Blog
12. juin 2026

RGPD et IA : comment cadrer juridiquement un projet d’intelligence artificielle ?

Les projets d’intelligence artificielle se multiplient dans les organisations : IA générative, scoring, automatisation de décisions, analyse documentaire, aide au recrutement, détection de fraude, support client ou optimisation de processus internes.

Mais dès lors qu’un projet d’IA implique des données personnelles, le RGPD s’applique. Et avec l’entrée en vigueur progressive du règlement européen sur l’intelligence artificielle, le Règlement IA (AI Act), les organisations doivent aussi raisonner en termes de niveau de risque, de transparence, de supervision humaine et de responsabilités.

L’IA ne doit donc pas être traitée comme un simple sujet technique ou expérimental. Elle doit être cadrée juridiquement dès la phase de conception du projet.

1. Qualifier le projet d’IA

Avant toute analyse juridique, il faut comprendre concrètement le projet.

S’agit-il de développer un modèle en interne, d’utiliser une API d’IA générative, d’intégrer une brique IA dans un logiciel métier, de déployer une solution SaaS ou d’adapter un modèle existant ?

Il faut aussi identifier le rôle du système : produit-il une recommandation, une prédiction, un score, une classification, un contenu ou une décision ? Est-il utilisé comme simple outil d’aide ou comme élément central d’un processus métier ? Ses résultats servent-ils à prendre une décision concernant une personne ?

Cette première qualification permet d’identifier les risques, les responsabilités, les textes applicables et le niveau de documentation attendu.

2. Cartographier les données utilisées

Un projet d’IA peut mobiliser plusieurs types de données : données d’entraînement, de test, de validation, données en production, prompts, sorties générées, logs ou données de supervision.

Toutes peuvent contenir des données personnelles.

Dans un outil d’IA générative, les prompts peuvent inclure des informations relatives à des clients, salariés, fournisseurs ou partenaires. Les sorties peuvent également reproduire ou révéler des données personnelles. Les logs peuvent contenir des identifiants ou des extraits de contenus.

Il faut donc cartographier les données utilisées à chaque étape du cycle de vie du projet, sans présumer qu’elles sont anonymes. Retirer les noms ne suffit pas nécessairement : si une personne peut encore être identifiée, directement ou indirectement, le RGPD continue de s’appliquer.

3. Définir une finalité précise

La question n’est pas seulement : « Que permet techniquement le modèle ? » mais : « Pour quoi l’organisation veut-elle utiliser ce système ? »

La finalité peut être l’aide à la décision, l’amélioration du support client, la génération de synthèses, la détection d’anomalies, la priorisation de dossiers ou l’analyse de documents.

Elle doit être suffisamment précise. Des formulations comme « améliorer l’efficacité » ou « exploiter les données internes » sont trop générales si elles ne décrivent pas l’usage concret du système.

Cette finalité conditionne la base juridique, la minimisation des données, l’information des personnes, les durées de conservation et l’analyse des risques. Elle permet aussi d’éviter les dérives vers des usages secondaires non anticipés, comme du scoring, du contrôle ou de la surveillance.

4. Déterminer les responsabilités

Un projet d’IA implique souvent plusieurs acteurs : entreprise utilisatrice, éditeur, fournisseur de modèle, hébergeur, intégrateur ou cabinet de conseil.

Il faut déterminer qui décide des finalités et des moyens du traitement.

L’organisation qui décide pourquoi et comment les données sont utilisées sera en principe responsable de traitement. Le prestataire qui agit pour son compte sera en principe sous-traitant. Mais certains fournisseurs peuvent aussi agir comme responsables de traitement indépendants, notamment lorsqu’ils réutilisent les données pour leurs propres finalités.

Il faut donc vérifier, usage par usage, si les données transmises peuvent être réutilisées pour entraîner le modèle du fournisseur, si les prompts et sorties sont conservés, si des équipes support y ont accès, si des sous-traitants interviennent ou si les données sont hébergées hors Union européenne.

