« On ne peut pas utiliser l'IA, le RGPD nous l'interdit. » On entend ça au moins une fois par semaine. C'est presque toujours faux. Mais il y a de vraies choses à savoir — et quelques erreurs que votre PME fait probablement déjà, bien avant d'avoir parlé d'IA.
« RGPD et IA » : pourquoi tout le monde a peur (souvent à tort)
Le RGPD date de 2018. L'IA générative grand public, de 2022. Les deux ont été collés ensemble dans la tête de beaucoup de décideurs, créant une peur diffuse : « si on utilise l'IA, on va avoir des problèmes avec les données ».
Cette peur n'est pas totalement infondée — il y a de vrais risques, on y reviendra. Mais elle est souvent disproportionnée, et elle freine des entreprises qui pourraient automatiser sans le moindre problème juridique.
Voici le cadre réel : le RGPD encadre le traitement de données à caractère personnel. Une donnée personnelle, c'est une information qui permet d'identifier directement ou indirectement une personne physique : un nom, un email, un numéro de téléphone, une adresse IP, un historique d'achat.
L'IA en tant que telle n'est ni autorisée ni interdite par le RGPD. Ce qui compte, c'est ce que vous faites avec les données que vous lui donnez à traiter.
Demandez-vous : est-ce que je donne des données personnelles à cet outil ? Si non, le RGPD ne s'applique pas à cette utilisation spécifique. Si oui, les règles habituelles du RGPD s'appliquent, ni plus ni moins.
Ce que dit vraiment le RGPD sur l'IA — 4 points simples
1. Ce n'est pas l'outil qui est encadré, c'est le traitement. Utiliser Claude pour rédiger une newsletter interne sur la stratégie d'entreprise ? Zéro problème RGPD. Utiliser Claude pour analyser les réclamations de vos clients en collant leurs noms et emails dans le prompt ? Là, vous êtes en traitement de données personnelles, et les règles s'appliquent.
2. Vous devez avoir une base légale pour traiter des données personnelles. Les trois bases les plus courantes en PME : le contrat (vous traitez les données d'un client dans le cadre d'une commande), le consentement (newsletter), et l'intérêt légitime (prospection B2B limitée). Si vous utilisez l'IA pour traiter ces données, la base légale doit déjà exister — l'IA ne crée pas de base légale nouvelle.
3. Minimisez les données que vous partagez. Le principe de minimisation est l'un des fondements du RGPD : ne traitez que ce qui est strictement nécessaire à votre objectif. En pratique pour l'IA : est-ce que vous avez vraiment besoin de mettre le nom et l'adresse du client dans ce prompt, ou est-ce que le problème à résoudre fonctionne aussi avec des données anonymisées ?
4. L'AI Act européen (2024) s'ajoute au RGPD mais ne le remplace pas. L'AI Act, entré en application progressive depuis 2024-2025, classe les systèmes d'IA par niveau de risque. Pour une PME qui utilise des outils grand public (ChatGPT, Claude, Copilot) pour des tâches internes, on est généralement loin des « systèmes à haut risque » ciblés par la loi. Le règlement cible surtout les systèmes qui prennent des décisions ayant un impact significatif sur des personnes.
Ce que votre PME fait probablement déjà mal — avant même l'IA
Voici ce qu'on observe chez la majorité des PME belges de moins de 50 personnes. Ce ne sont pas des jugements, c'est un constat qu'on fait lors de chaque diagnostic.
Pas de politique de confidentialité à jour sur le site web. Ou une version copiée-collée d'internet qui ne correspond pas à vos pratiques réelles. C'est une obligation RGPD de base — indépendamment de l'IA.
Des newsletters envoyées sans consentement valide. Le double opt-in n'est pas obligatoire en Belgique, mais le consentement doit être libre, éclairé, spécifique et documenté. « Vous m'avez laissé votre carte de visite au salon » ne suffit pas.
Des fichiers Excel avec des données clients non sécurisés. Partagés par email, stockés sur des clés USB, sans chiffrement ni contrôle d'accès. C'est du traitement de données personnelles non sécurisé — RGPD applicable depuis 2018.
