🔒FAQ RGPD & IA

Techniquement oui, juridiquement sous conditions. OpenAI propose un Data Processing Agreement (DPA) conforme RGPD et a désactivé l'entraînement sur les données des clients API depuis mars 2023. Cependant : (1) OpenAI Inc. est une entreprise américaine soumise au Cloud Act — une autorité US peut exiger la communication de tes données. (2) Les données envoyées via l'API transitent par des serveurs Microsoft Azure US-East, même si OpenAI annonce vouloir déployer en Europe. (3) Pour des données sensibles (santé, RH, financières), la CNIL recommande d'utiliser un fournisseur sous juridiction exclusivement européenne. Alternative : Mistral API (Paris, juridiction FR).

Le DPA OpenAI couvre les obligations formelles du RGPD article 28 (contrat de sous-traitance). Mais il ne résout pas tout : (1) L'exposition Cloud Act persiste — le DPA ne peut pas annuler une loi américaine. (2) Les Clauses Contractuelles Types (CCT) incluses dans le DPA d'OpenAI sont valides depuis l'arrêt de la CJUE du 16 juillet 2020 (Schrems II), mais elles nécessitent une analyse d'impact (TIA) que tu dois conduire toi-même. (3) Si tu traites des données de catégories spéciales (santé, opinions politiques, données judiciaires), le DPA standard ne suffit pas — tu dois ajouter des garanties supplémentaires ou choisir un hébergeur EU.

Les deux s'appliquent simultanément et peuvent être en conflit. Le RGPD interdit le transfert de données personnelles vers des pays tiers sans mécanismes adéquats (CCT, BCR, décision d'adéquation). Le Cloud Act américain oblige les entreprises sous juridiction US à fournir des données aux autorités américaines sur subpoena, même si elles sont stockées en Europe. La CJUE (Schrems II, 2020) n'a pas tranché cette contradiction directement. En pratique : si un prestataire US héberge tes données UE, il est soumis aux deux régimes. La seule protection effective est de choisir un prestataire sans lien de dépendance avec la juridiction américaine (holding, filiale, actionnariat).

Non. L'hébergement en Europe est nécessaire mais pas suffisant. Le critère déterminant est la juridiction de l'entreprise qui contrôle les données, pas la localisation des serveurs. Exemples : AWS (Amazon US) héberge en Frankfurt — les données restent sous Cloud Act. Google Cloud (Delaware US) héberge à Paris — idem. Scaleway (groupe Iliad, Paris) héberge en France sous droit français — pas d'exposition Cloud Act. OVHcloud (Roubaix, groupe français coté) — idem. Pour une conformité RGPD robuste, vérifier : (1) Siège social du fournisseur (EU ou non). (2) Actionnariat (pas de holding américaine). (3) Existence d'un DPA conforme RGPD. (4) Clause de non-transfert extra-UE.

C'est l'une des questions les plus complexes du RGPD-IA. Si une IA a été entraînée sur tes données personnelles, l'exercice du droit à l'effacement (article 17 RGPD) est techniquement difficile car les LLMs ne stockent pas les données brutes mais en extraient des paramètres de poids. La CNIL précise dans ses lignes directrices IA (2024) que l'obligation d'effacement s'applique, et que les responsables de traitement doivent soit pouvoir supprimer l'influence d'une donnée (via machine unlearning), soit démontrer que la conservation est proportionnée à une finalité légitime. En pratique : privilégier des modèles où tu contrôles les données d'entraînement, et ne pas envoyer de données personnelles identificatrices à des API IA tierces.

Sous conditions. Le RGPD ne s'applique pas aux données véritablement anonymisées (considérant 26). Mais la CNIL insiste sur un point critique : l'anonymisation doit être irréversible et robuste face aux techniques de ré-identification modernes. Or les LLMs sont eux-mêmes des outils puissants de ré-identification — un modèle entraîné sur des données 'anonymisées' peut mémoriser et restituer des informations individuelles (phénomène de mémorisation prouvé par plusieurs publications académiques de 2023-2024). La pseudo-anonymisation (hashage des noms, k-anonymat) n'est pas suffisante. Pour un entraînement légalement sûr : anonymisation différentielle ou synthèse de données (synthetic data generation).

Le DPO (Délégué à la Protection des Données) doit depuis 2026 intégrer les systèmes IA dans ses missions standards : (1) Registre de traitement article 30 : documenter chaque usage IA (fournisseur, finalité, catégories de données, base légale, transferts hors UE). (2) DPIA (article 35) : si l'IA prend des décisions automatisées à fort impact sur les personnes — obligatoire, y compris pour les usages internes. (3) Audit des DPA des fournisseurs IA (OpenAI, Mistral, Anthropic). (4) Information des personnes concernées sur les traitements automatisés (article 13/14). (5) Sous l'AI Act 2026 : coordination avec le responsable conformité IA (si distinct du DPO) sur les systèmes à risque élevé.

Privacy by Design (article 25 RGPD) appliqué à l'IA signifie intégrer la protection des données dès la conception architecturale, pas en correctif. Concrètement : (1) Minimisation — ne collecter que les données strictement nécessaires au fonctionnement du modèle. (2) Chiffrement bout-en-bout des données avant envoi à un LLM tiers. (3) Isolation des environnements — ne pas mélanger données de dev et données de prod dans les prompts. (4) Journalisation — tracer les accès aux données personnelles par les composants IA. (5) Droit à l'effacement technique — prévoir dès le début la possibilité de supprimer les données d'un utilisateur y compris dans les embeddings vectoriels. (6) Hébergement EU pour les composants traitant des données personnelles.