Un commercial colle la liste de ses clients dans ChatGPT pour rédiger une relance. Une assistante fait résumer par Gemini un e-mail reçu d'un fournisseur. Un dirigeant téléverse un contrat dans une IA pour en extraire les points clés. Ces gestes sont devenus quotidiens dans les entreprises réunionnaises, et ils posent tous la même question : a-t-on le droit de faire ça avec des données de clients ?
La réponse courte : ce n'est ni interdit, ni libre. C'est un traitement de données personnelles au sens du RGPD, et c'est l'entreprise qui en est responsable, pas le salarié qui a copié-collé. Le 7 juillet 2026, le Comité européen de la protection des données (le CEPD, qui coordonne les CNIL européennes) a adopté deux nouvelles séries de lignes directrices, sur l'anonymisation et sur le moissonnage de données pour l'IA générative. La CNIL en a publié la version française le 9 juillet. Le message de fond est clair : le RGPD ne disparaît pas parce qu'on utilise une IA. Voici ce que ça change concrètement, et la clause que vous devez exiger avant de déployer un outil.
Le RGPD reste applicable, en plus de l'AI Act
Beaucoup de dirigeants pensent que la nouvelle réglementation européenne sur l'intelligence artificielle (l'AI Act) a remplacé le RGPD. C'est faux. Les deux textes se superposent. L'AI Act encadre la façon dont les systèmes d'IA sont conçus et mis sur le marché. Le RGPD, lui, continue de s'appliquer dès qu'une donnée personnelle est en jeu : un nom, une adresse e-mail, un numéro de téléphone, le contenu d'un devis nominatif.
Autrement dit, dès qu'un salarié saisit dans une IA le nom d'un client, un extrait de contrat ou une fiche RH, cette donnée est transmise à un fournisseur souvent situé hors de l'Union européenne, et cela constitue un traitement RGPD. La CNIL a tracé cette ligne dès ses recommandations de 2025 et la confirme : utiliser une IA générative avec des données personnelles, ça se prépare et ça se sécurise, ça ne s'improvise pas.
« Il suffit d'anonymiser », vraiment ?
Le réflexe classique consiste à se dire : je retire les noms, et le problème est réglé. Les nouvelles lignes directrices du CEPD douchent cette illusion. Pour qu'une donnée soit réellement anonyme (et donc sortie du champ du RGPD), elle doit passer un test à trois critères :
- Pas d'isolement : impossible d'isoler un individu précis dans le jeu de données.
- Pas de corrélation : impossible de relier plusieurs enregistrements à une même personne.
- Pas d'inférence : impossible de déduire une information sur une personne.
Si un seul de ces trois critères échoue, la donnée n'est pas anonyme : elle est simplement pseudonymisée, et le RGPD continue de s'appliquer. En pratique, retirer les noms d'un fichier ne suffit presque jamais : un croisement d'informations (secteur, ville, montant, date) permet souvent de ré-identifier quelqu'un. L'anonymisation vraie est un travail d'ingénierie, pas un chercher-remplacer. Ces lignes directrices sont en consultation publique jusqu'au 30 octobre 2026, mais elles fixent déjà les critères que la CNIL appliquera lors de ses contrôles.
La clause à exiger noir sur blanc : « on n'entraîne pas sur vos données »
Voici le point le plus concret pour un dirigeant. Quand vous utilisez une IA, la vraie question n'est pas « est-elle puissante ? » mais « que fait-elle de ce que je lui donne ? ». Et sur ce terrain, il existe une différence radicale entre une offre grand public et une offre entreprise.
