RGPD et IA en 2026 : ce que les TPE/PME doivent mettre en place avant une amende CNIL
Introduction : entre obligation légale et réalité du terrain, les petites entreprises face à l'IA réglementée
L'intelligence artificielle n'est plus un privilège réservé aux grandes entreprises du CAC 40. En 2026, un artisan bordelais utilise une IA pour rédiger ses devis, une PME lyonnaise automatise sa relation client via un chatbot, et une micro-entreprise parisienne confie le ciblage de ses publicités à un algorithme. Cette démocratisation de l'IA est une opportunité réelle — mais elle s'accompagne d'une réalité juridique que beaucoup ignorent encore : utiliser de l'IA, c'est traiter des données personnelles, et traiter des données personnelles, c'est tomber sous le coup du RGPD.
La Commission nationale de l'informatique et des libertés (CNIL) a considérablement intensifié ses contrôles depuis 2024. En 2025, plus de 30 % des mises en demeure émises par la CNIL visaient des structures de moins de 250 salariés. Le message est sans ambiguïté : la taille de votre entreprise ne vous protège pas. Et avec l'entrée en vigueur progressive du règlement européen sur l'intelligence artificielle (AI Act), le cadre réglementaire s'est encore densifié.
Cet article s'adresse aux dirigeants de TPE et PME, aux responsables administratifs, aux auto-entrepreneurs et à quiconque utilise — même modestement — un outil basé sur l'IA dans son activité professionnelle. Nous allons vous expliquer, sans jargon inutile, ce que la loi vous impose, ce que la CNIL surveille en priorité, et surtout ce que vous devez mettre en place concrètement pour être en conformité — et éviter des sanctions qui peuvent dépasser 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
1. RGPD et IA : comprendre pourquoi les deux sont inséparables
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, encadre tout traitement de données à caractère personnel au sein de l'Union européenne. Or, la quasi-totalité des outils d'IA modernes reposent sur le traitement de données : données clients, données comportementales, adresses e-mail, numéros de téléphone, historiques d'achats, voire données sensibles comme la santé ou les opinions politiques.
Utiliser ChatGPT pour analyser les retours clients, déployer un chatbot sur votre site, automatiser vos e-mails marketing ou exploiter un logiciel de reconnaissance faciale pour sécuriser vos locaux : chacun de ces usages est un traitement de données soumis au RGPD.
Le lien entre RGPD et IA tient à trois réalités fondamentales :
L'IA se nourrit de données personnelles. Les modèles de langage, les algorithmes de recommandation et les systèmes de scoring apprennent et fonctionnent grâce à des informations qui peuvent identifier directement ou indirectement une personne physique.
L'IA prend des décisions qui affectent les individus. Un algorithme qui refuse un crédit, sélectionne un candidat à l'embauche ou détermine un tarif d'assurance a des effets concrets sur des personnes réelles — ce que le RGPD encadre strictement via l'article 22.
L'IA rend les risques opaques. La complexité des modèles rend difficile la traçabilité des traitements, ce qui contrevient au principe de transparence que le RGPD impose aux responsables de traitement.
2. L'AI Act européen : ce qui change concrètement pour les TPE/PME
Entré progressivement en vigueur depuis août 2024, l'AI Act (Règlement (UE) 2024/1689) est la première législation mondiale spécifiquement dédiée à l'intelligence artificielle. Il s'applique à toute entreprise qui développe, déploie ou utilise des systèmes d'IA au sein de l'UE — quelle que soit sa taille.
Les quatre niveaux de risque à connaître
Niveau de risqueExemples d'usageObligationsInacceptable (interdit)Notation sociale, manipulation subliminaleInterdiction totaleÉlevéRecrutement IA, scoring crédit, biométrieÉvaluation, documentation, auditLimitéChatbots, deepfakes déclarésObligation de transparenceMinimalFiltres anti-spam, IA de recommandationPas d'obligation spécifique
Pour la plupart des TPE/PME, les usages relevant du risque limité (chatbots, assistants virtuels, outils de génération de contenu) sont les plus courants. L'obligation principale est ici la transparence : l'utilisateur final doit savoir qu'il interagit avec une machine.
En revanche, si vous utilisez un outil d'IA pour filtrer des CV, évaluer des performances, ou prendre des décisions sur des crédits ou des assurances, vous entrez dans la catégorie à risque élevé — avec des obligations documentaires et de conformité bien plus lourdes.
