Attention, les paiements par chèques ne sont pas acceptés !

Horaires d'ouverture

Du lundi au vendredi

9h00 à 12h00
14h00 à 19h00

Samedi de 9h à 12h00

Utiliser l’IA dans une petite entreprise sans se mettre hors‑la‑loi (RGPD + AI Act)

par Sébastien JOUFFRE | 15 Juin 2026 | Actualités | 0 commentaire

IA petite entreprise RGPD

De plus en plus de petites entreprises utilisent des outils d’intelligence artificielle : rédaction de mails, génération d’images, résumé de documents, chatbots, etc. Mais en France et en Europe, ces usages doivent respecter le RGPD (protection des données personnelles) et le nouveau règlement européen sur l’IA, appelé AI Act.
Dans cet article, on va voir simplement comment une TPE, un indépendant ou une petite association peut profiter de l’IA tout en restant dans les clous.

RGPD et AI Act : de quoi parle‑t‑on ?

Le RGPD en deux phrases

Le RGPD est le règlement européen qui encadre la collecte et l’utilisation des données personnelles (nom, e‑mail, numéro de téléphone, santé, etc.).
Il impose notamment d’avoir une finalité claire, une base légale (contrat, obligation légale, consentement…), d’informer les personnes et de sécuriser les données.

L’AI Act : le nouveau cadre européen pour l’IA

L’AI Act est le règlement européen qui encadre spécifiquement les systèmes d’IA : il classe les usages par niveau de risque (inacceptable, haut, limité, minimal), impose des interdictions et des obligations, et devient progressivement applicable entre 2025 et 2027.
À partir du 2 août 2026, la majorité des règles s’appliquent, notamment pour les systèmes d’IA dits “à haut risque” (éducation, emploi, biométrie, justice, etc.).

Étape 1 : identifier si ton usage de l’IA est “à haut risque” ou non

Pour une petite entreprise, beaucoup d’usages courants de l’IA sont considérés comme risque faible ou limité : assistants rédactionnels, aide à la traduction, aide à la relation client, etc.
En revanche, certains usages deviennent à haut risque, par exemple quand l’IA sert à sélectionner des candidats, à orienter des élèves ou à prendre des décisions importantes sur des droits.

Quelques repères simples :

  • Tu es plutôt en risque faible ou limité si l’IA :
    • t’aide à rédiger, corriger, résumer, traduire ;
    • suggère des réponses, mais l’humain garde la main.
  • Tu peux entrer dans une zone “haut risque” si l’IA :
    • évalue des personnes (employés, élèves, bénéficiaires) pour leur accorder ou refuser un droit, un emploi, une formation ;
    • remplace une décision humaine importante (admission, sanction, scoring).

Dans tous les cas, même si ton usage n’est pas “haut risque”, il reste soumis au RGPD dès qu’il touche des données personnelles.

Étape 2 : vérifier quelles données tu envoies à l’IA

Le point clé pour une petite structure est de maîtriser ce qu’elle envoie dans un outil d’IA :

  • Données non sensibles : texte générique, brouillon de mail sans nom, résumé d’un article de presse public, etc.
  • Données personnelles : nom, prénom, e‑mail, numéro de client, données RH, etc.
  • Données sensibles : santé, opinions politiques, religion, casier judiciaire, etc.

La CNIL rappelle que l’utilisation de données personnelles dans des systèmes d’IA reste soumise au RGPD, et que les personnes doivent être informées lorsque leurs données servent à entraîner ou faire fonctionner un modèle d’IA, surtout si ces données peuvent être mémorisées par le modèle.

Bon réflexe simple pour une TPE :

  • ne jamais coller dans un chatbot :
    • des numéros de sécurité sociale ;
    • des données de santé ;
    • des informations très sensibles sur un salarié ou un client ;
  • anonymiser au maximum (remplacer les noms par “Client A”, “Employé B”).

