Service Kezify

Audit RGPD IA — conformité spécifique vos systèmes IA, 3 200 € HT

Audit RGPD ciblé sur vos usages IA : PII en prompts, contrats DPA fournisseurs LLM, AI Act 2026, registre, DPIA, charte d'usage. Rapport sous 10 jours ouvrés.

Durée : 10 jours ouvrés À partir de 3 200 € HT

Ce qui est livré

  • Cartographie des flux de données dans vos systèmes IA (qui envoie quoi à quel modèle)
  • Analyse des contrats fournisseurs LLM (DPA, zéro rétention, localisation EU)
  • Identification des traitements à risque (PII, données sensibles, mineurs)
  • DPIA pour 1 à 2 traitements à haut risque (modèle CNIL adapté à l'IA)
  • Registre des systèmes IA conforme AI Act (catégorie de risque, transparence, supervision humaine)
  • Charte d'usage IA pour vos collaborateurs (prête à signer)
  • Plan d'action priorisé en 3 vagues (immédiat / 30 jours / 90 jours)
  • Session de restitution 1h30 avec votre DPO et votre direction

À qui s’adresse cet audit

Aux DPO, RSSI et directions juridiques de PME et ETI françaises qui ont déployé ou s’apprêtent à déployer des outils IA (Claude Pro, ChatGPT Team, Copilot, Mistral, agents internes, RAG) et qui veulent une lecture experte des risques RGPD spécifiques à l’IA. Symptômes typiques :

  • Vos collaborateurs collent des extraits de contrats clients dans ChatGPT — vous ne savez pas où ces données partent.
  • Vous avez signé un contrat Microsoft Copilot ou Anthropic en B2B mais personne n’a lu le DPA.
  • Vous savez qu’AI Act entre en vigueur courant 2026 mais vous ne savez pas dans quelle catégorie tombent vos systèmes.
  • Votre DPO est compétent en RGPD général mais demande une montée en compétence ciblée IA.

Cet audit n’est pas un audit RGPD générique. C’est un focus laser sur le sous-ensemble IA, avec les bons textes (RGPD + AI Act + lignes directrices CNIL 2024-2026).

Notre méthode en 10 jours

Jours 1-2 — Cartographie des usages IA Entretiens avec votre DPO, votre RSSI et 3-5 chefs d’équipe utilisateurs (commercial, support, RH, etc.). On dresse la liste exhaustive des outils IA utilisés (officiels + shadow IT) et des données qui y transitent.

Jours 3-4 — Analyse contractuelle Lecture de vos contrats LLM en cours : DPA, sous-traitants ultérieurs, localisation des serveurs, rétention, droits d’utilisation des prompts pour l’entraînement. Production d’un tableau de risque par fournisseur.

Jours 5-6 — Évaluation des traitements à risque Pour 1 à 2 traitements identifiés comme à risque (typiquement : PII envoyée à un LLM, ou décisions automatisées affectant des personnes), production d’une DPIA conforme méthodologie CNIL adaptée à l’IA.

Jours 7-8 — Cadrage AI Act Pour chaque système IA en production ou en projet, classification dans les 4 catégories de risque AI Act (interdit / haut / limité / minimal). Identification des obligations spécifiques par catégorie.

Jours 9 — Production du livrable Rapport écrit (~25 pages denses), plan d’action priorisé, registre des systèmes IA conforme, charte d’usage IA prête à diffuser.

Jour 10 — Restitution Session de 1h30 avec votre DPO, votre RSSI et votre direction. Pas un PDF glissé par email : on passe le rapport ensemble, vous contestez, on ajuste.

Les 7 risques qu’on regarde en priorité

  1. PII non sanitizée envoyée aux LLM — emails clients, salaires, données médicales, RIB. Risque le plus fréquent.
  2. Absence de DPA avec votre fournisseur LLM — un compte ChatGPT individuel utilisé en pro est non conforme par défaut.
  3. Données utilisées pour entraîner les modèles — sans opt-out explicite, certains contrats vous engagent.
  4. Localisation extra-EU — un LLM US sans CCT à jour ou sans région EU = transfert non conforme.
  5. Décisions automatisées sans supervision — Article 22 RGPD + AI Act haute risque + obligation d’information.
  6. Profilage commercial via IA — bases légales spécifiques, droits d’opposition à informer.
  7. Shadow IT — collaborateurs qui utilisent ChatGPT perso pour des tâches pro. Le plus difficile à mesurer.

Le tarif et ses contreparties

Audit RGPD IA Kezify — 3 200 € HT, prix fixe, facturé à 50 % à la signature / 50 % à la restitution.

Inclut :

  • 5 jours-homme de consultant senior (juriste IA + technique LLM)
  • Tous les entretiens (DPO, RSSI, chefs d’équipe)
  • L’analyse contractuelle de jusqu’à 5 fournisseurs LLM
  • 1 à 2 DPIA pour traitements à haut risque
  • Le registre IA conforme AI Act
  • La charte d’usage IA prête à diffuser
  • La session de restitution 1h30

N’inclut pas : la rédaction de DPIA pour plus de 2 traitements (au-delà, devis complémentaire), ni la mise en œuvre des actions correctives identifiées (ça peut relever de notre accompagnement IA 3 mois).

Pourquoi un audit RGPD spécifique IA

Parce que l’IA introduit des risques que ni le RGPD seul, ni un audit RGPD générique, ne couvrent intégralement. Trois exemples :

  • Un prompt système peut contenir des données de tiers (ex : un commercial colle un email client pour le faire reformuler). Aucun audit RGPD générique ne descend à ce niveau.
  • L’AI Act crée des obligations nouvelles (transparence, supervision humaine, registre, étiquetage des contenus IA) qui ne sont pas dans le RGPD.
  • Les contrats LLM contiennent des clauses spécifiques (rétention, entraînement, fine-tuning) qui ne sont pas standardisées par les CCT classiques.

Un audit RGPD générique vous dit “vous êtes conforme RGPD”. Un audit RGPD IA vous dit aussi “voici les 5 risques spécifiques à votre stack IA et comment les corriger”.

FAQ

Notre DPO est déjà sur le sujet — qu’apportez-vous de plus ? Une compétence technique LLM dont la plupart des DPO ne disposent pas. Quand votre DPO sait identifier un risque RGPD, il ne sait pas forcément si Anthropic a un DPA EU à jour, ni si le caching prompt d’OpenAI conserve vos données 30 jours. C’est notre rôle.

On utilise Microsoft Copilot — est-ce conforme par défaut ? Probablement, sous conditions (configuration tenant, opt-out training, choix région). Mais “probablement” et “par défaut” sont rarement vrais ensemble. On regarde votre tenant réel, pas la brochure marketing.

Et si on n’a pas de DPO ? Si vous êtes obligé d’en avoir un (article 37 RGPD), on vous dit. Si vous êtes en option, on peut faire l’audit sans DPO interne en travaillant directement avec votre direction et votre RSSI.

L’audit donne-t-il une certification ? Non. C’est un état des lieux + plan d’action, pas une certification. La certification AI Act n’existe pas encore en mai 2026 (les organismes notifiés sont en cours de désignation).

TODO Hugo : confirmer le statut de notre certification CDPO / DPO conseil pour rassurer.

Prochaine étape

30 minutes au téléphone avec votre DPO ou votre direction juridique pour comprendre votre contexte (taille, secteur, outils IA en place) et qualifier si l’audit est pertinent maintenant.

Pour aller plus loin