« On veut utiliser ChatGPT au bureau, mais on entend que c'est interdit en France ». Faux. « On peut tout y mettre tant qu'on est en mode privé ». Faux aussi. La vérité tient en cinq règles claires que cet article démêle, avec ce qu'autorise et interdit concrètement le couple RGPD + AI Act en 2026 pour une PME française.

Pas de juridisme inutile, pas d'alarme exagérée : ce qui marche, ce qui ne marche pas, et la checklist à appliquer cette semaine pour rester clean.

Le cadre légal qui s'applique en 2026

Deux textes principaux régissent l'usage de l'IA en entreprise française.

1. Le RGPD (depuis 2018)

Règle dès qu'une donnée personnelle est traitée par une IA. S'applique à toute donnée permettant d'identifier directement ou indirectement une personne (nom, email, téléphone, adresse, IP, données comportementales). Les principes clés : base légale, minimisation, durée de conservation, droits des personnes (accès, rectification, effacement).

2. L'AI Act européen (en application progressive depuis 02/2025)

Texte spécifique à l'IA, qui complète le RGPD. Classe les systèmes IA en 4 niveaux de risque : interdit (manipulation, scoring social), haut risque (recrutement, médical, infrastructures), risque limité (chatbots, IA générative), risque minimal. L'usage de ChatGPT/Mistral/Claude pour des tâches bureautiques tombe en risque limité — obligations légères.

Le réflexe à adopter : avant chaque nouvel usage d'IA, posez-vous deux questions. 1) Est-ce que je traite des données personnelles ? Si oui, RGPD s'applique. 2) Est-ce que l'IA prend une décision automatisée à impact pour une personne (embauche, refus de crédit, etc.) ? Si oui, AI Act haut risque, obligations lourdes. Sinon, on est sur du risque limité, manageable.

Ce que vous AVEZ le droit de faire

La liste des usages 100 % conformes pour une PME en 2026 est plus longue qu'on ne pense.

Ce que vous N'AVEZ PAS le droit de faire

La liste rouge est courte mais critique.

Le comparatif RGPD des principaux outils en 2026

Outil Hébergement Version recommandée PME Conformité RGPD
Mistral Le Chat France / UE Le Chat Pro ★★★★★ Le plus simple à justifier
Claude (Anthropic) Option AWS EU (Frankfurt) Team / Enterprise ★★★★☆ DPA solide, option EU
ChatGPT (OpenAI) États-Unis (clauses contractuelles types) Team / Enterprise ★★★☆☆ Conforme avec DPA, transfert hors UE à documenter
ChatGPT gratuit États-Unis, données entraînent les modèles À éviter en pro ★☆☆☆☆ Usage perso uniquement
Gemini (Google) Workspace EU dispo Workspace Business ★★★★☆ Si déjà sur Google Workspace
Copilot (Microsoft 365) Tenant EU Microsoft Copilot for M365 ★★★★☆ Si déjà sur Microsoft 365

Le critère décisif n'est pas seulement l'hébergement, c'est l'engagement contractuel de ne pas réutiliser vos données pour entraîner les modèles. Toutes les versions Team/Enterprise/Pro le garantissent. La version gratuite, non.

La checklist en 7 points pour rester clean

1. Basculer en version professionnelle

Toute utilisation business de ChatGPT, Claude ou Mistral doit passer par les versions Team / Enterprise / Pro. Coût mensuel par utilisateur : 20 à 30 € HT. C'est ridicule comparé aux 5 000 € à 150 000 € d'amende CNIL potentielle.

2. Documenter dans le registre des traitements

Ajouter une fiche « Usage IA générative » dans votre registre RGPD : finalité (rédaction, synthèse), bases légales (intérêt légitime, contrat client), durée de conservation, sous-traitant (OpenAI, Mistral, Anthropic), garanties contractuelles (DPA signé).

3. Signer un DPA avec votre fournisseur IA

Tous les fournisseurs sérieux proposent un Data Processing Addendum (DPA) à signer. Pour OpenAI, c'est dans Settings → Compliance. Pour Mistral, lors de la souscription Pro. C'est gratuit et obligatoire dès qu'il y a données personnelles dans les prompts.

4. Établir une charte interne IA d'une page

Une page maximum, partagée à chaque salarié. Contenu type : outils autorisés, données interdites, processus d'anonymisation, référent IA interne, exemples concrets « OK / pas OK ». Faire signer à la lecture.

5. Former l'équipe 2 à 4 heures

Atelier pratique : comment formuler un prompt sans données perso, comment anonymiser un cas client en 30 secondes, comment utiliser Team plutôt que Gratuit, comment gérer le doute (« en cas de doute, on ne saisit pas »). Investissement minime pour 90 % du risque éliminé. Voir notre article sur les 12 usages ChatGPT concrets en PME.

6. Informer clients et salariés

Mentionner l'usage d'outils IA dans votre politique de confidentialité (section sous-traitants). Pour les salariés, mentionner dans le règlement intérieur ou note de service. Pas besoin de consentement explicite si la base légale est l'intérêt légitime — mais l'information est obligatoire.

7. Revue trimestrielle

Un point de 30 minutes tous les 3 mois avec le référent IA : nouveaux usages, incidents, mise à jour de la charte si nécessaire. Le cadre IA évolue vite — ce qui est OK aujourd'hui peut être encadré dans 6 mois.

Les sanctions réelles observées en France

Les amendes spectaculaires (millions d'euros) concernent essentiellement les très grandes entreprises. Pour une PME, voici les ordres de grandeur observés en 2024-2025.

Manquement constaté Amende moyenne PME Issue typique
Pas de registre des traitements 3 000 € – 15 000 € Mise en demeure puis amende si pas corrigé
Transmission de données à sous-traitant sans DPA 10 000 € – 50 000 € Amende + obligation de mise en conformité
Pas d'information des personnes concernées 5 000 € – 30 000 € Mise en demeure, généralement clos sans amende si corrigé
Traitement de données sensibles sans consentement 30 000 € – 150 000 € Amende + publication possible
Système IA à haut risque sans AIPD 50 000 € – 200 000 € Amende + interdiction du traitement

La CNIL privilégie généralement la mise en demeure avant la sanction, surtout pour une PME de bonne foi. Le scénario catastrophe (amende lourde + publication) reste l'exception et concerne essentiellement les manquements graves et répétés.

Le cas particulier de l'IA en relation client

Si vous utilisez un chatbot site, une standardiste IA vocale ou un assistant WhatsApp connecté à vos clients, le cadre se renforce.

Pour des cas concrets, voir notre retour d'expérience standardiste IA vocale.

À retenir

  • L'IA est parfaitement légale en PME française en 2026, sous 5 conditions : version pro, pas de données perso sans cadre, registre, information, formation.
  • Mistral et Claude (option EU) sont les plus simples à justifier juridiquement. ChatGPT est OK avec DPA et version Team/Enterprise.
  • Jamais coller fichier client en clair dans la version gratuite. C'est la première règle.
  • L'AI Act distingue 4 niveaux de risque. La majorité des usages PME sont en « risque limité » avec obligations légères (transparence, information).
  • Investissement minimum à faire cette semaine : charte interne, DPA signé, registre RGPD mis à jour. 2 à 3 heures de travail, qui élimine 90 % du risque.