RGPD et IA générative : ce que la CNIL exige des PME en 2026

Depuis les recommandations finales de la CNIL en janvier et mars 2026, le cadre RGPD pour l'usage d'IA générative en PME française est devenu opérationnel et auditable. Synthèse complète et checklist de mise en conformité, basée sur 14 audits PME accompagnés en 2026.

Quel est le cadre RGPD applicable à l'IA générative en 2026 ?

Le cadre repose sur 3 piliers :

Pilier 1 — RGPD européen (toujours applicable)

Le RGPD de 2018 couvre toute l'IA générative qui traite des données personnelles. Les 6 principes fondamentaux s'appliquent : licéité, finalité, minimisation, exactitude, conservation limitée, sécurité.

Pilier 2 — Recommandations CNIL spécifiques IA générative (janvier 2026)

Document de 47 pages qui adapte les principes RGPD à l'IA générative. Points-clés : base légale obligatoire, registre des traitements actualisé, droits des personnes maintenus, transfert hors UE encadré, sécurité renforcée des prompts.

Pilier 3 — AI Act européen (entrée en vigueur août 2026)

Cadre spécifique à l'IA (au-delà de la dimension RGPD), qui classe les systèmes par niveau de risque. La majorité des usages PME tombe en "minimal risk" ou "limited risk". Pour le détail, voir notre checklist conformité AI Act pour PME.

Quels sont les 9 points de conformité à valider ?

Sur 14 audits PME en 2026, voici la checklist opérationnelle qui sort.

Point 1 — Inscription au registre des traitements

Tout usage d'IA générative qui traite des données personnelles doit être inscrit dans le registre des traitements RGPD de l'entreprise. Indiquer : finalité, types de données traitées, durée de conservation, base légale, mesures de sécurité.

Point 2 — DPIA pour les usages à risque

Une Analyse d'Impact relative à la Protection des Données (DPIA) est obligatoire si :

• Plus de 250 collaborateurs utilisent l'outil
• Données sensibles traitées (santé, données judiciaires, données biométriques)
• Profilage automatisé avec effet sur les personnes
• Surveillance systématique à grande échelle

Si vous êtes en dessous, c'est recommandé mais pas strictement obligatoire.

Point 3 — Information transparente des utilisateurs et collaborateurs

Les personnes dont les données sont traitées par l'IA générative doivent en être informées. Note d'information à insérer dans la politique de confidentialité + communication interne aux collaborateurs si l'IA est utilisée en interne.

Point 4 — Base légale documentée

Choisir une base légale parmi : consentement, contrat, obligation légale, intérêt légitime, sauvegarde des intérêts vitaux, mission d'intérêt public. Pour la plupart des usages PME, "intérêt légitime" est applicable mais doit être explicitement justifié par écrit (analyse balance intérêts entreprise vs droits personnes).

Point 5 — Durée de conservation explicite

Pour chaque type de donnée traitée par l'IA, définir une durée de conservation (par exemple : conversations chatbot → 90 jours, prompts utilisateur → 30 jours, logs techniques → 12 mois). Documenter dans le registre.

Point 6 — Accord de transfert hors UE si applicable

Si vous utilisez Claude (Anthropic, US), GPT (OpenAI, US), Gemini (Google, US), il y a transfert de données hors UE. Solutions : signer un DPA avec clauses contractuelles types (Anthropic et OpenAI fournissent un DPA standard) OU utiliser un déploiement zone UE (Anthropic Bedrock AWS Frankfurt, OpenAI Azure UE).

Point 7 — Garantie de non-entraînement par défaut

Configuration explicite pour que les données envoyées au modèle ne soient pas utilisées pour l'entraînement. Sur Anthropic et OpenAI via API : par défaut depuis 2024. Sur les versions consumer (ChatGPT Plus, Claude.ai), nécessite d'activer le paramètre opt-out.

Point 8 — Droits des personnes maintenus

Les personnes dont les données sont traitées gardent leurs droits RGPD : accès, rectification, oubli, portabilité, opposition. Mettre en place un workflow opérationnel pour traiter ces demandes dans les délais légaux (1 mois maximum). Solution technique : workflow N8N qui efface en parallèle dans le système IA et dans les autres systèmes.

Point 9 — Revue annuelle

La conformité n'est pas un état mais un processus. Audit annuel obligatoire : registre actualisé, DPIA revue, nouveaux usages éventuels intégrés, incidents de sécurité tracés.