5. Identifier la base légale

Comme tout traitement de données personnelles, un projet d’IA doit reposer sur une base légale : contrat, obligation légale, consentement, intérêt légitime, mission d’intérêt public ou autre base prévue par le RGPD.

Le consentement n’est pas toujours la base la plus adaptée, notamment en contexte salarié ou lorsque le traitement est indispensable au service. L’intérêt légitime peut être envisagé, mais il suppose une analyse de nécessité, de proportionnalité et d’impact sur les personnes concernées.

En présence de données sensibles, comme des données de santé ou des données biométriques, il faut également identifier une exception spécifique au titre de l’article 9 du RGPD.

6. Vérifier la réutilisation des données existantes

De nombreux projets d’IA reposent sur des données déjà disponibles dans l’entreprise : données clients, RH, tickets support, emails, contrats, historiques applicatifs ou bases CRM.

Mais le fait de détenir ces données ne signifie pas qu’elles peuvent être librement utilisées pour entraîner, tester ou alimenter un système d’IA. Il faut vérifier si le nouvel usage est compatible avec la finalité initiale de collecte, avec l’information fournie aux personnes, avec leurs attentes raisonnables et avec la base juridique initialement retenue.

Cette analyse est particulièrement importante en cas d’entraînement, de profilage, de scoring, d’évaluation, d’aide à la décision ou de surveillance.

7. Appliquer la minimisation

La minimisation ne concerne pas uniquement les données d’entraînement. Elle doit aussi s’appliquer aux prompts, aux données transmises à un prestataire, aux logs, aux sorties générées et aux données accessibles aux utilisateurs.

Dans un outil d’IA générative, il peut être nécessaire d’interdire la saisie de données sensibles, d’informations RH, de secrets d’affaires ou de données clients identifiantes. Des mécanismes de filtrage, de pseudonymisation, de masquage ou d’anonymisation peuvent aussi être nécessaires.

La minimisation doit donc être traduite dans les spécifications fonctionnelles et techniques du projet.

8. Évaluer les risques RGPD et Règlement IA

Le cadrage juridique doit articuler deux grilles d’analyse : le RGPD et le Règlement IA.

Au titre du Règlement IA, il faut déterminer si le système relève d’une catégorie sensible ou à haut risque, par exemple en matière d’emploi, d’éducation, de crédit, d’assurance, de santé, de biométrie, de justice ou d’accès à des services essentiels.

Au titre du RGPD, un projet peut présenter un risque élevé s’il implique du profilage, une décision automatisée, une surveillance, des données sensibles, des personnes vulnérables ou des traitements à grande échelle.

Dans ces situations, une analyse d’impact relative à la protection des données (AIPD), doit être envisagée, voire réalisée lorsqu’elle est obligatoire.

9. Encadrer les décisions automatisées

Certains systèmes d’IA ne se contentent pas de produire une recommandation : ils contribuent à une décision concernant une personne, par exemple en matière de recrutement, d’évaluation, de tarification, de fraude, de crédit ou de suspension de compte.

Il faut alors vérifier si le traitement relève d’une décision individuelle automatisée au sens du RGPD.

Même lorsqu’une intervention humaine est prévue, celle-ci doit être réelle. Une validation purement formelle ne suffit pas si l’utilisateur suit systématiquement la recommandation de l’algorithme sans analyse critique.

L’organisation doit donc définir qui prend la décision finale, quelles informations sont mises à disposition, comment la recommandation peut être contestée ou écartée, et comment les décisions sont tracées.

10. Traiter les biais, la qualité et la sécurité

Les résultats d’un système d’IA dépendent fortement de la qualité des données utilisées. Des données incomplètes, obsolètes, déséquilibrées ou biaisées peuvent produire des résultats inexacts, discriminatoires ou difficilement explicables.

Le projet doit donc intégrer des contrôles sur la qualité, la représentativité et la mise à jour des données, ainsi que des tests réguliers et des mécanismes de correction.

