Quelles sont les données personnelles dans un contexte IA ?

Dans un contexte IA, les données personnelles incluent tout ce qui permet d'identifier directement ou indirectement une personne : noms et prénoms dans les comptes-rendus, adresses email, numéros de téléphone, mais aussi des éléments moins évidents comme les habitudes d'achat associées à un client, les enregistrements vocaux lors de rendez-vous, ou les historiques de conversation avec un chatbot. Même un résumé de réunion peut contenir des données personnelles si des noms y figurent.

Le cloud privé est-il obligatoire pour être conforme au RGPD ?

Non, le cloud privé n'est pas une obligation RGPD. Ce qui compte, c'est le niveau de protection adapté à la sensibilité de vos données. Pour des données courantes (emails, comptes-rendus standards), un cloud mutualisé avec de bonnes garanties contractuelles peut suffire. Le cloud privé devient pertinent quand vous traitez des données sensibles (santé, juridique, financier) ou quand vos clients l'exigent contractuellement.

Combien de temps peut-on conserver les données traitées par l'IA ?

Il n'y a pas de durée unique. Le RGPD impose que la conservation soit proportionnée à la finalité du traitement. En pratique, pour des comptes-rendus de réunion, 12 à 24 mois est souvent raisonnable. Pour des analyses de satisfaction client, 6 à 12 mois suffisent généralement. L'essentiel est de définir une durée, de la documenter, et de mettre en place un mécanisme de suppression automatique à échéance.

Que faire en cas de fuite de données liée à un outil IA ?

Vous avez 72 heures pour notifier la CNIL si la fuite présente un risque pour les personnes concernées. Concrètement : identifiez immédiatement l'étendue de la fuite, coupez l'accès à l'outil compromis, documentez ce qui s'est passé, prévenez votre prestataire IA, notifiez la CNIL via leur formulaire en ligne si nécessaire, et informez les personnes concernées si le risque est élevé. Avoir un plan d'incident préparé à l'avance permet de réagir calmement.

Securite sans stress

IA et RGPD en PME: une checklist simple pour rester serein

Q: Le RGPD interdit-il l'utilisation de l'IA en entreprise ?

Non, absolument pas. Le RGPD encadre le traitement des données personnelles, pas l'utilisation de technologies. Vous pouvez utiliser l'IA dans votre PME tant que vous respectez les principes de base : informer les personnes, limiter la collecte au nécessaire, sécuriser les accès et permettre l'exercice des droits. Des milliers de PME utilisent l'IA en conformité totale avec le RGPD.

Q: Faut-il un DPO pour utiliser l'IA dans une PME ?

La désignation d'un DPO n'est obligatoire que pour certaines structures (organismes publics, entreprises traitant des données sensibles à grande échelle). Pour la majorité des PME, ce n'est pas requis. En revanche, il est fortement recommandé de désigner un référent RGPD en interne, même à temps partiel. Cette personne sera le point de contact pour les questions de conformité et la tenue du registre des traitements.

On ne va pas se mentir : quand on entend RGPD, la plupart des dirigeants de PME pensent paperasse, amendes et blocages. Et c'est normal, parce que le sujet est souvent mal explique. En realite, le RGPD n'est pas un frein a l'IA. C'est un cadre qui vous protege autant que vos clients. Et avec une methode claire, vous pouvez avancer vite et proprement, sans devenir juriste.

Ce guide est fait pour les PME qui veulent utiliser l'IA au quotidien, que ce soit pour leurs comptes-rendus, leur relation client ou l'analyse de donnees, sans risquer de se retrouver hors des clous. On vous donne une methode concrete, avec des exemples reels et des etapes simples. Pas de jargon juridique inutile, juste ce qu'il faut savoir pour dormir tranquille.

Réunion d'équipe autour des règles de sécurité et de gouvernance des données

Le plus important a retenir

Un cadre clair des le debut evite les retours en arriere couteux. La conformite RGPD, ce n'est pas un projet de six mois avec un cabinet d'avocats. C'est une hygiene de base que vous pouvez mettre en place en quelques jours.

Savoir quelles donnees sont utilisees : si vous ne savez pas ce qui entre dans votre outil IA, vous ne pouvez pas le proteger
Limiter les acces au strict necessaire : votre stagiaire n'a pas besoin de voir les comptes-rendus du comite de direction
Definir une duree de conservation : garder des donnees "au cas ou" pendant dix ans, c'est exactement ce que le RGPD veut eviter
Prevoir l'effacement et la tracabilite : pouvoir prouver ce que vous avez fait, et quand vous l'avez supprime
Informer les personnes concernees : vos collaborateurs et clients doivent savoir que leurs donnees sont traitees par une IA

Cartographier vos donnees : la premiere etape indispensable

Avant de proteger quoi que ce soit, il faut savoir ce que vous avez. C'est la base, et pourtant la majorite des PME sautent cette etape.

