IA et RGPD en 2026 : comment utiliser l’IA en conformité

Le premier réflexe consiste à identifier si votre projet IA traite des données personnelles. Dès qu’un modèle est entraîné sur des données clients, RH, médicales, commerciales ou des tickets support contenant des identifiants, le RGPD s’applique, y compris si l’outil est présenté comme "génératif" ou "copilot". La CNIL rappelle que le DPO doit être associé à toutes les questions relatives aux données personnelles, quelle que soit la technologie utilisée.

En pratique, le responsable de traitement doit documenter la finalité du système, la base légale retenue, les catégories de données, les destinataires, les durées de conservation, les mesures de sécurité et les éventuels transferts hors UE. Si l’IA sert à prendre des décisions automatisées ou à produire un profilage ayant des effets significatifs, l’article 22 du RGPD doit être examiné avec attention, notamment pour les cas d’usage RH, crédit, assurance ou contrôle d’accès.

La CNIL a indiqué en 2026 qu’elle clarifierait les conséquences du RGPD pour les modèles d’IA non anonymes, ce qui confirme qu’un modèle entraîné ou adapté sur des données personnelles ne sort pas du champ du règlement par simple changement de technologie. En parallèle, le plafond des sanctions administratives reste de 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé.

Pour sécuriser un projet, il faut donc vérifier au minimum :

• ▹la base légale de chaque flux de données,
• ▹la minimisation des données envoyées au modèle,
• ▹la durée de conservation des prompts, logs et outputs,
• ▹l’information des personnes concernées,
• ▹l’existence d’un contrat de sous-traitance adapté,
• ▹la documentation de l’analyse d’impact si le risque est élevé.

La bonne pratique en 2026 n’est pas de demander si l’IA "peut" être utilisée, mais de démontrer pourquoi elle l’est, avec quelles données, quels garde-fous et quelle traçabilité.

L’hébergement est l’un des points les plus sensibles de la conformité IA, car il détermine à la fois la localisation des données, les accès techniques, les transferts internationaux et le niveau de maîtrise du traitement. En 2026, une architecture conforme ne se résume pas à choisir un prestataire "cloud" : il faut savoir où les données transitent, où elles sont stockées, qui peut les consulter et si elles servent à entraîner le modèle du fournisseur.

Le point de départ consiste à qualifier les rôles. Si le fournisseur traite les données pour votre compte, il est en principe sous-traitant au sens du RGPD ; si ses propres finalités sont déterminées indépendamment, la qualification peut changer. Dans tous les cas, le contrat doit préciser l’objet du traitement, sa durée, la nature des opérations, les catégories de données et les mesures de sécurité. Pour les outils d’IA générative, il faut aussi vérifier si les prompts, fichiers joints, sorties et journaux sont conservés et dans quel périmètre.

La question des transferts hors UE reste centrale. La CNIL a finalisé en juillet 2025 son guide sur le Transfer Impact Assessment pour les transferts fondés sur des clauses contractuelles types, ce qui en fait un outil de référence pour les architectures d’IA hébergées ou opérées avec des acteurs américains ou internationaux. Si des données personnelles sortent de l’UE, le simple fait d’utiliser un fournisseur connu ne suffit pas : il faut une analyse formelle du niveau de protection dans le pays de destination.

Un hébergement robuste pour l’IA devrait, au minimum, permettre :

• ▹la séparation claire entre données clients, données d’entraînement et données d’observabilité,
• ▹la désactivation de l’usage des prompts pour l’entraînement du fournisseur lorsque c’est possible contractuellement,
• ▹le chiffrement en transit et au repos,
• ▹une gestion stricte des identités et des droits d’accès,
• ▹une journalisation exploitable en cas d’incident,
• ▹une stratégie de rétention courte et documentée.

En pratique, la conformité ne dépend pas seulement du pays d’hébergement, mais de la maîtrise effective des flux et de la preuve documentaire que vous pouvez produire en cas de contrôle.

