AI-First
Votre commerciale colle des emails clients dans ChatGPT depuis six mois. Votre comptable fait relire des bilans par Claude. Personne n'a signé de DPA, personne n'a mis à jour le registre des traitements. Et le 2 août 2026, l'AI Act entre en application pour les systèmes à haut risque. Vous êtes, sans le savoir, un « déployeur » au sens du règlement européen.
Je vois cette situation chez la majorité des PME que j'accompagne. La bonne nouvelle : la conformité n'est pas un frein, c'est un argument commercial. Voici exactement ce que vous avez le droit de faire, ce qui est interdit, et les 7 étapes pour être en règle avant la rentrée.
- ⚠️ Shadow IT massif : 60 à 80 % des PME françaises utilisent l'IA sans cadre légal.
- 📅 Échéance 2 août 2026 : les obligations AI Act sur les systèmes à haut risque deviennent applicables.
- 💡 Version pro obligatoire : la version gratuite de ChatGPT n'offre aucune garantie RGPD exploitable.
- ✅ Checklist en 7 points : mise en conformité réaliste pour une PME, sans cabinet à 50 000 euros.
Le shadow IT IA touche déjà votre PME
Selon une étude Kezify publiée début 2026, 60 à 80 % des PME françaises ont des collaborateurs qui utilisent des outils d'IA générative sans validation de la direction. Le phénomène porte un nom : shadow IT. Et il n'est pas nouveau, sauf que cette fois les données qui transitent ne sont pas un fichier Excel partagé sur un Google Drive personnel. Ce sont des noms de clients, des montants de contrats, des CV de candidats.
Le problème n'est pas l'outil. C'est l'absence totale de cadre.
Pourquoi le shadow IT IA est plus dangereux que le shadow IT classique ?
Quand un salarié utilise la version gratuite de ChatGPT, les données saisies peuvent être conservées indéfiniment par OpenAI et potentiellement réutilisées pour l'entraînement du modèle. Aucun DPA ne protège l'entreprise.
D'après une étude IAPP de 2025, 80 % des PME européennes utilisant l'IA générative n'ont pas mis à jour leur registre des traitements RGPD. Si la CNIL frappe à la porte, aucun document ne prouve que le traitement a été évalué.
J'ai vu le cas chez un client de 45 personnes : la responsable RH utilisait ChatGPT pour pré-trier des CV. Noms, adresses, mentions de handicap, tout passait dans la version gratuite. Aucune base légale, aucune information des candidats. Le jour où un candidat non retenu a exercé son droit d'accès RGPD, l'entreprise n'a pas su répondre.
RGPD et AI Act : le cadre légal réel pour une PME en 2026
Deux textes s'appliquent simultanément. Le RGPD, en vigueur depuis 2018, couvre tout traitement de données personnelles. L'AI Act (Règlement UE 2024/1689), publié au Journal officiel le 12 juillet 2024, ajoute une couche spécifique à l'intelligence artificielle.
Comment savoir si votre PME est un « déployeur » au sens de l'AI Act ?
Si votre entreprise utilise un système d'IA dans le cadre de son activité professionnelle, elle est un « déployeur » (article 3 de l'AI Act). Vous n'avez pas besoin de développer le modèle. Utiliser ChatGPT pour rédiger des emails commerciaux, Claude pour analyser des contrats, ou Copilot pour générer du code suffit.
Selon le cabinet Crescendo Avocats, les usages classés à haut risque incluent le recrutement automatisé, l'évaluation de salariés et le scoring de crédit. Si votre PME utilise l'IA dans l'un de ces domaines, les obligations renforcées du 2 août 2026 vous concernent directement.
Le calendrier d'application est progressif. Depuis le 2 février 2025, les pratiques d'IA interdites sont sanctionnables (manipulation subliminale, scoring social). Depuis le 2 août 2025, les règles sur les modèles à usage général (GPAI) s'appliquent aux fournisseurs comme OpenAI ou Anthropic. Le 2 août 2026 active les obligations pour les systèmes à haut risque : documentation technique, supervision humaine, transparence envers les utilisateurs.
Les sanctions ne sont pas symboliques. Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites. Jusqu'à 15 millions d'euros ou 3 % pour le non-respect des obligations liées aux systèmes à haut risque. La Commission européenne a voulu un effet dissuasif comparable au RGPD.
Quelle est la différence entre RGPD et AI Act pour une PME ?
Le RGPD protège les données personnelles : il exige une base légale, un registre des traitements, l'information des personnes concernées. L'AI Act protège contre les risques liés aux systèmes d'IA eux-mêmes : biais discriminatoires, opacité des décisions automatisées, absence de supervision humaine.
