En principe, le RGPD s'applique au traitement des données à caractère personnel effectué dans le cadre de toutes activités du responsable du traitement sur le territoire de l'Union européenne (UE), que le traitement ait lieu ou non dans l'UE (6).

En conséquence, les IA autorisées en France doivent être conformes au RGPD. Par prudence, il est possible de réaliser un audit avant de choisir le système d'IA à déployer en entreprise (où sont hébergés ses serveurs ?, a-t-elle rencontré des failles de sécurité ?, quelle sa politique de confidentialité ?, etc.)

Pour un usage professionnel, il est généralement recommandé de se tourner vers des IA prévu à cet effet.

Exemples : ChatGPT et Copilot proposent une version "business", qui priorisent la confidentialité et la sécurité pour un usage d'entreprise.

💡 Bon à savoir :les développeurs des IA doivent également se conformer à l'AI Act (Règlement de l'UE sur l'IA), lequel crée un cadre juridique pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d’intelligence artificielle au sein de l'UE (7).

Quel est le rôle de la CNIL en matière de protection des données et d'IA ?

La CNIL dispose de plusieurs missions relatives à l'introduction de l'IA en entreprise (8) :

une mission d'accompagnement de l'entreprise ;
une mission de contrôle une fois que le système d'IA est mis en oeuvre (notamment au regard du RGPD pour le volet des données ; et du Règlement sur l'IA pour les concepteurs et développeurs de systèmes d'IA) ;
une mission de veille, notamment relative à la sécurité (nouvelles attaques, traitements de données illicites, etc.) ;
et, enfin, une mission de sanction si des mesures correctrices sont nécessaires.

Son rôle en matière de régulation de l'IA tend d'ailleurs à se renforcer dans les années à venir.

En conséquence, la CNIL n'a pas seulement le rôle de vous sanctionner. Elle peut vous accompagner pour que l'IA soit utilisée dans votre entreprise en respectant la réglementation européenne et nationale.

Quels sont les risques en cas de non-respect de la protection des données personnelles en utilisant une IA ?

Pour l'employeur

De façon classique, le non-respect du RGPD et la violation de données personnelles peut être sanctionné par une amende administrative prononcée par la CNIL. Elle peut s'avérer particulièrement lourde en fonction de la violation.

Exemple : la CNIL a récemment prononcé une amende de 3,5 millions d'euros à une société qui avait manqué à plusieurs obligations prévues par le RGPD. Celle-ci avait, notamment, partagé les données personnelles de ses clients, sans les informer ni obtenir leur consentement explicite et éclairé (9).

La fuite de données d'une entreprise peut également avoir un impact sur sa réputation et donc :

entacher la confiance créées avec ses clients ;
détourner les candidats à l'embauche et les potentiels nouveaux clients.

Pour le salarié

Une fuite de données sensibles peut parfois résulter d'un comportement du salarié :

vous ne l'avez pas suffisamment informé, sensibilisé ou formé à l'utilisation de l'IA ;
vous n'avez pas défini un cadre à l'utilisation d'outils d'intelligence artificielle en entreprise (par exemple, en rédigeant une charte réglementant l'IA dans votre structure) ;
ou, de lui-même, il utilise une IA normalement destinée à un usage personnel, sans respecter les règles applicables dans votre entreprise.

Dans ce dernier cas, et dans le respect des dispositions de votre règlement intérieur et d'une potentielle charte opposable aux salariés (10), le salarié pourrait s'exposer à une sanction disciplinaire.

Exemple : le salarié utilise un outil d'IA générative personnel, sans en informer l'employeur, dans lequel il communique des données sensibles de votre entreprise.

💡 Concernant l'usage de l'IA à des fins personnelles pendant les heures de travail, les règles relatives à l'utilisation d'internet ou du téléphone portable au travail semblent transposables. En cas de doute, rapprochez-vous d'un conseil juridique.

Les données transmises par mon entreprise à l'IA peuvent-elles être saisies ?

Oui, dans une récente circulaire, le ministre de la Justice appellent les procureurs à "mobiliser tous les moyens à [leur] disposition afin d'obtenir la coopération des fournisseurs de services ou de messages électroniques, y compris s'ils sont établis en dehors du territoire national" (dans le respect du cadre légal et réglementaire) (11).

L'objectif ? Obtenir des preuves numériques lors d'une enquête pénale, dans un contexte où "85 % des enquêtes font désormais intervenir des données numériques" (12).

