RGPD et IA générative : pourquoi le local devient la seule option recevable

Le problème RGPD avec ChatGPT, Claude, Gemini

Quand un de vos collaborateurs copie un extrait de contrat client dans ChatGPT pour le faire reformuler, plusieurs choses se passent côté RGPD — et la plupart sont problématiques :

• Des données personnelles (noms, emails, numéros de téléphone) sortent de votre périmètre de traitement.
• Elles sont transférées chez un sous-traitant (OpenAI, Anthropic, Google) — donc nécessitent un accord DPA.
• Les transferts hors UE ne sont protégés que par le Data Privacy Framework, dont la stabilité juridique reste discutée.
• L'éditeur peut utiliser les données pour entraîner ses futurs modèles (sauf opt-out explicite).
• Les logs de prompts sont conservés (généralement 30 jours minimum) côté fournisseur.

Pour les entreprises qui traitent des données personnelles, des données de santé, des données financières ou des secrets industriels, la situation devient rapidement intenable.

Les versions "Enterprise" suffisent-elles ?

ChatGPT Enterprise, Claude for Work, Gemini Workspace : tous proposent un engagement de non-utilisation des données pour l'entraînement, un DPA conforme RGPD, des certifications (SOC 2, ISO 27001).

Suffit-il pour autant ? Cela dépend de votre exposition :

• PME standard, données métiers banales : oui, généralement suffisant.
• ETI avec données personnelles ou financières clients : à analyser DPO en main.
• Pharma, santé, défense, sec public : non, le local devient la seule option recevable.
• Cabinets juridiques, M&A, consultants stratégie : non, le cloud reste un risque pour le secret des affaires.

La doctrine CNIL en 2026

La CNIL a publié plusieurs guides et recommandations sur l'IA générative en 2024-2025. Les points-clés à retenir pour les entreprises :

1. Base légale : tout traitement par IA générative nécessite une base légale documentée (intérêt légitime, exécution contractuelle, consentement, etc.).
2. Information des personnes concernées : si vous traitez les données de vos clients ou de vos salariés via une IA, ils doivent en être informés.
3. Analyse d'impact (PIA) obligatoire si le traitement est sensible (santé, profilage, etc.).
4. Sous-traitance : l'éditeur d'IA générative est sous-traitant au sens du RGPD. DPA obligatoire, engagement de confidentialité, limitation de finalité.
5. Transferts hors UE : si le traitement passe par un fournisseur US, prévoir les garanties appropriées (clauses contractuelles types, analyse de transfert).

Pourquoi le local règle la majorité de ces points

Quand le modèle tourne sur votre infrastructure (on-premise ou cloud privé EU), plusieurs problèmes disparaissent :

• Pas de transfert hors UE → pas de problème de Data Privacy Framework.
• Pas de sous-traitance externe → pas de DPA, pas de chaîne de responsabilité à gérer.
• Logs et données restent dans votre périmètre → pas de divulgation involontaire.
• Pas d'entraînement par un tiers sur vos données → secret des affaires protégé.
• Audit complet possible → traçabilité totale.

Il reste les obligations RGPD applicables à tout traitement (base légale, information, PIA si nécessaire) — mais elles sont gérables dans votre cadre habituel, sans chaîne de sous-traitants externes.

L'architecture hybride pragmatique

Pour la majorité des PME et ETI, l'approche pragmatique en 2026 est l'architecture hybride :

• Local pour les données sensibles : RH, juridique, finance, secret industriel. Modèle 7B-70B sur votre infra, RAG sur vos documents.
• Cloud (avec Enterprise + DPA) pour les usages non sensibles : aide à la rédaction marketing générique, brainstorming sans données client, génération de visuels.
• Routeur intelligent qui décide en fonction du contenu et de la sensibilité.

Ce que ça change concrètement pour le DPO

Si vous êtes DPO ou responsable conformité, le local change le périmètre de votre registre et de vos PIA :

• Le registre des traitements ne contient plus une nouvelle entrée "OpenAI sous-traitant".
• Le PIA porte sur votre seul traitement, pas sur la chaîne de sous-traitance.
• Les demandes d'exercice des droits (accès, suppression) sont gérables — les données sont chez vous.
• L'audit interne et externe peut tout voir, sans appel à un fournisseur tiers.

Pour démarrer

Voir notre page IA locale & edge pour notre méthode de déploiement. Pour cadrer votre cas avec votre DPO, prévoyez 30 minutes en visio — réservez ici.