Les deux textes se complètent. Si vous utilisez Claude pour analyser des CV, vous devez respecter le RGPD et l'AI Act. Comme le résume Sparkana, la bonne approche est de mutualiser les démarches : l'analyse d'impact (AIPD) du RGPD couvre une grande partie des exigences de l'AI Act.
ChatGPT, Claude, Copilot : quelle version pour des données pro ?
C'est la question que me posent 9 dirigeants sur 10. La réponse tient en une phrase : la version gratuite d'aucun outil n'est acceptable pour des données professionnelles.
Faut-il bannir la version gratuite de ChatGPT en entreprise ?
Oui. La version gratuite de Claude, de Gemini ou de tout autre LLM pose le même problème : pas de DPA, pas de garantie sur la localisation des données, pas d'engagement sur la non-réutilisation pour l'entraînement.
Voici ce que proposent les offres professionnelles en juin 2026 :
| Critère | ChatGPT Business | Claude for Work | Version gratuite |
|---|---|---|---|
| Prix | 25 €/utilisateur/mois | Sur devis (≈ 25-30 €/ut.) | 0 € |
| DPA signable | Oui | Oui | Non |
| Certifications | SOC 2, ISO 27001 | SOC 2 Type II | Aucune |
| Hébergement EU | Oui (option) | Frankfurt / Paris | Non garanti |
| Entraînement sur vos données | Non (garanti) | Non (zero-training) | Possible |
| Conservation des données | Configurable | 7 à 365 jours | Indéfinie |
SOURCE : pages tarifs OpenAI & Anthropic · MAJ 06/2026
La différence est limpide. Avec ChatGPT Business ou Claude for Work, vous avez un contrat de sous-traitance RGPD (DPA) qui engage le fournisseur. Avec la version gratuite, vous envoyez les données de vos clients dans une boîte noire sans aucune garantie juridique.
J'ai détaillé les différences fonctionnelles entre les deux plateformes dans ce comparatif sans langue de bois. Pour la question du volume de licences, cet article sur le passage de Claude Pro à Claude Team donne les seuils concrets.
En quoi la data residency simplifie la conformité RGPD ?
Le RGPD impose que les transferts de données hors de l'Espace économique européen soient encadrés (clauses contractuelles types, décision d'adéquation, etc.). Quand Anthropic propose un hébergement à Frankfurt ou Paris avec Claude for Work, les données ne quittent pas l'UE. Le problème du transfert transatlantique disparaît.
Selon Lumivi (chiffre Bpifrance Le Lab), 55 % des TPE-PME utilisaient l'IA générative fin 2025, mais la moitié via des solutions gratuites sans intégration. Ces usages restent non conformes.
Le bon modèle IA en 2026 n'est plus seulement le plus performant. C'est celui que vous pouvez déployer dans une infrastructure conforme.
La checklist conformité IA pour votre PME (7 étapes)
Je ne crois pas aux projets de conformité à 50 000 euros. Je crois aux actions concrètes qu'un dirigeant de PME peut lancer cette semaine. Voici les 7 étapes que je recommande, issues de mes accompagnements via GoLive Software.
Comment démarrer la mise en conformité sans budget dédié ?
1. Cartographier les usages IA existants. Envoyez un questionnaire interne de 5 questions : quel outil, pour quel usage, quelles données, quelle fréquence, version gratuite ou payante. Vous aurez votre état des lieux en 48 heures.
2. Basculer sur des versions professionnelles. ChatGPT Business à 25 €/utilisateur/mois ou Claude for Work. Le coût est marginal comparé au risque CNIL.
3. Signer les DPA avec chaque fournisseur. OpenAI et Anthropic proposent des DPA téléchargeables. Signez-les et archivez-les avec votre registre des traitements.
4. Mettre à jour le registre des traitements RGPD. Ajoutez une ligne par outil IA : finalité, catégories de données, durée de conservation, sous-traitant, lieu d'hébergement. La CNIL fournit un modèle gratuit.
5. Informer les personnes concernées. Si vos salariés, candidats ou clients voient leurs données traitées par un outil IA, votre politique de confidentialité doit le mentionner (articles 13 et 14 du RGPD).
6. Évaluer le niveau de risque AI Act. Si vous utilisez l'IA pour du recrutement, de l'évaluation de performance ou du scoring client, vous êtes dans la catégorie « haut risque ». Documentez la supervision humaine en place.
7. Former les équipes. Un mail de sensibilisation de 10 lignes suffit pour commencer : ne jamais coller de données personnelles dans un outil IA non approuvé. Le rappeler chaque trimestre.
Cette checklist couvre 90 % du risque pour une PME de 10 à 250 personnes qui utilise l'IA comme outil, pas comme produit. Si vous partez de zéro sur l'intégration IA, ce guide anti-échec pose les bases avant même de parler conformité.