3. Les obligations RGPD que toute TPE/PME utilisant l'IA doit respecter
3.1 Tenir un registre des activités de traitement (RAT)
C'est l'obligation de base, et pourtant la plus souvent négligée. Toute entreprise traitant des données personnelles doit tenir un registre listant les traitements effectués, leurs finalités, les catégories de données concernées, les durées de conservation et les mesures de sécurité appliquées.
Si vous utilisez une IA pour traiter des données clients, cette utilisation doit figurer dans votre registre. La CNIL met à disposition un modèle téléchargeable, mais de nombreuses PME ignorent encore cette obligation ou ont un registre incomplet et non mis à jour.
Ce que vous devez faire : Référencer chaque outil d'IA utilisé comme un traitement distinct, en précisant : la finalité (ex. : "personnalisation des e-mails marketing"), la base légale (consentement, intérêt légitime, exécution d'un contrat), les données traitées, le sous-traitant (éditeur du logiciel IA) et la durée de conservation.
3.2 Identifier et documenter la base légale de vos traitements IA
Le RGPD impose qu'aucun traitement de données ne soit effectué sans base légale valide. Pour les usages IA les plus courants en PME, les bases légales pertinentes sont :
Le consentement (art. 6.1.a) : pour l'IA de ciblage publicitaire, les cookies analytics IA.
L'exécution d'un contrat (art. 6.1.b) : pour un chatbot SAV qui accède à l'historique de commandes.
L'intérêt légitime (art. 6.1.f) : pour la détection de fraude ou la personnalisation produit — mais uniquement si vous réalisez un test de proportionnalité documenté (appelé "test LIA").
Attention : L'intérêt légitime ne peut pas être invoqué de façon systématique pour justifier tous les traitements IA. La CNIL a sanctionné plusieurs entreprises pour abus de cette base légale.
3.3 Respecter les droits des personnes concernées
Vos clients, prospects et salariés disposent de droits que l'utilisation de l'IA ne suspend pas :
Droit d'accès : savoir quelles données les concernant sont traitées par vos IA.
Droit de rectification : corriger des données erronées alimentant l'algorithme.
Droit à l'effacement ("droit à l'oubli") : supprimer leurs données, y compris des jeux d'entraînement IA.
Droit d'opposition : s'opposer à un traitement IA basé sur l'intérêt légitime.
Droit à ne pas faire l'objet d'une décision automatisée (art. 22 RGPD) : droit crucial pour les IA de scoring ou de sélection.
Ce que vous devez faire : Mettre en place une procédure de traitement des demandes de droits (accusé de réception sous 72h, réponse sous 1 mois), et vous assurer que vos prestataires IA sont capables d'exécuter techniquement ces demandes.
3.4 Encadrer vos sous-traitants IA par des contrats conformes
Lorsque vous utilisez un outil IA fourni par un tiers (OpenAI, Microsoft Copilot, Salesforce Einstein, HubSpot IA, etc.), vous êtes responsable de traitement, et ce prestataire est votre sous-traitant au sens du RGPD. Vous devez obligatoirement conclure avec lui un Accord de Traitement des Données (DPA — Data Processing Agreement).
Ce contrat doit préciser :
La nature et la finalité du traitement
Les catégories de données traitées
Les mesures de sécurité appliquées
Les obligations en cas de violation de données
Les conditions de transfert hors UE
Point critique : La plupart des grands éditeurs IA américains (OpenAI, Google, Microsoft) proposent des DPA en ligne. Mais signer ce DPA ne suffit pas — vous devez vérifier qu'il couvre bien vos usages spécifiques et qu'il prévoit le cas des transferts de données vers les États-Unis (soumis à des règles particulières depuis l'EU-US Data Privacy Framework de 2023).
4. Les transferts de données hors UE : un risque sous-estimé par les PME
De nombreux outils IA grand public hébergent leurs données aux États-Unis ou dans d'autres pays tiers. Tout transfert de données personnelles hors de l'Espace Économique Européen est encadré par le RGPD (chapitre V), sous peine de sanctions.
Depuis le Data Privacy Framework EU-US adopté en juillet 2023, les transferts vers les entreprises américaines certifiées sont légalement encadrés. Cependant, ce cadre reste fragile : plusieurs recours juridiques européens sont en cours, et la CNIL recommande aux entreprises de ne pas en dépendre exclusivement.
