RGPD et IA générative : pourquoi vos données ne doivent pas quitter l'UE

Vous utilisez ChatGPT, Gemini ou l'API Anthropic pour vos workflows internes ? Si vos données contiennent des informations sur des personnes (clients, employés, prospects), vous avez très probablement une obligation RGPD que vous ignorez peut-être. Voici ce que vous devez savoir.

Le problème : où vont vos données quand vous appelez une API IA ?

Quand votre application envoie un prompt à OpenAI, Google ou Anthropic, les données transitent vers des serveurs américains. Ces entreprises sont soumises au Cloud Act américain (2018), qui autorise les autorités fédérales américaines à accéder aux données stockées par ces sociétés, même hébergées en Europe.

Le RGPD (Règlement Général sur la Protection des Données), en vigueur depuis 2018 dans l'UE, encadre strictement ces transferts. Le Privacy Shield, qui facilitait les transferts UE-États-Unis, a été annulé par la Cour de Justice de l'UE en 2020 (arrêt Schrems II). Son successeur, le Data Privacy Framework, fait l'objet de contestations similaires.

Ce qui est considéré comme "donnée personnelle"

Le RGPD définit la donnée personnelle très largement : toute information permettant d'identifier directement ou indirectement une personne physique. Dans un contexte IA, cela inclut :

• Noms, prénoms, emails de clients dans un prompt de service client
• Données RH passées au modèle pour résumer des entretiens
• Numéros de contrat, IBAN, numéros de sécurité sociale
• Contenus de conversations ou tickets de support
• Adresses IP dans des logs analysés par LLM
• Photos, voix (si vous utilisez des modèles multimodaux)

Tableau des risques par fournisseur

Fournisseur	Siège	Données conservées ?	Niveau de risque RGPD
OpenAI API	USA	Non (API), mais possible en cas de violation ou réquisition légale	Élevé
Google Gemini API	USA	Données utilisées pour améliorer les modèles si non opt-out	Élevé
Anthropic Claude	USA	Non par défaut (Enterprise), mais soumis au Cloud Act	Modéré
Mistral AI (API)	France 🇫🇷	Non déclaré pour entraînement (politique à vérifier)	Modéré
LLM auto-hébergé (Heberking AI)	Votre infra	Jamais — les données ne quittent pas vos serveurs	Aucun

Les trois scénarios à risque les plus courants

1. Le chatbot de service client

Votre service client utilise un LLM pour résumer les tickets ou suggérer des réponses. Les tickets contiennent le nom du client, son adresse, parfois son numéro de commande. Chaque appel API envoie des données personnelles hors UE.

2. L'assistant RH

Vous utilisez un LLM pour analyser des CV, rédiger des évaluations de performance ou résumer des entretiens. Les données de salariés sont des données personnelles protégées. Le transfert hors UE sans accord de traitement conforme est illégal.

3. La revue de code / documentation interne

Vous pensez que le code source ne contient pas de données personnelles ? Regardez de plus près : tokens d'API hardcodés, emails dans les commentaires, noms de clients dans les variables, logs parsés. Les données se glissent partout.

Que dit la CNIL ?

La CNIL a publié plusieurs recommandations sur l'IA générative en 2024-2025. Les points clés :

• Information des personnes : vous devez informer vos utilisateurs que leurs données peuvent être traitées par un LLM tiers.
• Analyse d'impact (AIPD) : obligatoire pour tout traitement "susceptible d'engendrer un risque élevé pour les droits et libertés".
• Contrats de sous-traitance : si vous utilisez une API IA pour traiter des données pour un client, un DPA (Data Processing Agreement) conforme est requis.
• Base légale : l'intérêt légitime seul ne suffit généralement pas pour des transferts hors UE de données sensibles.

La solution : garder les données en Europe

La seule façon de se mettre totalement hors de portée des risques RGPD liés aux transferts hors UE est de traiter les données sur votre propre infrastructure, hébergée en Europe.

Les modèles open source comme Gemma 4 (Google), LLaMA 3.3 (Meta) ou Mistral peuvent être déployés sur vos serveurs. Vous bénéficiez d'une IA de qualité comparable aux API cloud, avec une confidentialité totale.

Ce que ça change concrètement

• Vos prompts ne quittent jamais vos serveurs
• Aucun tiers américain n'a accès à vos données
• Vous maîtrisez totalement la durée de conservation et la suppression
• Vous pouvez effectuer une AIPD sans avoir à lister un sous-traitant américain
• Vos clients peuvent vous demander une attestation de conformité RGPD sans problème

Quel modèle choisir pour rester conforme ?

Les modèles open source modernes couvrent la majorité des cas d'usage. En 2026, avec la quantization Q4_K_M, vous pouvez faire tourner des modèles 7-9B sur un serveur standard sans GPU haut de gamme.

Cas d'usage	Modèle recommandé	Paramètres	Infra requise
Service client, résumé	Gemma 4 9B	9B	GPU 6 Go ou CPU 32 Go RAM
Code, documentation	LLaMA 3.3 8B	8B	GPU 5.5 Go ou CPU 32 Go RAM
Classification, extraction	Phi-4 Mini	3.8B	CPU 16 Go RAM
Chatbot simple, RAG	Gemma 4 4B	4B	CPU 8 Go RAM

Conclusion

Le RGPD n'est pas une option. Pour les entreprises qui traitent des données personnelles avec des LLM, l'auto-hébergement est passé de "bonne pratique" à obligation juridique dans beaucoup de cas. La bonne nouvelle : les modèles open source ont atteint un niveau de qualité qui rend ce choix techniquement viable sans compromis majeur sur les performances.