Pour la sécurité technique des prompts au-delà du cadre RGPD, voir notre guide sécuriser les prompts Claude/GPT en entreprise.

Quand une DPIA est-elle obligatoire pour une PME ?

Sur 14 audits, 3 cas où la DPIA était strictement obligatoire :

Cas 1 — Cabinet de profession réglementée (avocats, médecins, comptables, CGP)

Les données traitées contiennent du secret professionnel ou des données sensibles. DPIA obligatoire dès le 1er usage. Coût type : 2 500-5 500€ HT en prestation externe spécialisée.

Cas 2 — Entreprise de plus de 250 collaborateurs

Au-dessus de 250 salariés, la CNIL considère le traitement comme "à grande échelle". DPIA obligatoire. Pour les PME en croissance, anticiper avant de franchir le seuil.

Cas 3 — Usage de profilage automatisé avec effet sur les personnes

Exemple : scoring de candidats à l'embauche par IA, scoring de leads pour décider d'une relance commerciale automatique. DPIA obligatoire, à compléter par une revue éthique.

Pour les 11 autres cas (PME < 250 salariés, pas de profession réglementée, pas de profilage à effet), DPIA recommandée mais non obligatoire. Bonne pratique de la faire quand même pour les usages stratégiques.

Quelles sont les erreurs fréquentes en PME ?

Sur les 14 audits, voici la cartographie des non-conformités observées.

Erreur 1 — Pas de registre des traitements actualisé (12 PME sur 14)

L'IA générative n'est pas inscrite, ou alors mentionnée vaguement ("usage de Claude pour productivité interne"). Inacceptable en cas d'audit CNIL.

Erreur 2 — Base légale "intérêt légitime" mal justifiée (7 PME sur 14)

La PME a coché "intérêt légitime" sans rédiger l'analyse de proportionnalité qui justifie ce choix. Risque : la CNIL peut considérer la base légale comme invalide.

Erreur 3 — Droits des personnes non techniquement applicables (9 PME sur 14)

Quand un utilisateur demande l'effacement de ses données, la PME ne sait pas effacer dans le système IA (logs, mémoire conversationnelle). Workflow manquant.

Erreur 4 — Conservation indéfinie des prompts et conversations (10 PME sur 14)

Aucune durée de conservation fixée pour les logs. Souvent par défaut "indéfini" alors que la CNIL exige une durée justifiée.

Erreur 5 — DPA non signé avec le fournisseur d'IA (6 PME sur 14)

Le DPA (Data Processing Agreement) est un document standard fourni par Anthropic, OpenAI et Google. Mais il faut le télécharger, le signer et le conserver. Sur 14 PME, 6 ne l'avaient pas.

Erreur 6 — Pas d'information collaborateurs sur l'usage interne de l'IA (8 PME sur 14)

Si vos collaborateurs utilisent un outil IA, ils doivent en être informés (politique interne, charte numérique). Sur 8 PME, l'information était absente ou vague.

Pour comprendre comment ces sujets entrent en discussion stratégique avec un COMEX, voir notre méthode justifier un projet IA devant un COMEX PME.

Comment se mettre en conformité en 8 semaines ?

Méthode appliquée sur les 14 PME accompagnées :

Semaines 1-2 — Audit initial

• Cartographie de tous les usages IA générative dans l'entreprise (officiels et shadow IT)
• Recensement des données personnelles traitées
• Identification des fournisseurs IA utilisés

Semaines 3-4 — Mise à jour documentaire

• Inscription au registre des traitements
• Rédaction des bases légales et analyses de proportionnalité
• Signature des DPA fournisseurs
• Information collaborateurs et politique de confidentialité externe

Semaines 5-6 — Mise en place technique

• Workflow N8N pour les demandes RGPD (accès, effacement, portabilité)
• Configuration durée de conservation des logs
• Vérification configuration "no training" sur les APIs

Semaines 7-8 — DPIA si applicable + revue finale

• DPIA rédigée si obligatoire (sinon recommandée)
• Revue finale avec un DPO externe ou avocat spécialisé
• Plan de revue annuelle

Coût total : 3 500 à 12 000€ HT selon complexité (taille entreprise, nombre de fournisseurs IA, présence d'un DPO interne).