L’AI Act européen est entré en application progressive depuis 2024. Les obligations fortes tombent entre février 2025 (IA prohibées) et août 2026 (IA à haut risque). En parallèle, la CNIL a publié 7 recommandations IA depuis 2024 qui précisent le RGPD. Voici ce que ça change pour une PME française qui déploie ou veut déployer un agent IA en 2026.
Attention : ce guide est un repère pratique, pas un avis juridique. Pour un projet sensible (santé, RH, finance), consultez un avocat spécialisé. Nous travaillons avec 2-3 cabinets qu’on recommande.
Le TL;DR pour un dirigeant pressé
- DPA obligatoire avec votre fournisseur LLM. Anthropic, OpenAI, Mistral en fournissent un. Le signer avant de pousser de la donnée client.
- Région EU obligatoire pour les données personnelles clients, RH, ou prospects EU. Bedrock EU, Anthropic EU direct, Azure EU, Mistral FR — tous OK.
- Zéro rétention / zéro training à activer dans les plans entreprise (pas par défaut sur les plans gratuits et basiques).
- Information des personnes concernées obligatoire dès qu’une décision automatisée affecte un client / employé. Mention dans votre politique + droit d’opposition.
- Registre des traitements à jour — ajouter le traitement IA comme tout autre traitement (base légale, durée, destinataires).
- Analyse d’impact (AIPD) obligatoire pour certains usages IA (RH, décision automatisée à effet juridique, scoring client).
Si vous cochez ces 6 points, vous êtes en conformité pour 85 % des cas PME. Pour les 15 % restants (santé, finance régulée, décision à fort impact), lire la suite.
Ce que change l’AI Act à partir de 2026
L’AI Act classe les systèmes IA en 4 niveaux :
| Niveau | Exemples | Obligations |
|---|---|---|
| Prohibé | Notation sociale, reconnaissance émotions au travail | Interdit depuis février 2025 |
| Haut risque | CV screening, scoring crédit, examens médicaux | Documentation + supervision humaine + audits (août 2026) |
| Transparence | Chatbots clients, deepfakes, contenu IA | Étiquetage “généré par IA” obligatoire |
| Minimal | Filtres anti-spam, recommandations produit | Pas d’obligation spécifique |
Pour une PME typique (assistant commercial, support client, génération de contenu) : vous êtes dans “transparence” au maximum. Les obligations sont :
- Étiquetage : les contenus générés par IA doivent être identifiables. Concrètement : mention “Cette réponse est générée par IA, cliquez ici pour parler à un humain” sur les chatbots externes. Sur un outil interne, la mention peut être dans le footer de l’outil.
- Information de la personne : votre charte RGPD doit mentionner l’usage de l’IA.
Pour les PME RH (logiciel de tri de CV automatique, interviews automatisées) : vous êtes dans “haut risque”. Obligations lourdes à partir d’août 2026 :
- Documentation technique du système (architecture, datasets, tests).
- Supervision humaine effective (pas un simple bouton “approuver”).
- Monitoring de biais sur 6 mois minimum.
- Audit externe tous les 2 ans.
Si vous êtes dans cette catégorie, c’est pas un projet Kezify à 40 k€, c’est un programme de conformité à 6 chiffres. On refuse ces projets et on vous redirige vers des cabinets spécialisés.
Le DPA — ce qu’il faut vérifier
Le Data Processing Agreement est votre socle de conformité. Les DPA types des fournisseurs couvrent l’essentiel, mais vérifiez explicitement :
Clauses critiques à valider
| Clause | Ce qui doit y être | Drapeau rouge |
|---|---|---|
| Localisation | Serveurs dans UE nommés | ”Possibilité d’utiliser des sous-traitants hors UE” sans autorisation |
| Sous-traitants | Liste nommée + notification 30j en cas de changement | ”Peut changer à tout moment” |
| Zéro rétention | Explicite, avec durée max conservation | Flou sur “cache technique” |
| Zéro training | Explicite : vos données ne sont pas utilisées pour entraîner | ”Peut être utilisé à des fins d’amélioration produit” |
| Suppression | Délai de suppression en cas de fin de contrat | Absent ou > 30 jours |
| Notification faille | 72h maxi | > 72h ou flou |
| Audit | Droit d’audit ou rapport SOC 2 Type 2 | Absent |
État 2026 des DPA chez les 3 principaux
Anthropic (Claude) : DPA public standard + addendum EU. Bedrock EU hérite des clauses AWS. Zéro rétention configurable sur Claude for Work + API entreprise. Clause zéro training par défaut. Verdict : conforme par défaut.
OpenAI (GPT) : DPA standard + addendum EU + Azure DPA distinct si via Azure. Zéro rétention activable sur ChatGPT Enterprise + API entreprise. Clause zéro training via API entreprise. Verdict : conforme si sur Enterprise ou Azure EU.
Mistral : DPA public, hébergement France natif, zéro rétention par défaut, zéro training par défaut. Verdict : le plus simple à défendre devant une CNIL.
Zéro rétention / zéro training — pourquoi c’est critique
Par défaut, la plupart des API LLM gardent vos requêtes 30 jours pour raison de monitoring abuse. Sur un plan entreprise, vous pouvez désactiver ça. C’est obligatoire pour :
- Toute donnée client à caractère personnel.
