RGPD et IA : comment traiter des documents confidentiels en toute conformité en 2026

Depuis l'entrée en vigueur du RGPD en mai 2018, traiter des données personnelles avec des outils d'IA pose des questions juridiques complexes. En 2026, avec la généralisation des LLM (Large Language Models), ces questions sont devenues incontournables pour toute entreprise qui veut innover sans risquer une sanction de la CNIL.

Les 3 questions que tout DPO doit poser avant d'utiliser une IA sur des documents

1. "Où vont mes données ?"

C'est la question fondamentale. Quand vous uploadez un contrat sur ChatGPT (version gratuite), vos données partent chez OpenAI (USA), sans garantie de non-utilisation pour l'entraînement, et sans base légale claire pour le transfert hors UE.

Questions à poser au prestataire :

• Les données sont-elles traitées dans l'UE ou avec des garanties CCT ?
• Les données sont-elles utilisées pour entraîner le modèle ?
• Qui a accès aux données uploadées ?
• Quel est le délai de rétention des données ?

2. "Quelle base légale pour ce traitement ?"

Selon le RGPD (Art. 6), tout traitement de données personnelles nécessite une base légale. Pour une IA traitant des contrats :

• Exécution du contrat (6.1.b) : si l'IA est nécessaire à la prestation de services
• Intérêt légitime (6.1.f) : si le traitement est proportionné et les droits des personnes respectés
• Consentement (6.1.a) : pour les traitements non-nécessaires

Les données particulières (santé, origines ethniques, opinions politiques) nécessitent des bases légales renforcées.

3. "Mon sous-traitant est-il RGPD-ready ?"

Tout prestataire IA traitant vos données est un sous-traitant au sens du RGPD. Vous devez :

• Signer un DPA (Data Processing Agreement) avec lui
• Vérifier qu'il dispose des mesures techniques et organisationnelles appropriées
• S'assurer qu'il peut répondre à vos demandes d'exercice de droits (effacement, accès, portabilité)

Comment DOXALIO répond à ces exigences

Hébergement AWS avec garanties CCT

DOXALIO tourne sur AWS (Amazon Web Services) qui propose des Clauses Contractuelles Types (CCT) conformes aux exigences post-Schrems II. Vos données restent dans la région us-east-1 et les flux sont encadrés par les CCT de la Commission européenne.

Isolation des données par utilisateur

Chaque utilisateur a un identifiant unique (UUID). Ses documents, chunks et conversations sont isolés — aucun partage entre clients. L'accès à un document nécessite de prouver l'ownership (userId + docId).

Chiffrement AES-256 et TLS 1.3

Les documents sont chiffrés au repos sur S3 et en transit via TLS 1.3. Les clés de chiffrement sont gérées par AWS KMS.

Aucun entraînement de modèle

AWS Bedrock garantit contractuellement que vos données ne sont pas utilisées pour entraîner les modèles Claude ou Titan. C'est une différence fondamentale avec les API grand public.

Les 5 règles d'or pour une IA RGPD-compliant

1. Ne jamais uploader de données de santé sans chiffrement de bout en bout et base légale explicite

2. Vérifier le DPA de tout prestataire IA avant de traiter des données de clients ou d'employés

3. Maintenir un registre des traitements incluant les traitements IA (Art. 30 RGPD)

4. Évaluer les risques pour les traitements à grande échelle (AIPD si nécessaire)

5. Former les équipes : 73% des violations de données impliquent une erreur humaine

En pratique : que peut-on traiter avec une IA ?

|-----------------|----------------------|-------------|

La conformité RGPD n'est pas un obstacle à l'innovation — c'est un avantage concurrentiel. Les entreprises qui traitent les données de manière responsable gagnent la confiance de leurs clients et partenaires.