« On veut utiliser ChatGPT au bureau, mais on entend que c'est interdit en France ». Faux. « On peut tout y mettre tant qu'on est en mode privé ». Faux aussi. La vérité tient en cinq règles claires que cet article démêle, avec ce qu'autorise et interdit concrètement le couple RGPD + AI Act en 2026 pour une PME française.
Pas de juridisme inutile, pas d'alarme exagérée : ce qui marche, ce qui ne marche pas, et la checklist à appliquer cette semaine pour rester clean.
Le cadre légal qui s'applique en 2026
Deux textes principaux régissent l'usage de l'IA en entreprise française.
1. Le RGPD (depuis 2018)
Règle dès qu'une donnée personnelle est traitée par une IA. S'applique à toute donnée permettant d'identifier directement ou indirectement une personne (nom, email, téléphone, adresse, IP, données comportementales). Les principes clés : base légale, minimisation, durée de conservation, droits des personnes (accès, rectification, effacement).
2. L'AI Act européen (en application progressive depuis 02/2025)
Texte spécifique à l'IA, qui complète le RGPD. Classe les systèmes IA en 4 niveaux de risque : interdit (manipulation, scoring social), haut risque (recrutement, médical, infrastructures), risque limité (chatbots, IA générative), risque minimal. L'usage de ChatGPT/Mistral/Claude pour des tâches bureautiques tombe en risque limité — obligations légères.
Le réflexe à adopter : avant chaque nouvel usage d'IA, posez-vous deux questions. 1) Est-ce que je traite des données personnelles ? Si oui, RGPD s'applique. 2) Est-ce que l'IA prend une décision automatisée à impact pour une personne (embauche, refus de crédit, etc.) ? Si oui, AI Act haut risque, obligations lourdes. Sinon, on est sur du risque limité, manageable.
Ce que vous AVEZ le droit de faire
La liste des usages 100 % conformes pour une PME en 2026 est plus longue qu'on ne pense.
- Rédiger des contenus marketing (posts sociaux, articles, fiches produits) à partir de briefs anonymisés. Aucune donnée perso.
- Synthétiser des documents internes (procédures, comptes-rendus, devis fournisseurs) sans données client identifiables.
- Brainstormer des noms, slogans, idées. Tâches créatives sans données perso.
- Préparer des réponses aux avis Google, en utilisant uniquement le prénom et le contenu public de l'avis (déjà publié par l'utilisateur).
- Traduire des documents sans données personnelles.
- Coder des scripts, formules Excel, requêtes SQL avec des données fictives ou anonymisées.
- Rédiger des emails commerciaux avec contexte (« relance pour un devis de 4 200 € envoyé le 12 juin ») sans coller l'email du destinataire en clair.
- Utiliser un chatbot site/WhatsApp avec un DPA signé et information du visiteur. Voir notre article sur les chatbots WhatsApp pour PME.
Ce que vous N'AVEZ PAS le droit de faire
La liste rouge est courte mais critique.
- Coller un fichier client (Excel, CRM export) dans ChatGPT gratuit contenant nom + email + téléphone. Données personnelles transmises sans base légale claire, et selon les versions, utilisées pour entraîner les modèles.
- Saisir des données de santé identifiables (« Mme Dupont, 58 ans, diabète type 2, traitement Metformine ») dans une IA non spécialisée santé. Données sensibles, traitement très encadré.
- Automatiser un tri de CV ou un scoring de candidats via IA sans cadrage AI Act. Catégorie haut risque, AIPD obligatoire, information des candidats.
- Générer des contenus deepfake (voix, visage) sans consentement écrit des personnes concernées.
- Manipuler le comportement de visiteurs via IA (techniques subliminales) — interdit par l'AI Act.
- Faire passer pour humain un assistant IA dans une conversation client. Obligation de transparence AI Act.
Le comparatif RGPD des principaux outils en 2026
| Outil | Hébergement | Version recommandée PME | Conformité RGPD |
|---|---|---|---|
| Mistral Le Chat | France / UE | Le Chat Pro | ★★★★★ Le plus simple à justifier |
| Claude (Anthropic) | Option AWS EU (Frankfurt) | Team / Enterprise | ★★★★☆ DPA solide, option EU |
| ChatGPT (OpenAI) | États-Unis (clauses contractuelles types) | Team / Enterprise | ★★★☆☆ Conforme avec DPA, transfert hors UE à documenter |
| ChatGPT gratuit | États-Unis, données entraînent les modèles | À éviter en pro | ★☆☆☆☆ Usage perso uniquement |
| Gemini (Google) | Workspace EU dispo | Workspace Business | ★★★★☆ Si déjà sur Google Workspace |
| Copilot (Microsoft 365) | Tenant EU Microsoft | Copilot for M365 | ★★★★☆ Si déjà sur Microsoft 365 |
Le critère décisif n'est pas seulement l'hébergement, c'est l'engagement contractuel de ne pas réutiliser vos données pour entraîner les modèles. Toutes les versions Team/Enterprise/Pro le garantissent. La version gratuite, non.