Concretement, la cartographie des donnees consiste a repondre a quatre questions simples pour chaque outil IA que vous utilisez :

Quelles donnees entrent ?Par exemple, si vous utilisez Ki Notes pour vos comptes-rendus de reunion, les donnees entrantes sont les enregistrements audio, les noms des participants, les sujets discutes. Si vous utilisez Ki Analytics, ce sont les transcriptions d'appels clients avec potentiellement des noms, numeros de compte, montants.

Ou sont-elles stockees ?Sur un serveur en France ? En Europe ? Chez un prestataire americain soumis au Cloud Act ? Pour une PME francaise, privilegiez un hebergement en France ou en UE. C'est un critere simple qui evite beaucoup de complications.

Qui y accede ?Listez les personnes et les outils qui touchent ces donnees. Chez Durand & Associes, un cabinet comptable de 15 personnes, ils ont decouvert que 12 collaborateurs avaient acces a l'integralite des comptes-rendus clients. Apres cartographie, ils ont reduit a 4 personnes par dossier.

Combien de temps sont-elles gardees ?Si vous n'avez pas de reponse a cette question, c'est qu'il n'y a pas de regle. Et pas de regle, c'est un probleme RGPD. Definissez une duree par type de donnee : 12 mois pour les transcriptions, 24 mois pour les comptes-rendus valides, par exemple.

Les donnees personnelles dans un contexte IA : ce qui surprend souvent

Quand on parle de donnees personnelles, on pense tout de suite aux noms et aux emails. Mais dans un contexte IA, la liste est bien plus longue qu'on ne le croit.

Voici des exemples concrets de donnees personnelles que vous traitez probablement deja sans y penser :

Dans les comptes-rendus

Les noms des participants, leurs fonctions, leurs opinions exprimees en reunion, les decisions prises par telle ou telle personne. Un resume de reunion qui dit "Sophie a refuse le budget marketing" contient une donnee personnelle liee a une prise de position professionnelle.

Dans les appels clients

La voix elle-meme est une donnee biometrique. Les numeros de compte mentionnes, les situations personnelles evoquees par le client ("j'ai eu un accident", "je suis en arret"), les reclamations nominatives. Un appel de 10 minutes peut contenir une dizaine de donnees personnelles.

Dans les analyses

Les patterns de comportement associes a un client (frequence d'appels, sujets recurrents, niveau de satisfaction), les scores de sentiment lies a des interactions identifiees. Meme agrege, si on peut remonter a la personne, c'est une donnee personnelle.

Le reflexe a avoir : avant de connecter un nouvel outil IA, demandez-vous "est-ce que les donnees qui passent dedans permettent d'identifier quelqu'un, meme indirectement ?" Si oui, le RGPD s'applique. Et ce n'est pas grave, ca veut juste dire qu'il faut quelques precautions.

Controle des acces : le principe du moindre privilege

C'est le levier le plus efficace et le moins couteux. Moins de gens ont acces, moins de risques vous prenez. Point.

Le principe du moindre privilege, ca veut simplement dire que chaque personne n'a acces qu'aux donnees dont elle a besoin pour faire son travail. Pas plus. Voici comment l'appliquer concretement :

Definir des roles clairsAdministrateur, manager, collaborateur, lecteur. Chaque role a un perimetre d'acces different. Par exemple, chez un courtier en assurances de 25 personnes, les gestionnaires voient les dossiers de leurs clients, les managers voient les statistiques de leur equipe, et seul le dirigeant accede a la vue globale.

Separer les environnementsLes donnees de production ne doivent pas trainer dans un environnement de test. Les exports de donnees clients ne doivent pas se retrouver dans un dossier partage ouvert a toute l'entreprise. Ca parait evident, mais c'est l'erreur numero un.

Revoir les acces regulierementUn collaborateur qui change de poste ou quitte l'entreprise doit voir ses acces ajustes le jour meme. Pas la semaine d'apres, pas "quand on aura le temps". Prevoyez un process simple : un email au referent RGPD, et c'est fait dans la journee.

Tracer les accesQui a accede a quoi et quand. Ce n'est pas de la surveillance, c'est de la protection. En cas d'incident, c'est ce journal qui vous permettra de comprendre ce qui s'est passe et de le prouver a la CNIL si necessaire.

