Souveraineté & conformité
IA et RGPD : protéger la confidentialité des données de votre entreprise
Co-fondateur de SprintOS · 29 juin 2026 · 10 min de lecture
Dès qu'un collaborateur colle un contrat, un fichier client ou du code dans une IA, vos données quittent l'entreprise. La confidentialité des données et la conformité au RGPD deviennent alors le vrai sujet. Utiliser un LLM (ChatGPT, Claude, Gemini) sans exposer ses informations sensibles ni enfreindre le RGPD est non seulement possible, mais à la portée de toute PME, à condition de poser le bon cadre. Ce guide explique où vont réellement vos données avec une IA, ce qu'exige le RGPD, ce que recommande la CNIL, et les options concrètes pour protéger votre confidentialité, du mode « rétention zéro » (ZDR) à l'auto-hébergement souverain.
IA et RGPD : où vont vraiment vos données ?
Quand un collaborateur colle un contrat, un fichier client ou du code dans un assistant IA, ces données quittent votre entreprise et partent chez un prestataire, le plus souvent américain. Par défaut, selon les offres, elles peuvent être conservées, journalisées, examinées par des humains pour la modération, voire utilisées pour améliorer le modèle. S'y ajoute la question de la juridiction : un fournisseur américain reste soumis au Cloud Act, même pour des données traitées en Europe.
Pour une entreprise, cela crée trois risques concrets : fuite d'informations sensibles, perte de maîtrise (vous ne pouvez ni vérifier ni auditer ce que devient la donnée), et difficulté de conformité au RGPD. La bonne nouvelle : chacun de ces risques se traite, à condition de choisir le bon niveau de protection.
ChatGPT, Claude, Gemini : sont-ils conformes au RGPD ?
C'est la question que se posent la plupart des dirigeants. La réponse tient en une distinction simple : la version grand public et l'offre entreprise n'ont pas les mêmes règles.
- Versions grand public (ChatGPT gratuit ou Plus, par exemple) : vos données peuvent être conservées et, selon les réglages, réutilisées. Ce n'est pas le cadre adapté pour des données professionnelles sensibles.
- Offres entreprise (ChatGPT Enterprise, API via un accord dédié, Claude ou Gemini en version pro) : pas d'entraînement sur vos données, contrat de traitement (DPA) possible, et souvent un mode rétention zéro (ZDR).
Autrement dit, l'IA n'est pas « interdite par le RGPD ». Elle devient conforme dès lors que vous passez par la bonne offre et que vous l'encadrez. La première brique technique de cet encadrement, c'est le ZDR.
Le ZDR (Zero Data Retention) : la première brique de confidentialité
Le ZDR (Zero Data Retention, ou « rétention zéro de données ») est un mode dans lequel le fournisseur ne stocke pas, ne journalise pas et ne réutilise pas vos requêtes ni les réponses au-delà du traitement immédiat. Concrètement, vos données sont traitées par le modèle, puis effacées : elles ne servent ni à l'entraînement, ni à la surveillance, ni à l'amélioration produit.
Bonne nouvelle : les grands fournisseurs le proposent. Moins bonne nouvelle : il passe presque toujours par un accord entreprise négocié, pas par les offres standards.
| Fournisseur | Rétention zéro (ZDR) ? | Comment |
|---|---|---|
| Anthropic (Claude) | Oui | Mode rétention zéro, via accord entreprise soumis à approbation |
| OpenAI (ChatGPT / GPT) | Oui | Via un accord API entreprise et ChatGPT Enterprise (pas d'entraînement sur vos données) |
| Microsoft Azure OpenAI | Oui | Sur approbation ; aucune conservation au-delà du traitement, avec choix de la région |
| Offres grand public / API standard | Non | Le ZDR n'est pas activé par défaut : il faut un contrat dédié |
Le point d'attention : le ZDR repose sur un engagement contractuel du fournisseur. C'est solide, mais cela reste une promesse que vous ne pouvez pas vérifier techniquement de l'intérieur. D'où l'intérêt de connaître les niveaux au-dessus.
Les niveaux de confidentialité des données
La confidentialité n'est pas tout ou rien. Il existe un véritable spectre, du plus simple au plus souverain.
- API publique standard : le plus simple, mais vos données peuvent être conservées et réutilisées. À réserver aux usages non sensibles.
- ZDR (rétention zéro) : vos données ne sont ni stockées ni réutilisées. Le bon niveau pour beaucoup d'usages professionnels, avec un fournisseur de confiance.
- Tenant cloud privé (Azure, Amazon Bedrock, Google Vertex) : le modèle tourne dans votre propre compte cloud, en région européenne. Vos données restent dans votre périmètre, avec les certifications du fournisseur. Nuance : ces hyperscalers restent américains (Cloud Act).
