Résumé exécutif
- Déployer un agent IA qui traite des données personnelles sans cadre RGPD peut exposer votre entreprise à des amendes jusqu’à 4% du chiffre d’affaires mondial.
- La plupart des agents IA SaaS (ChatGPT, Claude, Gemini) hébergent les données aux États-Unis — ce qui est juridiquement problématique sans garanties spécifiques.
- Ce guide donne une checklist complète pour déployer un agent IA conforme en Belgique.
Pourquoi le RGPD s’applique à vos agents IA
Un agent IA qui interagit avec des utilisateurs ou traite des données clients est un traitement de données personnelles au sens du RGPD. Cela inclut :
- Un chatbot sur votre site qui recueille le nom et l’email d’un visiteur
- Un agent IA qui lit et répond à des emails clients
- Un assistant IA qui accède aux fichiers RH de votre entreprise
- Un système d’automatisation qui traite des données de prospects
Dans tous ces cas, vous êtes responsable du traitement (ou co-responsable si vous utilisez un sous-traitant comme OpenAI). Cela implique des obligations concrètes.
Partie 1 : Avant le déploiement
1.1 Cartographier les données traitées
Listez précisément quelles données personnelles votre agent IA va traiter :
| Donnée | Catégorie | Source | Durée de conservation |
|---|---|---|---|
| Nom + email | Ordinaire | Formulaire site | 3 ans |
| Contenu des emails | Ordinaire | Boîte mail | 1 an |
| Données médicales | Sensible (Art. 9) | — | À éviter |
Points de vigilance :
- Les données sensibles (santé, origine ethnique, opinions politiques, données biométriques) nécessitent une base légale renforcée et sont généralement à éviter dans les agents IA grand public.
- Les conversations elles-mêmes sont des données personnelles si elles permettent d’identifier une personne.
1.2 Identifier la base légale du traitement
Pour chaque traitement, vous devez avoir une base légale valide :
- Contrat : le traitement est nécessaire à l’exécution d’un contrat (ex : agent IA de support client dans le cadre d’un service souscrit)
- Intérêt légitime : le traitement sert un intérêt légitime qui ne prévaut pas sur les droits de la personne (ex : amélioration du service, prospection B2B)
- Consentement : la personne a donné son accord explicite (attention : le consentement doit être libre, spécifique, éclairé et univoque)
- Obligation légale : le traitement est imposé par la loi
À éviter : utiliser “intérêt légitime” comme base par défaut sans véritable analyse de proportionnalité.
1.3 Évaluer la nécessité d’une AIPD
Une Analyse d’Impact sur la Protection des Données (AIPD) est obligatoire si votre agent IA :
- Effectue un profilage systématique à grande échelle
- Traite des données sensibles
- Surveille systématiquement des personnes dans un espace accessible au public
- Prend des décisions automatisées avec des effets juridiques significatifs
Si vous n’êtes pas sûr, consultez le site de l’Autorité de Protection des Données belge (APD) ou un DPO.
Partie 2 : Hébergement et sous-traitance
2.1 Le problème des API IA américaines
Utiliser l’API d’OpenAI, Anthropic, ou Google Gemini signifie que vos données sont envoyées vers des serveurs américains. Légalement, cela est possible sous conditions :
- Clauses contractuelles types (CCT) de l’UE : OpenAI et Anthropic les proposent dans leurs contrats enterprise
- Data Processing Agreement (DPA) signé avec le fournisseur
- Opt-out de l’utilisation pour l’entraînement : à activer obligatoirement via les paramètres API
Démarches concrètes avec OpenAI :
- Créer un compte OpenAI API (pas ChatGPT)
- Accepter les Terms of Service API (les données ne sont pas utilisées pour l’entraînement par défaut)
- Signer le DPA disponible sur openai.com/policies
- Activer la région EU si disponible (Azure OpenAI en région Europe West)
2.2 Alternatives souveraines
Pour les données les plus sensibles, des alternatives existent :
| Solution | Hébergement | Conformité | Note |
|---|---|---|---|
| Azure OpenAI (région EU) | Microsoft EU | RGPD ✓ | Nécessite abonnement Azure |
| Mistral AI | France 🇫🇷 | RGPD natif ✓ | Modèles open source + API |
| Ollama self-hosted | Votre infrastructure | RGPD total ✓ | Nécessite GPU |
| n8n self-hosted + Claude API | VPS EU | RGPD si DPA signé | Solution recommandée NextBrain |
2.3 Registre des sous-traitants
Documentez chaque fournisseur impliqué dans le traitement :
- Nom du sous-traitant
- Pays d’hébergement
- Type de données traitées
- Base légale du transfert
- Lien vers leur DPA
Partie 3 : Information et consentement
3.1 Informer les utilisateurs
Toute personne dont les données sont traitées doit être informée (Article 13 et 14 du RGPD) :
- Identité du responsable du traitement
- Finalité du traitement
- Base légale
- Durée de conservation
- Droits des personnes
- Existence de transferts hors UE
Pour un chatbot : affichez ces informations avant le début de la conversation, ou via un lien vers votre politique de confidentialité. Un simple “En continuant, vous acceptez notre politique de confidentialité [lien]” ne suffit pas pour les données sensibles.
