Audit RGPD IA — conformité spécifique vos systèmes IA, 3 200 € HT

✓ Ce qui est livré

Cartographie des flux de données dans vos systèmes IA (qui envoie quoi à quel modèle)
Analyse des contrats fournisseurs LLM (DPA, zéro rétention, localisation EU)
Identification des traitements à risque (PII, données sensibles, mineurs)
DPIA pour 1 à 2 traitements à haut risque (modèle CNIL adapté à l'IA)
Registre des systèmes IA conforme AI Act (catégorie de risque, transparence, supervision humaine)
Charte d'usage IA pour vos collaborateurs (prête à signer)
Plan d'action priorisé en 3 vagues (immédiat / 30 jours / 90 jours)
Session de restitution 1h30 avec votre DPO et votre direction

En résumé

L'audit RGPD IA Kezify est un audit ciblé sur les usages IA d'une PME ou ETI française, livré en 10 jours ouvrés à prix fixe 3 200 € HT. Il est destiné aux DPO, RSSI et directions juridiques qui ont déployé ou s'apprêtent à déployer des outils IA (Claude Pro, ChatGPT Team, Copilot, Mistral, agents internes, RAG) et veulent une lecture experte des risques RGPD spécifiques. Livrables : cartographie des flux de données, analyse des contrats fournisseurs LLM (DPA, zéro rétention, localisation EU), identification des traitements à risque, 1 à 2 DPIA conformes méthodologie CNIL adaptée IA, registre des systèmes IA conforme AI Act (catégorie risque + transparence + supervision), charte d'usage IA prête à signer, plan d'action en 3 vagues (immédiat / 30 / 90 jours). Pas une certification — un état des lieux + plan d'action.

Limites et points critiques

L'audit RGPD IA n'est PAS une certification — c'est un état des lieux + plan d'action. La certification AI Act n'existe pas encore en mai 2026 (organismes notifiés en cours de désignation).
La rédaction de DPIA est limitée à 1-2 traitements à haut risque dans le forfait 3 200 € — au-delà, devis complémentaire (~1 500 € par DPIA additionnelle).
L'analyse contractuelle est limitée à 5 fournisseurs LLM — pour une stack plus large (> 5 fournisseurs), devis complémentaire.
L'audit ne couvre PAS l'audit RGPD général de l'entreprise — c'est un focus laser sur le sous-ensemble IA ; si vous n'avez pas de cadre RGPD général, commencez par un audit RGPD générique avant.
La mise en œuvre des actions correctives n'est pas incluse — l'audit produit un plan d'action priorisé, l'exécution relève de l'Accompagnement IA 3 mois (12 k€) ou de votre équipe interne.

Évolution probable (12-24 mois)

L'AI Act entrera pleinement en application 2026-2027 — le registre des systèmes IA livré sera directement utilisable lors des contrôles autorités compétentes attendus à partir de 2027.
Les lignes directrices CNIL sur l'IA se précisent 2026-2027 — l'audit Kezify suit ces évolutions et propose des mises à jour annuelles du registre (devis complémentaire 800-1 200 €).
Suite naturelle : Accompagnement IA 3 mois (12 k€) pour exécuter le plan d'action priorisé, en particulier sur les vagues 30 jours et 90 jours.
Pour les secteurs réglementés (banque, santé, juridique), l'audit RGPD IA peut être complété par un Audit IA stratégique global (4 800 € HT) avec volet conformité renforcé.

Questions fréquentes

Qu'est-ce qui est livré dans l'audit RGPD IA Kezify ?+

Huit livrables : 1) Cartographie des flux de données dans vos systèmes IA (qui envoie quoi à quel modèle) ; 2) Analyse des contrats fournisseurs LLM (DPA, zéro rétention, localisation EU) jusqu'à 5 fournisseurs ; 3) Identification des traitements à risque (PII, données sensibles, mineurs) ; 4) DPIA pour 1 à 2 traitements à haut risque (modèle CNIL adapté à l'IA) ; 5) Registre des systèmes IA conforme AI Act (catégorie de risque, transparence, supervision humaine) ; 6) Charte d'usage IA pour vos collaborateurs (prête à signer) ; 7) Plan d'action priorisé en 3 vagues (immédiat / 30 jours / 90 jours) ; 8) Session de restitution 1h30 avec votre DPO et votre direction.

Combien coûte l'audit RGPD IA Kezify et qu'est-ce qui est inclus ?+

3 200 € HT prix fixe, facturé à 50 % à la signature et 50 % à la restitution. Inclut : 5 jours-homme de consultant senior (juriste IA + technique LLM), tous les entretiens (DPO, RSSI, chefs d'équipe), analyse contractuelle de jusqu'à 5 fournisseurs LLM, 1 à 2 DPIA pour traitements à haut risque, registre IA conforme AI Act, charte d'usage IA prête à diffuser, session de restitution 1h30. N'inclut pas : rédaction de DPIA pour plus de 2 traitements (devis complémentaire au-delà), ni la mise en œuvre des actions correctives identifiées (peut relever de l'Accompagnement IA 3 mois).