Les éditeurs l'ont bien compris et en font désormais un argument commercial. OpenAI indique par défaut ne pas utiliser les données de ses offres professionnelles (ChatGPT Enterprise, Business, Edu, la version pour enseignants et l'API) pour entraîner ou améliorer ses modèles. Anthropic a fait le même choix pour ses offres entreprise et éducation. Cet engagement « on n'entraîne pas sur vos conversations » est exactement la clause que vous devez retrouver, par écrit, dans le contrat de tout outil que vous déployez.
| Critère | Offre grand public (gratuite ou perso) | Offre entreprise |
| Entraînement sur vos données | Possible selon les réglages | Exclu par défaut, engagement contractuel |
| Contrat de sous-traitance (DPA) | Non | Oui, signable |
| Hébergement des données en Europe | Non garanti | Option disponible (selon éditeur et offre) |
| Adapté à un usage professionnel | Non pour des données clients | Oui, si bien configuré |
Deux nuances d'ingénieur, parce que le diable est dans les détails. Premièrement, « on n'entraîne pas sur vos données » ne veut pas dire « on ne conserve rien ». Un fournisseur peut s'interdire d'entraîner ses modèles tout en gardant vos échanges quelques semaines pour surveiller les abus. Si vous voulez une rétention nulle, c'est une option distincte à demander. Deuxièmement, l'hébergement en Europe existe mais dépend de l'offre exacte et des connecteurs branchés : ce qui vaut pour une formule ne vaut pas automatiquement pour une autre. La règle : exigez ces garanties noir sur blanc, ne les présumez pas.
Trois réflexes avant de déployer l'IA dans votre entreprise
Pas besoin d'un cabinet d'avocats pour poser des bases saines. Trois réflexes couvrent 80 % du risque.
- Une offre entreprise, jamais un compte perso pour le travail. Le principal risque n'est pas l'IA elle-même, c'est le « shadow IT » : un salarié qui utilise son compte gratuit pour traiter des données clients, sans que personne ne le sache. Fournissez un outil validé, et dites clairement lequel utiliser.
- Désactivez l'entraînement et vérifiez-le. Même sur une offre entreprise, prenez cinq minutes pour contrôler le réglage dans la console d'administration. Une case peut changer beaucoup de choses.
- Ne collez jamais de données vraiment sensibles. Données de santé, données bancaires, éléments couverts par le secret : ces catégories exigent des précautions supplémentaires (le RGPD parle de « catégories particulières »). En cas de doute, on ne colle pas.
Ajoutez à cela que même avec la meilleure offre et un contrat signé, votre entreprise reste responsable de traitement : tenir à jour son registre des traitements, informer les personnes concernées, évaluer les usages à risque. Le contrat avec l'éditeur vous protège, il ne vous exonère pas. Le cadre existe précisément parce que l'enjeu est sérieux : les sanctions RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. L'objectif n'est pas de faire peur, mais de rappeler qu'une gouvernance de l'IA se décide en amont, pas après un contrôle.
Ce que ça change pour une entreprise réunionnaise
À La Réunion comme ailleurs, l'IA est un formidable levier de productivité : rédaction, synthèse, tri, première version d'un document. Le sujet n'est pas de s'en priver, c'est de l'outiller proprement. Choisir la bonne offre, câbler les bons réglages, et quand l'usage devient central, envisager un outil interne où vos données restent chez vous plutôt que dans un service grand public. C'est exactement le travail d'ingénierie que nous menons quand nous intégrons l'IA dans les applications métier sur-mesure de nos clients, ou quand un projet impose un hébergement en France et une conformité stricte via nos solutions à exigences RGPD renforcées. Sur le même thème, notre article sur l'ouverture des actions d'écriture de ChatGPT dans Google Workspace et Microsoft 365 détaille la gouvernance admin à mettre en place.
Studio d'ingénierie web basé à La Réunion, Axiom Marketing aide les dirigeants à déployer l'IA sans se mettre en risque. Vous voulez savoir où en sont vos outils actuels ? Nous faisons l'état des lieux de vos IA en place, gratuitement : demandez votre audit gratuit ou parlons de votre projet. Preuve avant promesse, y compris sur la conformité.
Cet article a une visée d'information générale et ne constitue pas un conseil juridique. Pour une situation précise, rapprochez-vous de votre délégué à la protection des données ou d'un conseil spécialisé, et des sources officielles de la CNIL.