RGPD et IA : ce que votre PME doit savoir maintenant

En 2024, la CNIL a prononcé 87 sanctions pour un total de 55,2 millions d’euros d’amendes. Près de 8 sanctions sur 10 visaient des TPE et des PME (bilan 2024 de la CNIL). En 2025, le montant total a explosé : 487 millions d’euros (bilan 2025 de la CNIL).

Le message est clair : la taille de votre entreprise ne vous protège plus.

Et maintenant, il n’y a plus un seul texte à connaître, mais deux. Le RGPD, en vigueur depuis 2018. Et l’EU AI Act, le tout premier cadre réglementaire mondial sur l’intelligence artificielle. Ce sont deux lois distinctes, avec des obligations différentes, qui peuvent se cumuler. Voici ce que vous devez savoir.

RGPD : les règles qui s’appliquent déjà

Le RGPD s’applique dès que vous traitez des données personnelles. Nom, e-mail, adresse IP, numéro de téléphone, données RH, fichiers clients. Pas besoin d’utiliser l’IA pour être concerné. Et contrairement à une idée reçue tenace, il n’existe aucun seuil de taille. Une entreprise de 3 salariés qui tient un fichier clients est soumise aux mêmes obligations fondamentales qu’un groupe du CAC 40.

Ce que le RGPD exige concrètement :

• Base légale. Chaque traitement de données personnelles doit reposer sur une base légale (consentement, contrat, intérêt légitime, obligation légale…).
• Registre des traitements. Vous devez documenter ce que vous collectez, pourquoi, combien de temps vous le conservez, et qui y a accès.
• Droits des personnes. Vos clients et salariés ont le droit d’accéder à leurs données, de les rectifier, de les supprimer. Vous devez pouvoir répondre dans un délai d’un mois.
• Sécurité. Vous devez protéger les données avec des mesures techniques adaptées (chiffrement, contrôle d’accès, sauvegardes).

Si vous utilisez l’IA, le RGPD s’ajoute automatiquement dès que l’outil traite des données personnelles. Un chatbot qui collecte des noms et des e-mails, un outil de tri de CV, un CRM enrichi par IA qui analyse le comportement client : tout ça, c’est du traitement de données personnelles.

La CNIL a d’ailleurs publié 13 fiches pratiques spécifiquement dédiées à l’application du RGPD aux systèmes d’IA. Ces fiches couvrent la définition des finalités, la constitution des bases de données d’apprentissage, et l’évaluation de la conformité des modèles. C’est une lecture indispensable pour tout dirigeant de PME qui déploie de l’IA.

EU AI Act : le nouveau cadre spécifique à l’IA

L’EU AI Act est entré en vigueur le 1er août 2024. Mais son application est progressive, et c’est là que beaucoup se perdent. Voici le calendrier exact (source : Commission européenne) :

• 2 février 2025 — Interdiction des systèmes IA à risque inacceptable. Obligation de compétence IA (AI literacy) pour les entreprises qui déploient ou utilisent de l’IA.
• 2 août 2025 — Obligations pour les modèles d’IA à usage général (GPAI). Entrée en vigueur du régime de sanctions.
• 2 août 2026 — Application complète pour la plupart des opérateurs, y compris les obligations de transparence.
• 2 août 2027 — Règles pour les systèmes IA à haut risque intégrés dans des produits réglementés.

L’EU AI Act classe les systèmes d’IA en quatre niveaux de risque. Pour une PME, voici ce que ça signifie en pratique :

Risque inacceptable (interdit). Notation sociale des clients, manipulation comportementale subliminale, reconnaissance faciale en temps réel dans l’espace public. Vous n’êtes probablement pas concerné, mais vérifiez que vos outils ne font pas de scoring opaque de vos prospects.

Risque élevé. IA utilisée pour le recrutement (tri automatique de CV), l’évaluation de la solvabilité (scoring crédit), ou l’accès aux services essentiels. Si votre PME utilise un outil de pré-sélection automatisée de candidats, vous entrez dans cette catégorie. Obligations : documentation technique, évaluation de conformité, supervision humaine.

Risque limité. Chatbots, générateurs de contenu, deepfakes. L’obligation principale : la transparence. Vos clients doivent savoir qu’ils interagissent avec une IA, et le contenu généré par IA doit être identifié comme tel.