Des accès à des outils SaaS partagés sans contrat DPA. Vous utilisez Google Workspace, Mailchimp, HubSpot, Calendly ? Ces outils traitent des données personnelles pour votre compte. Sans DPA signé, vous n'êtes pas en conformité — là non plus, ce n'est pas lié à l'IA.
Les vrais risques quand vous utilisez ChatGPT ou Claude au bureau
Soyons concrets. Voici les situations qui créent réellement un risque, et celles qui n'en créent pas.
| Situation | Niveau de risque | Ce qu'il faut faire |
|---|---|---|
| Rédiger un email générique, une offre, une description produit | Aucun | Y aller — pas de données personnelles en jeu |
| Résumer un article de presse ou un document public | Aucun | Y aller — contenu déjà public |
| Brainstormer une campagne marketing sans données clients | Aucun | Y aller — restez sur des concepts |
| Générer du contenu créatif, présentations, textes internes | Aucun | Y aller — pas de DCP en sortie |
| Partager des données pseudonymisées (client A, client B) | Modéré | Vérifier que la pseudonymisation est réelle |
| Traiter des données avec base légale + DPA signé | Modéré | OK si DPA en place et finalité respectée |
| Automatisations qui lisent/écrivent dans le CRM | Modéré | Exigez un DPA avec chaque fournisseur |
| Coller des données clients identifiables dans un outil grand public sans DPA | Réel | À éviter — risque concret |
| Traiter des données sensibles (santé, convictions, financier détaillé) | Réel | Cadre renforcé — consultation juridique |
| Système de décision automatisée affectant clients/employés | Réel | Article 22 RGPD — encadrement strict |
| Utiliser les données clients pour entraîner votre propre modèle | Réel | Consentement explicite requis dans la plupart des cas |
Comment utiliser l'IA en restant dans les clous
Pas besoin d'un cabinet juridique pour commencer. Voici une progression en 5 étapes que n'importe quelle PME peut suivre.
5 étapes pour utiliser l'IA en conformité RGPD
1. Classez vos données (1 heure). Séparez ce qui est personnel (noms, emails, contrats clients, données RH) de ce qui ne l'est pas (données internes anonymes, textes publics, statistiques agrégées). Les données non personnelles peuvent aller dans n'importe quel outil sans contrainte RGPD.
2. Signez un DPA avec vos fournisseurs IA (30 min par outil). OpenAI, Anthropic et Google proposent tous des accords de traitement des données (DPA) pour les comptes professionnels. Ces accords définissent comment vos données sont traitées et protégées. Consultez les pages « Privacy » ou « Legal » de chaque outil — le DPA se signe souvent en quelques clics.
3. Anonymisez avant de partager (réflexe quotidien). Avant de coller un document dans un prompt, remplacez les noms, emails et identifiants par des codes (« Client A », « Fournisseur 1 »). Dans 80 % des cas, l'IA peut faire son travail sans avoir besoin des vraies identités.
4. Formez votre équipe sur les règles simples (30 min de formation). Trois règles suffisent pour 95 % des situations : pas de données clients identifiables dans les outils grand public non configurés, pas de données RH sans DPA, pas de décision automatisée sans validation humaine. Une session de 30 minutes suffit.
5. Mettez à jour votre politique de confidentialité (1 heure + relecture juridique). Si vous utilisez l'IA pour traiter des données personnelles, mentionnez-le dans votre politique de confidentialité. Une phrase suffit : indiquez que vous utilisez des outils d'IA dans le cadre de vos traitements, avec le nom des fournisseurs principaux. C'est une bonne pratique, et certaines autorités commencent à le demander.
Notre approche chez LTC Group
L'IA ne doit pas être un frein — elle doit être un levier. LTC Group configure des solutions IA hébergées en Europe, avec les DPA en place et les mesures de conformité intégrées dès le départ. Vous utilisez, on s'occupe du cadre.
- Solutions hébergées en Belgique ou en Europe.
- DPA et documentation fournis à la livraison.
- Formation équipe RGPD × IA incluse.