- Auto-hébergement d'un modèle open-weight : les poids tournent sur vos serveurs, rien ne sort de chez vous. C'est le niveau maximal de confidentialité, sans dépendre d'un engagement contractuel. C'est exactement ce que permettent des modèles comme GLM-5.2, et la logique que nous développons dans « Pourquoi les PME doivent miser sur une IA souveraine ».
La règle est simple : on adapte le niveau à la sensibilité des données. Inutile d'auto-héberger pour rédiger des posts marketing ; indispensable d'y penser pour des données de santé, juridiques ou stratégiques.
Ce que dit la CNIL et l'AI Act
Le ZDR et le choix d'hébergement aident à la conformité, mais ne suffisent pas à eux seuls. Le RGPD impose aussi une base légale, la minimisation des données (ne transmettre que le nécessaire), un contrat de traitement (DPA) avec le fournisseur, et une vigilance sur la localisation des données. L'AI Act européen ajoute des obligations selon le niveau de risque de l'usage.
Pour les repères officiels, la CNIL publie des recommandations sur l'IA et l'Union européenne documente le cadre de l'AI Act. En clair : un usage de l'IA conforme au RGPD se construit, il ne se décrète pas.
Autre brique souvent oubliée quand on connecte une IA à vos systèmes : la gouvernance des accès. Si vous reliez un agent à vos outils via le MCP, la confidentialité dépend aussi des permissions et de la journalisation que vous mettez en place.
Comment choisir, et comment nous aidons
La bonne démarche tient en trois questions : quelles données vais-je exposer, à quel point sont-elles sensibles, et quel niveau de confidentialité cela impose-t-il ? À partir de là, on choisit la bonne option (ZDR, tenant privé ou auto-hébergement) et on met en place la gouvernance et la conformité RGPD qui vont avec.
C'est précisément ce que nous faisons chez SprintOS, selon une méthode structurée : déployer l'IA dans le cadre qui protège vos données, du contrat ZDR à l'auto-hébergement souverain, et le mesurer sur vos cas d'usage. Pour en parler, faites le point avec un expert ou testez votre cas d'usage avec SprintAI.
Questions fréquentes
L'IA est-elle compatible avec le RGPD ?
Oui, à condition de l'encadrer. Le RGPD ne s'oppose pas à l'IA, mais impose une base légale, la minimisation des données, un contrat de traitement (DPA) avec le fournisseur, et une vigilance sur la localisation des données et la juridiction. La CNIL publie des recommandations pour un usage de l'IA conforme au RGPD.
ChatGPT est-il conforme au RGPD pour une entreprise ?
Pas dans sa version grand public, où les données peuvent être conservées et réutilisées. Pour un usage professionnel, il faut passer par une offre entreprise (ChatGPT Enterprise ou l'API via un accord dédié), avec un contrat de traitement et, idéalement, un mode rétention zéro (ZDR). La conformité dépend ensuite de votre paramétrage et de vos usages.
Comment garantir la confidentialité des données avec un LLM ?
En adaptant le niveau de protection à la sensibilité des données : API standard pour le non-sensible, ZDR (rétention zéro) pour la plupart des usages professionnels, tenant cloud privé en région européenne, ou auto-hébergement d'un modèle open-weight pour les données les plus sensibles, où rien ne sort de votre infrastructure.
C'est quoi le ZDR (Zero Data Retention) ?
Le ZDR (Zero Data Retention, ou rétention zéro de données) est un mode dans lequel le fournisseur d'IA ne stocke pas, ne journalise pas et ne réutilise pas vos requêtes ni les réponses au-delà du traitement immédiat. Vos données ne servent notamment pas à entraîner le modèle, ce qui en fait une brique clé de conformité au RGPD.
Le ZDR suffit-il pour être conforme au RGPD ?
Non, c'est un élément utile mais pas une garantie à lui seul. La conformité RGPD suppose aussi une base légale, la minimisation des données, un contrat de traitement (DPA), et une attention à la localisation des données et à la juridiction du fournisseur.
Où vont mes données quand j'utilise une IA ?
Par défaut, elles quittent votre entreprise et sont traitées chez un prestataire, le plus souvent américain. Selon l'offre, elles peuvent être conservées, journalisées, examinées par des humains pour la modération, voire utilisées pour améliorer le modèle. Un fournisseur américain reste soumis au Cloud Act, même pour des données traitées en Europe.
En résumé
L'IA et le RGPD ne s'opposent pas : la confidentialité des données se gère, à condition de faire correspondre la sensibilité de vos informations au bon niveau de protection. Du mode rétention zéro (ZDR) contractuel au tenant privé européen, jusqu'à l'auto-hébergement souverain, chaque cran vous redonne de la maîtrise. C'est ce travail de cadrage, à la fois technique et de conformité, que nous menons aux côtés des PME et ETI françaises.
Où en est votre PME sur l'IA ?
Un score de maturité en 10 minutes, gratuit et sans engagement.