3.2 Gérer les consentements
Si le consentement est votre base légale :
- La case de consentement ne peut pas être pré-cochée
- Le refus ne doit pas empêcher l’accès au service de base
- Le retrait du consentement doit être aussi simple que son octroi
- Gardez une trace horodatée de chaque consentement
3.3 Mentions dans la politique de confidentialité
Votre politique de confidentialité doit mentionner explicitement :
- L’utilisation d’agents IA et de traitements automatisés
- Les sous-traitants IA utilisés (OpenAI, Anthropic, etc.)
- Le droit à ne pas faire l’objet d’une décision entièrement automatisée (si applicable)
Partie 4 : Droits des personnes concernées
4.1 Mettre en place les procédures de traitement des droits
Vous devez être capable de traiter dans les 30 jours :
| Droit | Ce que ça implique |
|---|---|
| Droit d’accès | Fournir toutes les données traitées sur une personne |
| Droit de rectification | Corriger des données inexactes |
| Droit à l’effacement | Supprimer les données (et demander à vos sous-traitants de faire de même) |
| Droit à la portabilité | Fournir les données dans un format lisible par machine |
| Droit d’opposition | Permettre à la personne de s’opposer au traitement |
Pour un agent IA : la suppression des données implique aussi la suppression des historiques de conversation, des embeddings vectoriels, et toute donnée dérivée.
4.2 Procédure de suppression technique
Documentez comment supprimer les données d’une personne dans chaque composant :
- Base de données applicative
- Historiques de conversation
- Embeddings dans la base vectorielle (Pinecone, Weaviate, etc.)
- Logs et analytics
- Données chez les sous-traitants (via leur API ou demande formelle)
Partie 5 : Documentation obligatoire
5.1 Registre des traitements (Article 30)
Tout organisme de 250 salariés+ doit tenir un registre. En dessous de 250, c’est recommandé dès que le traitement n’est pas occasionnel (ce qui est le cas d’un agent IA en production).
Le registre inclut :
- Nom et coordonnées du responsable du traitement
- Finalité du traitement
- Description des catégories de personnes et de données
- Destinataires des données
- Transferts vers des pays tiers et garanties
- Délais de suppression prévus
5.2 Documentation technique à conserver
- Architecture du système (flux de données)
- Configuration de l’agent IA (prompts système)
- Paramètres de sécurité (chiffrement, authentification)
- Politique de rétention des logs
- Tests de sécurité effectués
Checklist finale avant mise en production
Juridique
- Base légale identifiée pour chaque traitement
- DPA signé avec chaque sous-traitant IA
- Politique de confidentialité mise à jour
- Registre des traitements complété
- AIPD réalisée si nécessaire
Technique
- Données hébergées en EU ou transfert légalement encadré
- Opt-out de l’entraînement activé chez les fournisseurs API
- Chiffrement des données en transit et au repos
- Logs limités au strict nécessaire
- Procédure de suppression testée
Opérationnel
- Procédure de traitement des droits documentée
- Délai de réponse 30 jours respecté
- Point de contact RGPD désigné
- Plan de réponse aux violations de données
Ressources utiles
- APD belge : autorité de protection des données belge
- EDPB : European Data Protection Board (guidelines)
- OpenAI DPA : disponible sur openai.com/policies/data-processing-addendum
- Anthropic Privacy : anthropic.com/privacy
Conclusion
La conformité RGPD d’un agent IA n’est pas un obstacle — c’est un avantage concurrentiel. Les PME qui documentent leur conformité et la communiquent à leurs clients établissent une confiance que leurs concurrents moins rigoureux ne peuvent pas offrir.
NextBrain intègre systématiquement les considérations RGPD dans chaque déploiement d’agent IA. Contactez-nous pour un diagnostic gratuit de votre projet.