RGPD et IA générative : ce que la CNIL attend des entreprises en 2026

L'IA générative : un angle mort du RGPD que la CNIL est en train de combler

En 2024 et 2025, la CNIL a adressé des mises en demeure à plusieurs organisations pour des usages non conformes d'outils d'IA générative. Ce signal fort marque la fin de la période de tolérance tacite observée depuis le lancement de ChatGPT en 2022. En 2026, les organisations qui ne traitent pas ce sujet sérieusement s'exposent à des sanctions significatives.

Pourquoi l'IA générative est un sujet RGPD

Lorsqu'un collaborateur utilise un outil d'IA générative (ChatGPT, Copilot, Gemini, Claude…) dans un contexte professionnel, plusieurs traitements de données peuvent se produire :

• Transfert de données personnelles vers des serveurs hors UE : la plupart des grands modèles de langage sont hébergés aux États-Unis. Sans garanties appropriées (clauses contractuelles types, décision d'adéquation), le transfert est illicite au regard de l'Article 44 du RGPD.
• Utilisation des données pour l'entraînement des modèles : certains fournisseurs utilisent les prompts des utilisateurs pour améliorer leurs modèles. Les données personnelles saisies peuvent ainsi devenir données d'entraînement.
• Absence de base légale pour le traitement : si le collaborateur saisit des données de clients, de patients ou de salariés dans un outil non contractualisé par l'organisation, il n'y a pas de base légale valide.

Les recommandations de la CNIL

La CNIL a publié plusieurs notes et délibérations sur l'IA en 2024-2025. Les points essentiels pour les organisations :

• Conduire une AIPD (DPIA) pour tout déploiement à grande échelle d'un outil d'IA traitant des données personnelles
• Vérifier les conditions générales du fournisseur et obtenir un DPA (Data Processing Agreement) conforme si le traitement est sous-traité
• Informer les personnes concernées de l'utilisation de l'IA dans les traitements qui les concernent
• Interdire ou encadrer strictement la saisie de données personnelles sensibles (données de santé, données RH) dans des outils non homologués

L'articulation avec l'AI Act européen

L'AI Act, entré en application progressivement depuis 2024, impose des obligations additionnelles selon le niveau de risque des systèmes d'IA. Pour les secteurs de la santé et des infrastructures critiques, certains usages de l'IA sont classés "à haut risque" et nécessitent une évaluation de conformité spécifique, distincte du RGPD mais complémentaire.

La combinaison RGPD + AI Act crée une double obligation que peu d'ETI ont commencé à traiter de manière structurée.

Ce que les ETI doivent faire maintenant

En pratique, les premières actions sont simples à mettre en œuvre :

• Inventorier les outils d'IA générative utilisés dans l'organisation (shadow IT compris)
• Pour chaque outil : vérifier la localisation des données, les conditions d'utilisation, et les possibilités de DPA
• Élaborer une politique d'utilisation des outils d'IA et la communiquer aux collaborateurs
• Intégrer l'IA dans le registre des traitements RGPD
• Conduire une AIPD pour les déploiements d'IA à risque élevé