- Toute donnée RH interne.
- Tout secret industriel / commercial.
Activation concrète :
- Anthropic : flag
zero_retentiondans les headers API, ou organisation entreprise avec le flag activé globalement. - OpenAI : ChatGPT Enterprise + API avec flag
zero_data_retention(nécessite contrat entreprise). - Mistral : par défaut sur l’offre cloud hébergée en France.
Attention : “zéro rétention” ne veut pas dire “impossible à capter par l’Etat du siège du fournisseur”. Pour les données extrêmement sensibles (défense, santé, gov), Mistral on-prem ou hébergement souverain reste la seule réponse. AWS et Azure restent soumis au CLOUD Act américain même sur serveurs EU.
Les cas où on bascule vers Mistral souverain
Nos critères de bascule obligatoire vers Mistral FR / on-prem :
- Santé : données patient RNIPP, données de santé au sens L1111-8 CSP.
- Défense : données OIV, données classifiées.
- Finance régulée : scoring crédit, données AML en décision automatisée.
- RH sensible : données syndicales, données de santé RH.
- Client qui refuse CLOUD Act : position assumée par certains grands groupes, justifiée notamment dans le gouvernement, certains secteurs.
Pour tout le reste (support client, marketing, commercial, gestion documentaire standard), Claude EU ou GPT EU avec DPA propre suffisent.
L’AIPD (Analyse d’Impact Protection des Données) — quand est-elle obligatoire
La CNIL impose une AIPD dans les cas suivants, et l’IA déclenche souvent ces critères :
- Décision automatisée produisant un effet juridique (crédit, RH).
- Traitement à grande échelle de données sensibles.
- Scoring ou profilage.
- Surveillance systématique.
Concrètement pour un cas PME :
- Un assistant support client qui répond à des questions → pas d’AIPD (pas de décision automatisée).
- Un assistant RH qui pré-classe des CV avec décision humaine derrière → AIPD recommandée, pas obligatoire si pas de décision finale automatisée.
- Un système qui filtre automatiquement les CV et en supprime sans humain → AIPD obligatoire + risque AI Act “haut risque”.
Durée d’une AIPD faite correctement : 2-4 semaines, 5-15 k€ chez un prestataire spécialisé. À budgéter séparément du projet IA.
Les 3 clauses qu’on ajoute systématiquement aux contrats IA chez Kezify
Dans nos contrats clients, on inclut d’office :
- Garantie zéro rétention active : le client peut demander à tout moment une capture écran des paramètres LLM prouvant zéro rétention.
- Liste blanche des fournisseurs : seuls les fournisseurs listés peuvent être utilisés pour le projet. Changement impossible sans avenant écrit.
- Exit plan : à la fin du contrat, toutes les données client restent sur le tenant client, tous les logs sont exportés et effacés côté Kezify.
Ces 3 clauses font économiser 95 % des audits RGPD post-déploiement.
Ce qu’on refuse
Dans le cadre de la conformité, on dit non à :
- Déployer un agent IA sans DPA signé du fournisseur.
- Utiliser un plan “gratuit” ou “standard” pour de la donnée client réelle.
- Ignorer l’étiquetage “IA” sur un chatbot externe.
- Créer des décisions 100 % automatisées dans un cas “haut risque” AI Act.
Un projet qui ne peut pas se faire proprement ne doit pas se faire. Un client qui insiste se voit proposer un autre scope.
La checklist RGPD-IA PME pour 2026
- DPA signé avec le fournisseur LLM, région EU.
- Plan avec zéro rétention + zéro training activés.
- Traitement IA ajouté au registre RGPD.
- Politique de confidentialité mise à jour.
- Étiquetage IA visible sur les interfaces externes.
- Fallback humain visible pour les utilisateurs.
- Clause “exit plan” dans le contrat prestataire.
- AIPD faite si cas “haut risque” ou “scoring”.
- DPO informé (obligatoire ou simple bonne pratique).
- Utilisateurs internes formés au bon usage.
Votre cas à valider
Si vous avez un projet IA en préparation et que vous voulez un avis rapide sur sa conformité, 30 minutes au téléphone. On vous dit ce qui passe et ce qui nécessite un cadrage juridique renforcé. Sans engagement.
Pour aller plus loin
- Claude vs GPT vs Mistral pour une PME française — lequel choisir en 20… — Comparaison technique et économique des 3 principaux LLM pour une
- RGPD et ChatGPT en entreprise — comment être conforme en 2026 — Utiliser ChatGPT en entreprise en restant conforme RGPD en 2026
- Cas client — automatisation recrutement chez un cabinet RH Lyon (+35 %… — Comment nous avons augmenté de 35 % la capacité de
- L’IA pour la banque et la finance en 2026 — conformité, risque, produc… — KYC/AML, analyse risque crédit, support client conforme, anti-fraude, reporting CSRD
- ChatGPT Team vs Claude Team vs Mistral Le Chat Pro — quelle souscripti… — Comparatif des 3 souscriptions IA équipe leaders en 2026
- L’IA pour un cabinet d’avocats français — rédaction, veille, confident… — Cas d’usage IA conformes pour un cabinet d’avocats français en