Parmi les sociétés citées pour permettre d'accéder aux communications et aux données stockées ou archivées dans les serveurs des fournisseurs, le ministre vise, entre autres, OpenAI (développeur du modèle de langage "ChatGPT").

Quelles bonnes pratiques mettre en place pour une utilisation de l'IA conforme à la réglementation ?

informer, sensibiliser et former ses collaborateurs au RGPD et à l'utilisation des outils d'IA (salariés, service RH, etc.) ;
rappeler aux salariés que leurs obligations au travail s'appliquent également dans l'utilisation des outils informatiques, IA incluse (obligation de confidentialité, respect de la propriété intellectuelle, etc.) ;
élaborer une charte d'utilisation de l'IA, sur le même modèle que les chartes informatiques. Elle peut permettre, par exemple, d'interdire l'utilisation de systèmes d'IA qui n'ont pas été pensés pour un usage professionnel, afin de privilégier ceux choisis par l'entreprise ;
limiter le partage de données personnelles sur les systèmes d'IA autant que possible (nom, prénoms, adresse, données médicales, données clients, numéro de compte, contenu original ou confidentiel créé par l'entreprise, etc.) ;
vérifier en amont les politiques de confidentialité, de cybersécurité et de stockage de la solution d'IA que vous envisagez ;
utiliser des outils d'IA respectueux des normes relatives à la protection de données personnelles et plus généralement, des droits humains ;
garder systématiquement un contrôle humain sur l'IA et ses productions (vérifications en amont et en aval, etc.). Si les salariés de vos entreprises sont soumis à des obligations, l'IA, elle, ne vous doit rien !

Source :

CNIL.fr

Références :

(1) Article 3 du Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (dit "AI Act")
(2) "Protéger les données de chacun pour sécuriser l'avenir numérique de tous", rapport annuel de la CNIL, 2025
(3) Article 4 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit "RGPD")
(4) RGPD du 27 avril 2016 ; Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(5) Article 5 du RGPD
(6) Articles 2 et 3 du RGPD
(7) AI Act du 13 juin 2024 précité
(8) "Intelligence artificielle, de quoi parle-t-on ?", CNIL, 25 mars 2022
(9) CNIL, 30 décembre 2025, délibération SAN-2025-017
(10) Cass. Soc. 5 mai 2021, n°19-25699
(11) Circulaire relative à l'accès aux données détenues par les fournisseurs de services ou de messageries électroniques, 13 avril 2026, n°2026-5/CAB-20/2026
(12) "Un meilleur accès aux preuves électroniques pour lutter contre la criminalité", étude de l'Union européenne, 11 janvier 2024)

Les questions fréquemment posées

L'employeur peut-il proposer des formations IA à ses salariés ?

Oui, l'employeur peut tout à fait proposer des formations à ses salariés pour qu'ils apprennent à se servir de l'IA avec les bons réflexes (anonymisation des données, vérification des réponses, connaissance des dangers, etc.), et ainsi réduire les risques pour l'entreprise.
Comment la CNIL définit-elle l'intelligence artificielle ?

La CNIL définit l'intelligence artificielle comme "un procédé logique et automatisé reposant généralement sur un algorithme et en mesure de réaliser des tâches bien définies" ("Glossaire de l'intelligence artificielle (IA)", CNIL.fr).
Quelle est la réglementation que doit respecter une IA en France ?
Le cadre juridique réglementant les IA se développe depuis quelques années, via des textes existants ou élaborés spécifiquement en raisons des risques de cet outil :
- le Règlement général sur la protection des données ( "RGPD") et la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- l'AI Act (Règlement de l'UE établissant des règles harmonisées concernant l'intelligence artificielle) ;
- la Convention-cadre sur l’intelligence artificielle, ratifiée par l'Union européenne le 15 mai 2026 ;
- etc.
Comment un outil d'IA peut-il être conforme au RGPD ?

Selon la CNIL, un système d'IA peut tout à fait être conforme au RGPD : IA et protection des données ne sont pas forcément incompatibles.

Pour cela, les développeurs doivent s'assurer que leur système respecte les principes fondamentaux du Règlement lors de son élaboration puis de sa mise en oeuvre (exemple : le système ne doit pas pouvoir conserver indéfiniment les données personnelles recueillies). Dans le cas contraire, ils s'exposent à des sanctions (financières, juridiques, etc.).

L'employeur doit se tourner vers des IA fiables et réservées à un usage professionnel pour limiter les risques.