“On ne peut pas utiliser l’IA, le RGPD nous l’interdit.” On entend ça au moins une fois par semaine. C’est presque toujours faux. Mais il y a de vraies choses à savoir — et quelques erreurs que votre PME fait probablement déjà, bien avant d’avoir parlé d’IA.
« RGPD et IA » : pourquoi tout le monde a peur (souvent à tort)
Le RGPD date de 2018. L’IA générative grand public, de 2022. Les deux ont été collés ensemble dans la tête de beaucoup de décideurs, créant une peur diffuse : “si on utilise l’IA, on va avoir des problèmes avec les données”.
Cette peur n’est pas totalement infondée — il y a de vrais risques, on y reviendra. Mais elle est souvent disproportionnée, et elle freine des entreprises qui pourraient automatiser sans le moindre problème juridique.
Voici le cadre réel : le RGPD encadre le traitement de données à caractère personnel. Une donnée personnelle, c’est une information qui permet d’identifier directement ou indirectement une personne physique : un nom, un email, un numéro de téléphone, une adresse IP, un historique d’achat.
L’IA en tant que telle n’est ni autorisée ni interdite par le RGPD. Ce qui compte, c’est ce que vous faites avec les données que vous lui donnez à traiter.
Demandez-vous : est-ce que je donne des données personnelles à cet outil ? Si non, le RGPD ne s’applique pas à cette utilisation spécifique. Si oui, les règles habituelles du RGPD s’appliquent, ni plus ni moins.
Ce que dit vraiment le RGPD sur l’IA — 4 points simples
1. Ce n’est pas l’outil qui est encadré, c’est le traitement. Utiliser Claude pour rédiger une newsletter interne sur la stratégie d’entreprise ? Zéro problème RGPD. Utiliser Claude pour analyser les réclamations de vos clients en collant leurs noms et emails dans le prompt ? Là, vous êtes en traitement de données personnelles, et les règles s’appliquent.
2. Vous devez avoir une base légale pour traiter des données personnelles. Les trois bases les plus courantes en PME : le contrat (vous traitez les données d’un client dans le cadre d’une commande), le consentement (newsletter), et l’intérêt légitime (prospection B2B limitée). Si vous utilisez l’IA pour traiter ces données, la base légale doit déjà exister — l’IA ne crée pas de base légale nouvelle.
3. Minimisez les données que vous partagez. Le principe de minimisation est l’un des fondements du RGPD : ne traitez que ce qui est strictement nécessaire à votre objectif. En pratique pour l’IA : est-ce que vous avez vraiment besoin de mettre le nom et l’adresse du client dans ce prompt, ou est-ce que le problème à résoudre fonctionne aussi avec des données anonymisées ?
4. L’AI Act européen (2024) s’ajoute au RGPD mais ne le remplace pas. L’AI Act, entré en application progressive depuis 2024-2025, classe les systèmes d’IA par niveau de risque. Pour une PME qui utilise des outils grand public (ChatGPT, Claude, Copilot) pour des tâches internes, on est généralement loin des “systèmes à haut risque” ciblés par la loi. Le règlement cible surtout les systèmes qui prennent des décisions ayant un impact significatif sur des personnes.
Ce que votre PME fait probablement déjà mal — avant même l’IA
Voici ce qu’on observe chez la majorité des PME belges de moins de 50 personnes. Ce ne sont pas des jugements, c’est un constat qu’on fait lors de chaque diagnostic.
Pas de politique de confidentialité à jour sur le site web. Ou une version copiée-collée d’internet qui ne correspond pas à vos pratiques réelles. C’est une obligation RGPD de base — indépendamment de l’IA.
Des newsletters envoyées sans consentement valide. Le double opt-in n’est pas obligatoire en Belgique, mais le consentement doit être libre, éclairé, spécifique et documenté. “Vous m’avez laissé votre carte de visite au salon” ne suffit pas.