La checklist en 7 points pour rester clean
1. Basculer en version professionnelle
Toute utilisation business de ChatGPT, Claude ou Mistral doit passer par les versions Team / Enterprise / Pro. Coût mensuel par utilisateur : 20 à 30 € HT. C'est ridicule comparé aux 5 000 € à 150 000 € d'amende CNIL potentielle.
2. Documenter dans le registre des traitements
Ajouter une fiche « Usage IA générative » dans votre registre RGPD : finalité (rédaction, synthèse), bases légales (intérêt légitime, contrat client), durée de conservation, sous-traitant (OpenAI, Mistral, Anthropic), garanties contractuelles (DPA signé).
3. Signer un DPA avec votre fournisseur IA
Tous les fournisseurs sérieux proposent un Data Processing Addendum (DPA) à signer. Pour OpenAI, c'est dans Settings → Compliance. Pour Mistral, lors de la souscription Pro. C'est gratuit et obligatoire dès qu'il y a données personnelles dans les prompts.
4. Établir une charte interne IA d'une page
Une page maximum, partagée à chaque salarié. Contenu type : outils autorisés, données interdites, processus d'anonymisation, référent IA interne, exemples concrets « OK / pas OK ». Faire signer à la lecture.
5. Former l'équipe 2 à 4 heures
Atelier pratique : comment formuler un prompt sans données perso, comment anonymiser un cas client en 30 secondes, comment utiliser Team plutôt que Gratuit, comment gérer le doute (« en cas de doute, on ne saisit pas »). Investissement minime pour 90 % du risque éliminé. Voir notre article sur les 12 usages ChatGPT concrets en PME.
6. Informer clients et salariés
Mentionner l'usage d'outils IA dans votre politique de confidentialité (section sous-traitants). Pour les salariés, mentionner dans le règlement intérieur ou note de service. Pas besoin de consentement explicite si la base légale est l'intérêt légitime — mais l'information est obligatoire.
7. Revue trimestrielle
Un point de 30 minutes tous les 3 mois avec le référent IA : nouveaux usages, incidents, mise à jour de la charte si nécessaire. Le cadre IA évolue vite — ce qui est OK aujourd'hui peut être encadré dans 6 mois.
Les sanctions réelles observées en France
Les amendes spectaculaires (millions d'euros) concernent essentiellement les très grandes entreprises. Pour une PME, voici les ordres de grandeur observés en 2024-2025.
| Manquement constaté | Amende moyenne PME | Issue typique |
|---|---|---|
| Pas de registre des traitements | 3 000 € – 15 000 € | Mise en demeure puis amende si pas corrigé |
| Transmission de données à sous-traitant sans DPA | 10 000 € – 50 000 € | Amende + obligation de mise en conformité |
| Pas d'information des personnes concernées | 5 000 € – 30 000 € | Mise en demeure, généralement clos sans amende si corrigé |
| Traitement de données sensibles sans consentement | 30 000 € – 150 000 € | Amende + publication possible |
| Système IA à haut risque sans AIPD | 50 000 € – 200 000 € | Amende + interdiction du traitement |
La CNIL privilégie généralement la mise en demeure avant la sanction, surtout pour une PME de bonne foi. Le scénario catastrophe (amende lourde + publication) reste l'exception et concerne essentiellement les manquements graves et répétés.
Le cas particulier de l'IA en relation client
Si vous utilisez un chatbot site, une standardiste IA vocale ou un assistant WhatsApp connecté à vos clients, le cadre se renforce.
- Transparence obligatoire (AI Act) : le client doit savoir qu'il parle à une IA, dès le premier message ou la première réponse vocale.
- Information préalable : mention dans la politique de confidentialité, dans la signature email, sur le site web.
- Données minimales : ne pas demander à l'IA de stocker plus que nécessaire pour répondre.
- Possibilité de basculer vers un humain : pas légalement obligatoire en risque limité, mais fortement recommandé pour la confiance.
- Sous-traitance : si vous utilisez une plateforme tierce (Voiceflow, Botpress, Make.com), DPA obligatoire.
Pour des cas concrets, voir notre retour d'expérience standardiste IA vocale.
À retenir
- L'IA est parfaitement légale en PME française en 2026, sous 5 conditions : version pro, pas de données perso sans cadre, registre, information, formation.
- Mistral et Claude (option EU) sont les plus simples à justifier juridiquement. ChatGPT est OK avec DPA et version Team/Enterprise.
- Jamais coller fichier client en clair dans la version gratuite. C'est la première règle.
- L'AI Act distingue 4 niveaux de risque. La majorité des usages PME sont en « risque limité » avec obligations légères (transparence, information).
- Investissement minimum à faire cette semaine : charte interne, DPA signé, registre RGPD mis à jour. 2 à 3 heures de travail, qui élimine 90 % du risque.