Risque minimal. Filtres anti-spam, classification automatique de documents, IA de recommandation produit, automatisation de reporting. Pas d’obligation spécifique au titre de l’AI Act — mais le RGPD s’applique toujours si des données personnelles sont en jeu.

La bonne nouvelle : la majorité des usages IA dans les PME (traitement documentaire, CRM, automatisation d’e-mails, reporting) relèvent du risque minimal ou limité. Les obligations sont gérables. Mais elles existent.

Les sanctions : ça ne rigole pas

Les amendes de l’EU AI Act vont jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites. Jusqu’à 15 millions ou 3 % pour les autres manquements. Des plafonds plus proportionnés sont prévus pour les PME et les startups (source : EU AI Act), mais “proportionné” ne veut pas dire indolore.

Côté RGPD, les plafonds théoriques sont de 20 millions d’euros ou 4 % du CA mondial. En pratique, la CNIL cible de plus en plus les petites structures. Sur ses 87 sanctions de 2024, 69 ont été prononcées via la procédure simplifiée — un dispositif créé en 2022 qui permet des sanctions rapides jusqu’à 20 000 euros (source : CNIL). Cegedim Santé, un éditeur de logiciels pour médecins de ville, a pris 800 000 euros en septembre 2024 pour avoir traité des données de santé sans autorisation (source : CNIL).

20 000 euros pour une PME de 10 salariés, c’est un trimestre de trésorerie. Ce n’est pas anodin.

Les 5 questions à vous poser maintenant

Avant de paniquer ou de tout ignorer, posez-vous ces cinq questions. Elles couvrent 80 % des risques pour une PME :

1. Quels outils IA utilisent mes équipes ? Officiels et non officiels. ChatGPT, Copilot, outils de traduction en ligne, IA intégrée à vos logiciels métier. Faites l’inventaire.

2. Ces outils traitent-ils des données personnelles ? Si oui, le RGPD s’applique. Avez-vous une base légale ? Un registre des traitements à jour ?

3. Où sont hébergées les données ? Serveurs en France, en Europe, aux États-Unis ? Un hébergement hors UE sans garanties suffisantes est un risque juridique concret depuis l’invalidation du Privacy Shield par la CJUE.

4. Mes clients et salariés savent-ils qu’ils interagissent avec une IA ? L’EU AI Act impose la transparence. Un chatbot sur votre site doit être identifié comme tel. Un e-mail généré par IA aussi.

5. Ai-je documenté mes usages IA ? Quel outil, quel usage, quelles données, quel niveau de risque. Ce registre est votre première ligne de défense en cas de contrôle.

Si vous répondez “non” ou “je ne sais pas” à deux de ces questions ou plus, vous avez un chantier à ouvrir. Pas dans six mois — maintenant.

Le “bac à sable” de la CNIL : un signal à comprendre

La CNIL ne se contente pas de sanctionner. Elle a mis en place un dispositif d’accompagnement appelé “bac à sable”, un cadre dans lequel elle accompagne des projets IA pour formuler des recommandations opérationnelles. En 2024, elle a accompagné France Travail, Nantes Métropole et la RATP sur des projets IA appliqués aux services publics.

Ce que ça dit entre les lignes : la CNIL investit massivement dans sa compréhension de l’IA. Elle monte en compétence. Les contrôles de demain seront plus précis, plus techniques, et plus fréquents. Une PME qui se met en conformité aujourd’hui sera en position de force. Celle qui attend le premier contrôle découvrira le sujet dans la panique.

Ce qu’il faut retenir

Deux lois, pas une. Le RGPD encadre les données personnelles — il s’applique depuis 2018, que vous utilisiez l’IA ou non. L’EU AI Act encadre les systèmes d’IA eux-mêmes — son application est progressive jusqu’en 2027. Les deux se cumulent dès que votre IA touche à des données personnelles.

La majorité des usages PME relèvent du risque minimal ou limité. Les obligations sont réelles mais gérables : transparence, documentation, hébergement maîtrisé. Le vrai danger, ce n’est pas la complexité réglementaire. C’est l’inaction. Ceux qui documentent, qui savent où sont leurs données et qui forment leurs équipes dormiront tranquilles. Les autres joueront à la roulette avec la CNIL — et la CNIL ne perd pas souvent.