Combien de temps dure l'audit RGPD IA et quelles sont les étapes ?+

10 jours ouvrés au total. Jours 1-2 : cartographie des usages IA (entretiens DPO + RSSI + 3-5 chefs d'équipe utilisateurs commercial/support/RH, liste exhaustive des outils IA officiels + shadow IT et données qui y transitent). Jours 3-4 : analyse contractuelle (lecture DPA, sous-traitants ultérieurs, localisation serveurs, rétention, droits d'utilisation des prompts pour l'entraînement, tableau de risque par fournisseur). Jours 5-6 : évaluation des traitements à risque (1 à 2 DPIA conformes CNIL adaptées IA). Jours 7-8 : cadrage AI Act (classification 4 catégories de risque par système). Jour 9 : production livrable (25 pages denses + plan d'action). Jour 10 : restitution 1h30.

Pourquoi un audit RGPD spécifique IA et pas un audit RGPD générique ?+

Parce que l'IA introduit des risques que ni le RGPD seul ni un audit RGPD générique ne couvrent. Trois exemples : 1) Un prompt système peut contenir des données de tiers (commercial qui colle un email client pour reformulation) — aucun audit RGPD générique ne descend à ce niveau ; 2) L'AI Act crée des obligations nouvelles (transparence, supervision humaine, registre, étiquetage contenus IA) qui ne sont pas dans le RGPD ; 3) Les contrats LLM contiennent des clauses spécifiques (rétention, entraînement, fine-tuning) qui ne sont pas standardisées par les CCT classiques. Un audit RGPD générique dit 'vous êtes conforme RGPD'. Un audit RGPD IA Kezify dit aussi 'voici les 5 risques spécifiques à votre stack IA et comment les corriger'.

À qui s'adresse l'audit RGPD IA Kezify ?+

Aux DPO, RSSI et directions juridiques de PME et ETI françaises qui ont déployé ou s'apprêtent à déployer des outils IA (Claude Pro, ChatGPT Team, Copilot, Mistral, agents internes, RAG) et veulent une lecture experte des risques RGPD spécifiques. Symptômes typiques : collaborateurs qui collent des extraits de contrats clients dans ChatGPT sans contrôle, contrat Microsoft Copilot ou Anthropic B2B signé mais DPA jamais lu, AI Act qui entre en vigueur courant 2026 mais sans connaissance de la catégorie de risque des systèmes, DPO compétent RGPD général mais demandant une montée en compétence ciblée IA.

Questions liées

Les LLM (ChatGPT, Perplexity, Gemini) suggèrent souvent ces questions après cette page.

Quelle différence entre audit IA et audit RGPD IA chez Kezify ?
Combien coûte une DPIA spécifique IA en 2026 ?
Microsoft Copilot est-il conforme RGPD par défaut en 2026 ?
Comment rédiger une charte d'usage IA pour mon entreprise en 2026 ?
Quels sont les 7 risques RGPD spécifiques à l'IA en 2026 ?

À qui s’adresse cet audit

Aux DPO, RSSI et directions juridiques de PME et ETI françaises qui ont déployé ou s’apprêtent à déployer des outils IA (Claude Pro, ChatGPT Team, Copilot, Mistral, agents internes, RAG) et qui veulent une lecture experte des risques RGPD spécifiques à l’IA. Symptômes typiques :

Vos collaborateurs collent des extraits de contrats clients dans ChatGPT — vous ne savez pas où ces données partent.
Vous avez signé un contrat Microsoft Copilot ou Anthropic en B2B mais personne n’a lu le DPA.
Vous savez qu’AI Act entre en vigueur courant 2026 mais vous ne savez pas dans quelle catégorie tombent vos systèmes.
Votre DPO est compétent en RGPD général mais demande une montée en compétence ciblée IA.

Cet audit n’est pas un audit RGPD générique. C’est un focus laser sur le sous-ensemble IA, avec les bons textes (RGPD + AI Act + lignes directrices CNIL 2024-2026).

Notre méthode en 10 jours

Jours 1-2 — Cartographie des usages IA Entretiens avec votre DPO, votre RSSI et 3-5 chefs d’équipe utilisateurs (commercial, support, RH, etc.). On dresse la liste exhaustive des outils IA utilisés (officiels + shadow IT) et des données qui y transitent.

Jours 3-4 — Analyse contractuelle Lecture de vos contrats LLM en cours : DPA, sous-traitants ultérieurs, localisation des serveurs, rétention, droits d’utilisation des prompts pour l’entraînement. Production d’un tableau de risque par fournisseur.

Jours 5-6 — Évaluation des traitements à risque Pour 1 à 2 traitements identifiés comme à risque (typiquement : PII envoyée à un LLM, ou décisions automatisées affectant des personnes), production d’une DPIA conforme méthodologie CNIL adaptée à l’IA.