Politique de conservation : combien de temps garder quoi

La regle d'or du RGPD : on ne garde pas des donnees "au cas ou". Chaque donnee a une date de peremption.

Voici un exemple de politique de conservation adaptee a une PME qui utilise des outils IA :

Donnees de transcription brute

Duree : 3 a 6 mois. Les enregistrements audio et les transcriptions brutes d'appels ou de reunions sont necessaires le temps du traitement et de la validation. Une fois le compte-rendu valide ou l'analyse extraite, la transcription brute n'a plus de raison d'exister. Chez Martineau Conseil, ils suppriment les transcriptions brutes apres 90 jours, et gardent uniquement les comptes-rendus valides.

Comptes-rendus valides

Duree : 12 a 24 mois. Les comptes-rendus structures (decisions, actions, suivi) ont une utilite plus longue. Ils servent de reference pour les rendez-vous suivants et la continuite du suivi client. Mais au-dela de 24 mois, leur pertinence diminue fortement.

Donnees d'analyse agregees

Duree : 24 a 36 mois. Les statistiques et tendances (satisfaction client, sujets recurrents, volumes) qui ne permettent plus d'identifier des personnes peuvent etre conservees plus longtemps. Elles servent a mesurer l'evolution et a piloter l'activite.

L'essentiel, c'est de documenter ces durees, de les communiquer aux equipes, et de mettre en place un mecanisme de suppression. La suppression peut etre automatique (l'outil purge tout seul) ou manuelle avec un rappel (un creneau de 30 minutes chaque mois pour nettoyer).

Plan d'incident : se preparer au pire pour reagir calmement

Personne n'aime y penser, mais un plan d'incident fait la difference entre une crise geree en 2 heures et un chaos de 2 semaines.

Une fuite de donnees, ca peut arriver a n'importe qui. Un collaborateur qui envoie un export au mauvais destinataire, un mot de passe trop faible sur un compte admin, un prestataire qui subit une breche. La question n'est pas "est-ce que ca arrivera" mais "est-ce qu'on sera pret quand ca arrivera". Voici le plan type en 5 etapes :

1

Detection et alerte (0-2h)

La personne qui detecte le probleme previent immediatement le referent RGPD. Pas d'email, un appel direct. Le referent confirme s'il y a bien un incident et son perimetre initial.

2

Confinement (2-6h)

Coupez l'acces a l'outil ou au compte compromis. Changez les mots de passe concernes. Preservez les logs et les preuves. Ne supprimez rien, ca pourrait etre necessaire pour l'enquete.

3

Evaluation (6-24h)

Combien de personnes sont touchees ? Quelles donnees sont concernees ? Le risque pour les personnes est-il eleve ? C'est cette evaluation qui determine si vous devez notifier la CNIL (obligatoire si risque pour les droits et libertes des personnes).

4

Notification (avant 72h)

Si le risque est avere, vous avez 72 heures pour notifier la CNIL via leur formulaire en ligne. Vous devez decrire la nature de la violation, les categories de donnees, le nombre de personnes touchees et les mesures prises. Si le risque est eleve pour les personnes, vous devez aussi les informer directement.

5

Retour d'experience (J+7 a J+30)

Une fois la crise passee, analysez ce qui s'est passe. Qu'est-ce qui a fonctionne dans la reponse ? Qu'est-ce qui doit etre ameliore ? Mettez a jour votre plan d'incident en consequence. C'est comme ca qu'on progresse.

Revue mensuelle : 30 minutes pour rester en conformite

La conformite RGPD n'est pas un projet ponctuel. C'est une habitude. Et comme toute habitude, elle doit etre simple pour durer.

Voici une checklist de revue mensuelle que vous pouvez boucler en 30 minutes. Bloquez un creneau fixe dans votre agenda, le premier lundi du mois par exemple :

Verifier les acces

Y a-t-il eu des arrivees, departs ou changements de poste ce mois-ci ? Les acces ont-ils ete ajustes ? Un coup d'oeil rapide sur la liste des utilisateurs actifs dans vos outils IA suffit. Comptez 5 minutes.

Controler les suppressions

Les donnees qui devaient etre supprimees ce mois-ci l'ont-elles ete ? Verifiez que les transcriptions brutes de plus de 90 jours ont bien ete purgees, que les comptes de test ne contiennent pas de vraies donnees. 10 minutes.