Ce que vous devez vérifier avant d'utiliser un outil IA :
Où les données sont-elles hébergées et traitées ?
L'éditeur est-il certifié EU-US Data Privacy Framework ?
Y a-t-il des Clauses Contractuelles Types (CCT) intégrées au contrat ?
L'outil propose-t-il une option d'hébergement européen (idéalement en France ou en Allemagne) ?
Des solutions IA européennes existent et gagnent du terrain : Mistral AI (France), Aleph Alpha (Allemagne), Scaleway AI (France) — des alternatives à considérer sérieusement pour les données sensibles.
5. La CNIL en 2026 : priorités de contrôle et secteurs ciblés
La CNIL a publié ses lignes directrices 2025-2026 en matière d'IA. Ses priorités de contrôle sont explicites :
5.1 Les IA de ressources humaines
Le recrutement assisté par IA est dans le collimateur de la CNIL. Les outils qui trient des CV automatiquement, analysent des entretiens vidéo ou évaluent des candidats via des tests psychométriques IA sont considérés comme des systèmes à risque élevé au sens de l'AI Act. La CNIL exige :
Une information claire des candidats sur l'usage de l'IA
L'intervention humaine dans toute décision finale
L'absence de discrimination algorithmique (biais liés au genre, à l'origine, à l'âge)
5.2 Les chatbots et assistants IA en contact avec des clients
Tout chatbot collectant des informations personnelles (nom, e-mail, historique) doit respecter le RGPD. La CNIL vérifie notamment :
La présence d'une mention d'information claire et accessible
La limitation des données collectées au strict nécessaire (principe de minimisation)
La sécurisation des échanges (chiffrement)
5.3 La publicité ciblée et le profilage IA
Les algorithmes de ciblage publicitaire qui construisent des profils comportementaux sont particulièrement surveillés. Depuis la mise à jour des lignes directrices cookies de la CNIL (2024), le simple dépôt d'un cookie analytique IA sans consentement valide peut entraîner une mise en demeure.
6. Analyse d'impact relative à la protection des données (AIPD) : quand est-elle obligatoire ?
L'Analyse d'Impact relative à la Protection des Données (AIPD), ou DPIA en anglais, est une procédure d'évaluation approfondie des risques d'un traitement pour les droits et libertés des personnes. Elle est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé.
La CNIL considère qu'une AIPD est systématiquement requise pour :
Les traitements IA à grande échelle portant sur des données sensibles (santé, opinions politiques, orientation sexuelle)
Le profilage IA ayant des effets significatifs sur les personnes
La surveillance systématique (vidéosurveillance IA, suivi comportemental)
Les décisions automatisées produisant des effets juridiques
Pour une PME, cela signifie concrètement : si vous utilisez un logiciel IA pour analyser les comportements de vos salariés, segmenter vos clients selon des données sensibles, ou automatiser des décisions d'éligibilité, vous devez réaliser une AIPD avant de déployer ce système.
Une AIPD comprend : une description du traitement, une évaluation de sa nécessité et proportionnalité, une analyse des risques (confidentialité, intégrité, disponibilité), et les mesures d'atténuation prévues.
7. La sécurité des systèmes IA : une obligation technique et juridique
Le RGPD impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données (art. 32). Cette obligation s'applique pleinement aux systèmes IA.
Les mesures minimales attendues par la CNIL en 2026
Sur le plan technique :
Chiffrement des données en transit et au repos
Authentification multifactorielle (MFA) pour accéder aux outils IA
Journalisation des accès et des requêtes envoyées aux IA
Cloisonnement des environnements (ne pas envoyer des données de production réelles dans une IA de test)
Politique de minimisation : ne transmettre à l'IA que les données strictement nécessaires
Sur le plan organisationnel :
Formation des collaborateurs aux bonnes pratiques IA et RGPD
Procédure de notification en cas de violation de données (72h pour alerter la CNIL)
Politique interne d'utilisation des outils IA (quels outils, pour quels usages, quelles données)
Désignation d'un interlocuteur interne dédié à la conformité IA/RGPD (qui peut être le DPO si l'entreprise en a un)
Rappel : Les entreprises de plus de 250 salariés, ainsi que celles qui traitent des données à grande échelle ou des données sensibles, ont l'obligation de désigner un Délégué à la Protection des Données (DPO). En dessous de ce seuil, la désignation est facultative mais fortement recommandée.