La CNIL a publié en 2025-2026 plusieurs travaux opérationnels qui convergent vers une idée simple : la conformité doit être intégrée dès la conception. Son programme de travail 2026 annonce la poursuite de l’accompagnement des acteurs publics et privés sur le RGPD et certaines dispositions du règlement IA, avec des chantiers dédiés à l’IA, à la cybersécurité et aux usages numériques du quotidien.

Pour un projet IA, la logique attendue est celle du privacy by design. Concrètement, cela signifie qu’il faut limiter les données envoyées au modèle, filtrer les informations sensibles, prévoir des mécanismes de suppression, documenter les jeux d’entraînement et tester les risques d’atteinte aux droits des personnes. La CNIL a également travaillé en 2025 sur des recommandations pratiques pour les développeurs d’IA, avec une approche en étapes sur le cycle de vie du système.

Une politique de conformité crédible repose généralement sur les points suivants :

• ▹cartographier les traitements IA avant tout pilote,
• ▹exclure les données sensibles si elles ne sont pas nécessaires,
• ▹anonymiser ou pseudonymiser quand cela est possible,
• ▹mettre en place des revues humaines sur les sorties à impact,
• ▹tracer les versions de modèles, de prompts et de jeux de données,
• ▹contrôler les droits d’accès aux environnements de test et de production,
• ▹prévoir un processus de correction des hallucinations ou erreurs à impact.

La CNIL a aussi indiqué en 2026 qu’elle préciserait les conséquences de l’application du RGPD aux modèles non anonymes, ce qui renforce l’idée qu’un modèle ne doit jamais être déployé sans analyse de sa provenance et de ses données d’apprentissage. Pour les secteurs sensibles comme la santé, la CNIL a lancé une consultation avec la HAS pour définir des bonnes pratiques sur le recours à l’IA dans un contexte de soins.

Le bon niveau de conformité n’est donc pas un simple document juridique. C’est un dispositif opérationnel mêlant gouvernance, sécurité, traçabilité et supervision humaine.

En 2026, il faut raisonner avec deux couches réglementaires. Le RGPD encadre les données personnelles ; le règlement européen sur l’IA encadre certains systèmes selon leur niveau de risque. Les deux textes ne s’excluent pas : ils se cumulent dès qu’un projet d’IA traite des données personnelles.

Le calendrier compte. Le règlement IA est entré en application progressivement depuis 2024, et certaines obligations montent en puissance jusqu’en août 2026. La CNIL rappelle qu’elle est déjà désignée pour les usages d’IA interdits et qu’elle devrait devenir autorité de surveillance du marché pour certains systèmes à haut risque, notamment dans la biométrie, la migration, les usages répressifs, l’emploi et l’éducation.

Voici la logique de travail à adopter :

L’enjeu opérationnel est d’éviter la double erreur classique : croire qu’un outil est conforme parce qu’il est "EU-ready", ou au contraire le bloquer alors qu’un cadrage RGPD propre suffit. En réalité, le bon niveau de conformité dépend du cas d’usage, de la nature des données et du niveau de risque. C’est précisément pour cela que le DPO, la sécurité, le juridique et les métiers doivent travailler ensemble dès la phase de cadrage.

Avant de passer un projet IA en production, il faut vérifier une série de points concrets et documentables. Cette checklist sert de base minimale pour les équipes produit, data, sécurité et juridique.

Il faut aussi tester le comportement réel de l’outil. Un système d’IA peut exposer des données par inadvertance via les prompts, les sorties ou les journaux. Il faut donc vérifier si les utilisateurs peuvent coller des données sensibles, si des garde-fous empêchent l’extraction d’informations confidentielles et si les équipes savent détecter une fuite ou un usage anormal.

La CNIL a annoncé en 2026 que la moitié de ses contrôles et actions répressives seraient consacrés à la sécurité des données, ce qui rend la robustesse technique encore plus importante. En pratique, une organisation prête pour 2026 doit pouvoir répondre rapidement à trois questions : quelles données partent dans le modèle, où vont-elles, et qui peut y accéder ?