Des fichiers Excel avec des données clients non sécurisés. Partagés par email, stockés sur des clés USB, sans chiffrement ni contrôle d’accès. C’est du traitement de données personnelles non sécurisé — RGPD applicable depuis 2018.
Des accès à des outils SaaS partagés sans contrat DPA. Vous utilisez Google Workspace, Mailchimp, HubSpot, Calendly ? Ces outils traitent des données personnelles pour votre compte. Sans DPA signé, vous n’êtes pas en conformité — là non plus, ce n’est pas lié à l’IA.
Les vrais risques quand vous utilisez ChatGPT ou Claude au bureau
Soyons concrets. Voici les situations qui créent réellement un risque, et celles qui n’en créent pas.
Pas de risque RGPD :
- Utiliser l’IA pour rédiger un email générique, une offre commerciale, une description de produit
- Demander à l’IA de résumer un article de presse ou un document public
- Utiliser l’IA pour brainstormer des idées de campagne marketing sans données clients
- Générer du contenu créatif, des présentations, des textes de communication interne
Risque modéré — à gérer mais pas bloquant :
- Partager des données pseudonymisées (client A, client B) pour analyser des tendances
- Utiliser l’IA pour traiter des données qui ont déjà une base légale valide et un DPA signé avec le fournisseur IA
- Configurer des automatisations qui lisent et écrivent dans votre CRM, si le DPA est en place
Risque réel — à encadrer sérieusement :
- Coller des données clients identifiables dans des outils grand public sans DPA
- Traiter des données sensibles (santé, convictions, données financières détaillées) avec des outils IA
- Construire un système de décision automatisée qui affecte individuellement vos clients ou employés
- Utiliser des données de vos clients pour entraîner votre propre modèle IA sans leur consentement
Comment utiliser l’IA en restant dans les clous
Pas besoin d’un cabinet juridique pour commencer. Voici une progression en 5 étapes que n’importe quelle PME peut suivre.
5 étapes pour utiliser l'IA en conformité RGPD
Classez vos données
1 heureSéparez ce qui est personnel (noms, emails, contrats clients, données RH) de ce qui ne l'est pas (données internes anonymes, textes publics, statistiques agrégées). Les données non personnelles peuvent aller dans n'importe quel outil sans contrainte RGPD.
Signez un DPA avec vos fournisseurs IA
30 min par outilOpenAI, Anthropic et Google proposent tous des accords de traitement des données (DPA) pour les comptes professionnels. Ces accords définissent comment vos données sont traitées et protégées. Consultez les pages "Privacy" ou "Legal" de chaque outil — le DPA se signe souvent en quelques clics.
Anonymisez avant de partager
Réflexe quotidienAvant de coller un document dans un prompt, remplacez les noms, emails et identifiants par des codes ("Client A", "Fournisseur 1"). Dans 80 % des cas, l'IA peut faire son travail sans avoir besoin des vraies identités.
Formez votre équipe sur les règles simples
30 min de formationTrois règles suffisent pour 95 % des situations : pas de données clients identifiables dans les outils grand public non configurés, pas de données RH sans DPA, pas de décision automatisée sans validation humaine. Une session de 30 minutes suffit.
Mettez à jour votre politique de confidentialité
1 heure + relecture juridique recommandéeSi vous utilisez l'IA pour traiter des données personnelles, mentionnez-le dans votre politique de confidentialité. Une phrase suffit : indiquez que vous utilisez des outils d'IA dans le cadre de vos traitements, avec le nom des fournisseurs principaux. C'est une bonne pratique, et certaines autorités commencent à le demander.
Vous voulez savoir si vos usages IA actuels sont conformes ?
On fait le point en 30 min →Téléchargez la checklist RGPD × IA
10 points à vérifier avant d’utiliser l’IA avec des données d’entreprise — rédigés pour des non-juristes, applicables dès aujourd’hui.