8. Les sanctions CNIL : ce que risquent vraiment les TPE/PME
La méconnaissance de la loi n'exonère pas de responsabilité. Voici le barème des sanctions que la CNIL peut prononcer :
Infractions mineures
Absence de registre des traitements
Mentions légales incomplètes
Absence de DPA avec un sous-traitant IA
→ Sanction possible : mise en demeure, avertissement public, amende jusqu'à 10 millions d'euros ou 2 % du CA mondial
Infractions graves
Absence de base légale pour un traitement IA
Non-respect des droits des personnes
Transferts illicites hors UE
Absence d'AIPD pour un traitement à risque élevé
→ Sanction possible : amende jusqu'à 20 millions d'euros ou 4 % du CA mondial annuel (le montant le plus élevé est retenu)
Exemples réels de sanctions pour des PME (2024-2025)
Une société de recrutement de 40 salariés a reçu une amende de 75 000 € pour usage d'un outil de matching IA sans information des candidats ni base légale valide.
Un e-commerçant de taille moyenne a été sanctionné à hauteur de 150 000 € pour profilage IA des clients sans consentement valide.
Une PME industrielle a fait l'objet d'une mise en demeure publique pour avoir utilisé un logiciel IA de surveillance des salariés sans AIPD préalable.
Ces montants, bien que loin des records infligés aux GAFAM, peuvent mettre en péril la trésorerie d'une petite structure.
9. Le plan d'action concret : 10 étapes pour mettre votre PME en conformité
Voici une feuille de route pragmatique, applicable même sans DSI ni juriste interne :
Étape 1 — Cartographier vos usages IA
Listez tous les outils IA utilisés dans votre entreprise : logiciels, SaaS, plugins, API. Identifiez quelles données personnelles chacun traite.
Étape 2 — Mettre à jour votre registre des traitements
Ajoutez chaque usage IA comme entrée distincte dans votre RAT, en renseignant tous les champs requis.
Étape 3 — Vérifier la base légale de chaque traitement IA
Pour chaque usage, identifiez la base légale applicable et documentez votre choix.
Étape 4 — Signer un DPA avec chaque prestataire IA
Exigez un Data Processing Agreement de chaque éditeur. Vérifiez sa complétude.
Étape 5 — Contrôler les transferts hors UE
Vérifiez la localisation des données pour chaque outil. Favorisez les solutions européennes pour les données sensibles.
Étape 6 — Mettre à jour vos mentions d'information
Informez vos clients, prospects et salariés de l'usage de l'IA dans vos traitements.
Étape 7 — Mettre en place une procédure de gestion des droits
Désignez un responsable pour traiter les demandes d'accès, de rectification et d'effacement.
Étape 8 — Réaliser une AIPD si nécessaire
Évaluez si vos usages IA nécessitent une AIPD. Si oui, réalisez-la avant tout déploiement.
Étape 9 — Sécuriser vos accès et vos données
Activez le MFA, chiffrez les données, sensibilisez vos équipes.
Étape 10 — Former vos collaborateurs
Un seul employé utilisant un outil non conforme peut engager la responsabilité de l'entreprise. Formez toutes les équipes concernées.
10. Les ressources officielles et les aides disponibles
La mise en conformité ne doit pas être perçue comme une contrainte insurmontable. Des ressources existent pour vous accompagner :
Les outils de la CNIL
Le guide RGPD pour les TPE/PME (disponible sur cnil.fr) : un document pratique et accessible.
PIA (Privacy Impact Assessment) software : l'outil officiel de la CNIL pour réaliser vos AIPD, disponible gratuitement.
Le registre des activités de traitement : modèle téléchargeable en format Excel et tableur.
La plateforme SignalConso : pour signaler des pratiques douteuses de vos prestataires IA.
Les aides financières
Bpifrance propose des diagnostics cybersécurité et conformité RGPD subventionnés pour les PME.
Les Chambres de Commerce et d'Industrie (CCI) organisent régulièrement des ateliers RGPD gratuits.
France Num offre des ressources de sensibilisation à la transformation numérique responsable.
Les professionnels à consulter
Un DPO externalisé : solution économique pour les PME ne pouvant pas recruter un DPO à temps plein (tarif moyen : 500 à 2 000 €/mois selon la complexité).