Parcourir les demandes

Un client ou un collaborateur a-t-il exerce un droit (acces, rectification, suppression) ce mois-ci ? Si oui, la demande a-t-elle ete traitee dans les delais (1 mois maximum) ? Consignez le tout dans un tableur simple. 10 minutes.

Si tout est en ordre, notez la date de la revue et passez a autre chose. Si un point pose probleme, planifiez une action corrective dans la semaine. Cette regularite fait toute la difference en cas de controle : vous pouvez montrer que vous gerez activement votre conformite, pas que vous avez fait un audit une fois il y a trois ans.

Les mythes RGPD les plus repandus chez les PME

Il y a beaucoup d'idees recues sur le RGPD qui paralysent les PME pour rien. Demontons-en quelques-unes.

"Le RGPD, c'est pour les grands groupes"

Faux. Le RGPD s'applique a toute structure qui traite des donnees personnelles, meme une auto-entreprise. La bonne nouvelle, c'est que les obligations sont proportionnelles a votre taille et a vos risques. Une PME de 20 personnes n'a pas les memes obligations qu'une banque.

"Si j'utilise l'IA, je dois tout declarer a la CNIL"

Faux. Depuis le RGPD (2018), la declaration prealable a disparu pour la plupart des traitements. Vous devez tenir un registre des traitements en interne, mais il n'y a rien a declarer a la CNIL sauf pour les analyses d'impact sur des traitements a risque eleve.

"Le consentement est toujours obligatoire"

Pas toujours. Le consentement est une base legale parmi d'autres. Pour le traitement de donnees dans le cadre d'un contrat (suivi client, facturation), c'est l'execution contractuelle qui justifie le traitement. Pour l'amelioration interne de vos process, c'est souvent l'interet legitime. Le consentement est surtout necessaire pour le marketing et la prospection.

Liens utiles pour continuer

Ki Private AI

Option LLM prive pour les contextes ou les donnees sont trop sensibles pour un cloud mutualise. Hebergement dedie en France.

Decouvrir

Securite & RGPD Kirohq

Le cadre de securite et de conformite applique par Kirohq a l'ensemble de ses solutions IA.

Lire

Guide LLM prive

Comprendre quand passer en cloud prive et quand un cloud mutualise suffit pour votre PME.

Lire

Questions frequentes

Le RGPD interdit-il l'utilisation de l'IA en entreprise ?

Non, absolument pas. Le RGPD encadre le traitement des donnees personnelles, pas l'utilisation de technologies. Vous pouvez utiliser l'IA dans votre PME tant que vous respectez les principes de base : informer les personnes, limiter la collecte au necessaire, securiser les acces et permettre l'exercice des droits.

Quelles sont les donnees personnelles dans un contexte IA ?

Tout ce qui permet d'identifier une personne directement ou indirectement : noms dans les comptes-rendus, adresses email, enregistrements vocaux, habitudes d'achat associees a un client, historiques de conversation avec un chatbot. Meme un resume de reunion peut contenir des donnees personnelles.

Faut-il un DPO pour utiliser l'IA dans une PME ?

La designation d'un DPO n'est obligatoire que pour certaines structures. Pour la majorite des PME, ce n'est pas requis. En revanche, designez un referent RGPD en interne, meme a temps partiel, pour etre le point de contact sur les questions de conformite.

Le cloud prive est-il obligatoire pour etre conforme au RGPD ?

Non. Ce qui compte, c'est le niveau de protection adapte a la sensibilite de vos donnees. Pour des donnees courantes, un cloud mutualise avec de bonnes garanties contractuelles peut suffire. Le cloud prive devient pertinent pour les donnees sensibles ou les exigences contractuelles clients.

Combien de temps peut-on conserver les donnees traitees par l'IA ?

Il n'y a pas de duree unique. Le RGPD impose une conservation proportionnee a la finalite. En pratique : 3 a 6 mois pour les transcriptions brutes, 12 a 24 mois pour les comptes-rendus valides, 24 a 36 mois pour les analyses agregees. L'essentiel est de definir une duree et de s'y tenir.

Que faire en cas de fuite de donnees liee a un outil IA ?

Vous avez 72 heures pour notifier la CNIL si la fuite presente un risque. Concretement : identifiez l'etendue, coupez l'acces, documentez, prevenez votre prestataire, notifiez la CNIL si necessaire, et informez les personnes concernees si le risque est eleve.

Besoin d'un cadre securite adapte a votre activite ?

On vous aide a definir les regles utiles, sans alourdir vos equipes. Un premier echange de 30 minutes suffit pour poser les bases.

Échanger sur un premier cas d'usage Voir les solutions