La sécurité doit également être pensée dès le départ : fuite de données dans les prompts, réutilisation des données par un fournisseur, accès non maîtrisé aux sorties, prompt injection, conservation excessive des logs, transferts hors Union européenne ou réidentification.

Les contrats doivent encadrer précisément les usages autorisés, les interdictions de réutilisation, la confidentialité, les sous-traitants, les audits, les incidents, la propriété des données et des résultats, ainsi que les conditions d’évolution du modèle.

11. Informer les personnes et permettre l’exercice de leurs droits

Les personnes concernées doivent être informées lorsque leurs données sont utilisées dans le cadre d’un système d’IA.

L’information doit préciser la finalité du traitement, la base juridique, les catégories de données utilisées, les destinataires, les durées de conservation, les droits des personnes et, le cas échéant, l’existence d’une décision automatisée.

Le Règlement IA ajoute également des obligations de transparence dans certains cas, par exemple lorsqu’une personne interagit avec un système d’IA ou lorsqu’un contenu est généré ou manipulé artificiellement.

Il faut aussi anticiper l’exercice des droits : accès, rectification, effacement, opposition, limitation ou portabilité. Cette anticipation est essentielle lorsque les données sont intégrées dans des jeux d’entraînement, des prompts, des sorties ou des logs.

12. Documenter et gouverner le projet

Le RGPD repose sur une logique de responsabilité : il faut pouvoir démontrer la conformité.

Un projet d’IA doit donc être documenté : finalité, données utilisées, sources, base légale, rôles des acteurs, contrats, minimisation, sécurité, transferts, information des personnes, analyse de risque, AIPD si nécessaire, tests, limites connues, supervision humaine et règles d’usage.

Cette documentation doit être proportionnée au projet, mais elle est indispensable en cas de contrôle, d’audit, d’incident ou de contestation.

Enfin, l’IA nécessite une gouvernance interne associant les équipes data, IT, sécurité, juridique, DPO, achats, conformité, métiers et direction. Cette gouvernance doit définir les usages autorisés, les outils validés, les données pouvant être utilisées, les projets nécessitant une revue juridique ou DPO, et les règles applicables aux collaborateurs.

Une charte d’usage de l’IA générative, un processus de validation des outils IA et une grille de qualification des projets constituent souvent de bons premiers outils.

Conclusion

Un projet d’intelligence artificielle ne se résume pas à un choix technologique. C’est un projet de données, de risques, de gouvernance et de responsabilité.

Lorsque des données personnelles sont en jeu, le RGPD impose de clarifier les finalités, les bases juridiques, les responsabilités, la minimisation, la transparence, la sécurité, les droits des personnes et la documentation.

Avec le Règlement IA, les organisations doivent aussi intégrer une logique de classification des systèmes, d’évaluation des risques, de transparence, de supervision humaine et de maîtrise du cycle de vie.

La bonne approche n’est pas de freiner les projets d’IA, mais de les cadrer suffisamment tôt pour éviter les blocages, les usages non maîtrisés et les risques juridiques ou réputationnels.

Un projet d’IA bien cadré est un projet dans lequel l’organisation sait pourquoi elle utilise l’IA, quelles données elle mobilise, quels risques elle accepte, quelles garanties elle met en place et comment elle pourra démontrer ses choix.

Pour une présentation générale du RGPD, de son champ d’application et de ses grands principes, vous pouvez consulter notre article : RGPD : comprendre les fondamentaux et engager une conformité opérationnelle.

Pour une présentation générale du Règlement IA, de son champ d’application et de ses grands principes, vous pouvez consulter notre article : Règlement IA : comprendre le règlement européen sur l’intelligence artificielle et engager sa mise en conformité.

Si vous avez des questions ou rencontrez une problématique liée au RGPD ou à l'intelligence artificielle, vous pouvez prendre rendez-vous avec le cabinet afin d’identifier les points de vigilance et les actions concrètes à mettre en place.

Retour

©Elise HAUSHERR. Tous droits réservés.

Information icon

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.