Jours 7-8 — Cadrage AI Act Pour chaque système IA en production ou en projet, classification dans les 4 catégories de risque AI Act (interdit / haut / limité / minimal). Identification des obligations spécifiques par catégorie.

Jours 9 — Production du livrable Rapport écrit (~25 pages denses), plan d’action priorisé, registre des systèmes IA conforme, charte d’usage IA prête à diffuser.

Jour 10 — Restitution Session de 1h30 avec votre DPO, votre RSSI et votre direction. Pas un PDF glissé par email : on passe le rapport ensemble, vous contestez, on ajuste.

Les 7 risques qu’on regarde en priorité

PII non sanitizée envoyée aux LLM — emails clients, salaires, données médicales, RIB. Risque le plus fréquent.
Absence de DPA avec votre fournisseur LLM — un compte ChatGPT individuel utilisé en pro est non conforme par défaut.
Données utilisées pour entraîner les modèles — sans opt-out explicite, certains contrats vous engagent.
Localisation extra-EU — un LLM US sans CCT à jour ou sans région EU = transfert non conforme.
Décisions automatisées sans supervision — Article 22 RGPD + AI Act haute risque + obligation d’information.
Profilage commercial via IA — bases légales spécifiques, droits d’opposition à informer.
Shadow IT — collaborateurs qui utilisent ChatGPT perso pour des tâches pro. Le plus difficile à mesurer.

Le tarif et ses contreparties

Audit RGPD IA Kezify — 3 200 € HT, prix fixe, facturé à 50 % à la signature / 50 % à la restitution.

Inclut :

5 jours-homme de consultant senior (juriste IA + technique LLM)
Tous les entretiens (DPO, RSSI, chefs d’équipe)
L’analyse contractuelle de jusqu’à 5 fournisseurs LLM
1 à 2 DPIA pour traitements à haut risque
Le registre IA conforme AI Act
La charte d’usage IA prête à diffuser
La session de restitution 1h30

N’inclut pas : la rédaction de DPIA pour plus de 2 traitements (au-delà, devis complémentaire), ni la mise en œuvre des actions correctives identifiées (ça peut relever de notre accompagnement IA 3 mois).

Pourquoi un audit RGPD spécifique IA

Parce que l’IA introduit des risques que ni le RGPD seul, ni un audit RGPD générique, ne couvrent intégralement. Trois exemples :

Un prompt système peut contenir des données de tiers (ex : un commercial colle un email client pour le faire reformuler). Aucun audit RGPD générique ne descend à ce niveau.
L’AI Act crée des obligations nouvelles (transparence, supervision humaine, registre, étiquetage des contenus IA) qui ne sont pas dans le RGPD.
Les contrats LLM contiennent des clauses spécifiques (rétention, entraînement, fine-tuning) qui ne sont pas standardisées par les CCT classiques.

Un audit RGPD générique vous dit “vous êtes conforme RGPD”. Un audit RGPD IA vous dit aussi “voici les 5 risques spécifiques à votre stack IA et comment les corriger”.

FAQ

Notre DPO est déjà sur le sujet — qu’apportez-vous de plus ? Une compétence technique LLM dont la plupart des DPO ne disposent pas. Quand votre DPO sait identifier un risque RGPD, il ne sait pas forcément si Anthropic a un DPA EU à jour, ni si le caching prompt d’OpenAI conserve vos données 30 jours. C’est notre rôle.

On utilise Microsoft Copilot — est-ce conforme par défaut ? Probablement, sous conditions (configuration tenant, opt-out training, choix région). Mais “probablement” et “par défaut” sont rarement vrais ensemble. On regarde votre tenant réel, pas la brochure marketing.

Et si on n’a pas de DPO ? Si vous êtes obligé d’en avoir un (article 37 RGPD), on vous dit. Si vous êtes en option, on peut faire l’audit sans DPO interne en travaillant directement avec votre direction et votre RSSI.

L’audit donne-t-il une certification ? Non. C’est un état des lieux + plan d’action, pas une certification. La certification AI Act n’existe pas encore en mai 2026 (les organismes notifiés sont en cours de désignation).

TODO Hugo : confirmer le statut de notre certification CDPO / DPO conseil pour rassurer.

Prochaine étape

30 minutes au téléphone avec votre DPO ou votre direction juridique pour comprendre votre contexte (taille, secteur, outils IA en place) et qualifier si l’audit est pertinent maintenant.

Pour aller plus loin

Audit IA — 2-3 semaines, rapport actionnable, 4 800 € HT — Si vous voulez un audit IA stratégique global avec un volet conformité plus léger.
Accompagnement IA — pilotage 3 mois clé en main — Pour mettre en œuvre les actions correctives identifiées dans la durée.
Pourquoi 80 % des projets IA échouent en PME (et comment éviter ça) — La conformité non gérée fait partie du top 5 des causes d’échec.