Étape 3 : clarifier la finalité et la base légale

Le RGPD impose de définir la finalité de chaque traitement (pourquoi j’utilise l’IA ?) et une base légale adaptée (contrat, obligation légale, intérêt légitime, consentement, etc.).

Pour une TPE, on est souvent dans ces cas :

  • Exécution d’un contrat : par exemple, utiliser un assistant IA pour rédiger un compte rendu ou un devis pour un client.
  • Intérêt légitime : optimiser l’organisation interne, préparer des réponses types, améliorer un site web, etc., à condition de respecter les droits des personnes.

L’important est de documenter ces choix : qui fait quoi, avec quelles données, pour combien de temps et pour quelle raison.

Étape 4 : informer les personnes concernées

La CNIL rappelle que les personnes doivent être informées :

  • quand leurs données servent à entraîner un modèle d’IA, surtout si elles peuvent être mémorisées ;
  • de leurs droits (accès, rectification, opposition, effacement, etc.).

Dans une petite entreprise, cela peut passer par :

  • une mise à jour de la politique de confidentialité sur le site ;
  • une information dans les contrats ou les conditions générales ;
  • un petit paragraphe explicite dans les formulaires ou les mails.

Étape 5 : choisir des outils d’IA qui respectent le cadre européen

L’AI Act impose des obligations de transparence aux systèmes d’IA générant des contenus (texte, image, audio, vidéo) : les contenus générés doivent être identifiables comme artificiels, notamment via des techniques comme le “watermarking” (marquage pour les machines).
De leur côté, les autorités européennes et nationales doivent mettre en place des lignes directrices et des bacs à sable pour accompagner les entreprises.

Pour toi, concrètement :

  • privilégie des fournisseurs qui :
    • expliquent clairement où sont hébergées les données ;
    • proposent des options pour désactiver l’entraînement sur tes contenus ;
    • communiquent sur leur conformité RGPD et AI Act.
  • pour des usages plus sensibles (RH, évaluation…), préfère des solutions européennes ou dédiées aux pros, qui détaillent leurs engagements de sécurité et de conformité.

Étape 6 : garder un contrôle humain réel

L’AI Act insiste sur la supervision humaine, surtout pour les systèmes à haut risque : l’humain doit comprendre le fonctionnement général de l’IA, surveiller les résultats et rester capable de corriger ou de désactiver le système.

Dans une TPE, cela veut dire :

  • ne jamais laisser l’IA décider seule d’un licenciement, d’un refus de service, d’une sanction ou d’un tri de candidatures ;
  • relire systématiquement les réponses de l’IA avant de les envoyer à un client ;
  • garder la maîtrise des décisions importantes.

Étape 7 : quelques usages “safe” pour une TPE

Voici des exemples d’usages d’IA généralement plus simples à cadrer, si tu restes prudent sur les données :

  • reformuler des e‑mails génériques (sans données sensibles) ;
  • corriger l’orthographe d’un texte ;
  • générer des idées de messages pour les réseaux sociaux ;
  • proposer des améliorations de texte pour ton site web ;
  • t’aider à résumer de longs documents publics ou commerciaux.

Pour tous ces usages, tu peux appliquer les réflexes suivants :

  • anonymiser les informations ;
  • supprimer les éléments financiers ou RH trop détaillés ;
  • ne jamais coller des mots de passe, des RIB ou des pièces d’identité.

Glossaire

  • RGPD : règlement européen qui encadre l’utilisation des données personnelles.
  • AI Act : règlement européen sur l’intelligence artificielle, avec un calendrier d’application entre 2025 et 2027.
  • Données personnelles : informations permettant d’identifier une personne (nom, e‑mail, téléphone, etc.).
  • Données sensibles : données de santé, opinions politiques, religion, etc., protégées de manière renforcée.
  • Système d’IA à haut risque : système dont l’usage peut avoir un fort impact sur les droits des personnes (emploi, éducation, justice, etc.).

Sites de référence :

Fiche AI Act sur entreprendre.service-public.gouv.fr.

Dossier “Intelligence artificielle” de la CNIL.