LTC Group
L'IA ne doit pas être un frein — elle doit être un levier
LTC Group configure des solutions IA hébergées en Europe, avec les DPA en place et les mesures de conformité intégrées dès le départ. Vous utilisez, on s'occupe du cadre.
- Solutions hébergées en Belgique ou en Europe
- DPA et documentation fournis à la livraison
- Formation équipe RGPD × IA incluse
Questions fréquentes — RGPD et IA
Oui, avec précautions. Si vous collez l'email d'un client (avec son nom, son adresse, son problème) dans ChatGPT pour générer une réponse, vous transmettez des données personnelles à OpenAI. La bonne pratique : soit vous utilisez une version Enterprise avec DPA signé, soit vous rédigez le contexte de façon anonymisée ("un client se plaint d'un délai de livraison") sans inclure les données identifiantes.
L'APD peut émettre un avertissement, imposer des mesures correctives, ou infliger une amende. Les amendes peuvent théoriquement atteindre 4 % du chiffre d'affaires mondial ou 20 millions d'euros pour les violations les plus graves. En pratique, pour une PME de bonne foi qui fait des efforts de mise en conformité, l'APD commence généralement par un avertissement et un délai pour corriger. Les sanctions financières lourdes ciblent surtout les récidivistes et les violations délibérées.
C'est nécessaire mais pas suffisant. Le DPA règle la relation entre vous (responsable du traitement) et le fournisseur IA (sous-traitant). Il reste votre responsabilité d'avoir une base légale pour traiter les données en premier lieu, d'informer vos clients et employés si leurs données sont traitées via IA, et de respecter les principes de minimisation et de finalité.
Pas sans leur consentement explicite, dans la plupart des cas. Si vos contrats clients mentionnent que leurs données peuvent être utilisées pour améliorer vos services, c'est un argument — mais il faut que ce soit suffisamment clair et spécifique. Pour les données employés, c'est encore plus encadré. C'est un cas qui mérite une consultation juridique spécifique avant de se lancer.
Par défaut, dans la version gratuite de ChatGPT, vos conversations peuvent être utilisées pour améliorer les modèles OpenAI. Vous pouvez désactiver cela dans les paramètres. ChatGPT Plus et les offres Business/Enterprise désactivent par défaut l'utilisation des données pour l'entraînement. Claude (Anthropic) n'utilise pas les conversations des utilisateurs Pro et API pour entraîner ses modèles par défaut depuis 2024. Vérifiez toujours les conditions à jour de chaque outil.
Oui, le RGPD s'applique à toutes les entreprises qui traitent des données personnelles de résidents européens, quelle que soit la taille. Mais les obligations sont proportionnées au risque. Une PME de 4 personnes sans traitement à grande échelle n'est pas tenue de désigner un DPO (Délégué à la Protection des Données), par exemple. Les obligations de base — politique de confidentialité, base légale pour les traitements, sécurité raisonnable des données — s'appliquent dès le premier client.
LTC Group
Prêt à gagner du temps concrètement ?
Diagnostic gratuit · 45 minutes · Résultats chiffrés · Zéro engagement
Réserver mon diagnostic gratuitArticles liés
5 prompts ChatGPT que chaque PME belge devrait utiliser dès cette semaine
5 prompts copiables pour PME belge — relance client, compte-rendu, offre commerciale, avis Google, fiche de poste. Résultats en moins de 2 minutes.
5 tâches qu'une PME belge peut automatiser dès aujourd'hui (sans IT)
Devis, relances clients, confirmations de RDV… Ces 5 tâches répétitives volent 10h/semaine à votre équipe. Voici comment les automatiser sans budget IT.
Automatisation ou embauche ? Le calcul que toute PME belge devrait faire avant de décider
Embaucher coûte 42 000 à 55 000 €/an en Belgique, charges comprises. Automatisation équivalente : dès 200 €/mois. Le calcul honnête pour décider.