Un avocat spécialisé en droit du numérique pour les situations à risque élevé.
Un consultant cybersécurité pour l'audit technique de vos systèmes IA.
11. Erreurs fréquentes des TPE/PME à éviter absolument
Erreur n°1 : "Nous sommes trop petits pour être contrôlés"
La CNIL procède à des contrôles sur plainte, mais aussi par secteur et de manière aléatoire. La taille n'est pas un bouclier.
Erreur n°2 : "Notre prestataire IA s'occupe de la conformité à notre place"
Faux. Vous restez responsable de traitement. Votre prestataire n'est que sous-traitant. La responsabilité finale vous incombe.
Erreur n°3 : "On a une mention légale sur le site, c'est suffisant"
Une politique de confidentialité générique ne couvre pas les nouveaux traitements IA si elle n'est pas mise à jour spécifiquement.
Erreur n°4 : "L'IA ne traite que des données anonymisées"
L'anonymisation est souvent partielle. Les données pseudonymisées restent des données personnelles au sens du RGPD. Seule une anonymisation irréversible et robuste exonère du RGPD.
Erreur n°5 : "On a le consentement des utilisateurs, donc on peut tout faire"
Le consentement doit être libre, éclairé, spécifique et univoque. Une case pré-cochée, un consentement groupé ou un consentement obtenu sous contrainte n'est pas valide. De plus, le consentement ne justifie pas des traitements disproportionnés.
Conclusion : la conformité IA/RGPD, un investissement — pas une contrainte
En 2026, la question n'est plus de savoir si votre TPE ou PME est concernée par le RGPD et l'IA. Elle l'est, dès lors qu'elle utilise le moindre outil numérique traitant des données clients, prospects ou collaborateurs. La vraie question est : êtes-vous prêt à l'assumer ?
Les entreprises qui anticipent cette conformité y gagnent davantage qu'elles ne le pensent. Elles renforcent la confiance de leurs clients, réduisent leur exposition aux risques juridiques et financiers, et se positionnent favorablement face à des partenaires et donneurs d'ordres qui exigent de plus en plus des garanties RGPD de leurs sous-traitants.
La conformité RGPD/IA n'est pas une formalité administrative de plus. C'est la condition sine qua non d'une utilisation responsable, pérenne et compétitive de l'intelligence artificielle dans votre entreprise. Et face à une CNIL plus active que jamais, agir maintenant coûte infiniment moins cher qu'attendre la première mise en demeure.
Foire aux questions (FAQ) — RGPD et IA pour les TPE/PME
Une auto-entreprise est-elle concernée par le RGPD ?
Oui. Dès lors qu'elle traite des données personnelles (ne serait-ce qu'une liste de clients avec noms et e-mails), elle est soumise au RGPD. L'utilisation d'un outil IA ne fait qu'étendre ces obligations.
ChatGPT est-il conforme au RGPD ?
OpenAI propose un DPA pour les usages professionnels via son API. L'utilisation de la version grand public (ChatGPT.com) pour des données professionnelles sensibles est déconseillée. Des solutions comme Azure OpenAI Service offrent des garanties contractuelles renforcées.
Faut-il un DPO pour une PME de 50 salariés ?
Ce n'est pas obligatoire en dessous de 250 salariés (sauf traitements à grande échelle ou données sensibles), mais c'est vivement recommandé. Un DPO externalisé est une solution accessible financièrement.
Qu'est-ce qu'un "biais algorithmique" et pourquoi ça concerne les PME ?
Un biais algorithmique survient quand une IA produit des résultats discriminatoires (par exemple, un outil de recrutement IA qui défavorise systématiquement les candidats de plus de 50 ans). Cela engage la responsabilité juridique de l'employeur au titre du droit du travail ET du RGPD.
Que faire si un client demande la suppression de ses données d'un système IA ?
Vous devez répondre dans un délai d'un mois. Si les données ont servi à entraîner un modèle IA interne, vous devez évaluer techniquement comment les supprimer — et documenter la démarche, même si la suppression technique est impossible (auquel cas vous devez en informer la personne et justifier l'impossibilité).
Article rédigé à des fins d'information générale. Il ne constitue pas un conseil juridique. Pour une mise en conformité adaptée à votre situation, consultez un professionnel qualifié (DPO, avocat spécialisé en droit du numérique).