La conformité comme avantage concurrentiel
Je le dis souvent à mes clients : la conformité RGPD + AI Act n'est pas un coût. C'est un argument de vente.
Pourquoi vos clients B2B vont exiger la conformité IA ?
Les grandes entreprises et les collectivités incluent des clauses IA dans leurs appels d'offres : « Décrivez les outils d'IA utilisés. Fournissez les DPA. Précisez le lieu d'hébergement. » J'ai vu ces clauses dans trois marchés publics en avril et mai 2026.
Une PME qui répond « voici notre registre, nos DPA, notre politique de conservation » gagne un avantage immédiat. C'est le même mécanisme que le RGPD en 2018 : les entreprises conformes tôt ont récupéré des marchés.
D'après Fluxcore, 62 % des entreprises françaises craignent les sanctions liées à l'utilisation de l'IA. Cette peur est un signal : vos prospects cherchent des partenaires qui les rassurent. Soyez celui qui peut montrer son cadre plutôt que celui qui improvise.
La PME qui intègre l'IA proprement dans ses opérations, avec un cadre légal clair, ne perd pas de temps sur la conformité. Elle gagne des clients que ses concurrents ne savent pas rassurer.
« La conformité IA n'est pas un projet de plus. C'est la condition pour que l'IA reste un accélérateur et ne devienne pas un passif juridique. »
Vincent Roye, juin 2026
Le 2 août 2026 n'est pas une date à redouter. C'est un filtre qui va séparer les PME qui utilisent l'IA sérieusement de celles qui bricolent dans l'ombre. Les 7 étapes décrites ici prennent moins d'une semaine à lancer. Le coût se limite à quelques licences pro et à un peu de rigueur documentaire. Et le retour, c'est la tranquillité juridique, la confiance de vos clients, et la capacité de déployer l'IA là où elle crée vraiment de la valeur, sans regarder par-dessus votre épaule.
Foire aux questions
Peut-on utiliser ChatGPT au travail légalement en 2026 ?
Oui, à condition d'utiliser une version professionnelle (ChatGPT Business ou Enterprise) avec un DPA signé, et de l'avoir documenté dans le registre des traitements RGPD. La version gratuite ne fournit aucune garantie contractuelle sur la protection des données. Un employeur qui laisse ses équipes utiliser la version gratuite avec des données clients s'expose à des sanctions CNIL.
ChatGPT est-il conforme RGPD ?
ChatGPT en version Business ou Enterprise propose un DPA, des certifications SOC 2 et ISO 27001, et la possibilité d'héberger les données en Europe. Ces éléments permettent de construire une conformité RGPD. La version gratuite, en revanche, ne propose pas de DPA et peut conserver les données indéfiniment, ce qui la rend incompatible avec une utilisation professionnelle impliquant des données personnelles.
Qu'est-ce que l'AI Act change concrètement pour une PME ?
L'AI Act classe les systèmes d'IA par niveau de risque. Pour la plupart des PME qui utilisent des outils comme ChatGPT ou Claude en bureautique, les obligations restent limitées (transparence, information des utilisateurs). Les obligations lourdes (documentation technique, supervision humaine formalisée, marquage CE) ne concernent que les usages « haut risque » comme le recrutement automatisé ou le scoring de crédit. L'échéance clé est le 2 août 2026.
Quelle version de Claude ou ChatGPT choisir pour des données professionnelles ?
Claude for Work (data residency Frankfurt/Paris, zero-training garanti, conservation configurable de 7 à 365 jours) ou ChatGPT Business (25 €/utilisateur/mois, hébergement EU en option, DPA inclus). Les deux offrent les garanties minimales pour un usage professionnel conforme. Le choix entre les deux dépend de vos besoins fonctionnels, pas de la conformité : les deux cochent les cases RGPD essentielles.
Quels sont les risques concrets du shadow IT IA en entreprise ?
Le shadow IT IA expose l'entreprise à trois risques : une sanction CNIL pouvant atteindre 4 % du chiffre d'affaires mondial (RGPD) ou 15 millions d'euros (AI Act), une fuite de données sensibles vers des serveurs hors UE sans cadre contractuel, et l'impossibilité de répondre aux demandes d'exercice de droits des personnes concernées (accès, suppression, portabilité). Le risque réputationnel est souvent le plus coûteux en B2B.
Vidéos YouTube
- How To Protect Your AI Agents with HIPAA, PCI and GDPR — Jotform AI Agents
- If You Make AI Content, This New Law Is About You — Gcore
Articles & ressources
- AI Act août 2026 : ce que les TPE/PME françaises doivent vraiment faire — sparkana.fr
- PI & IA – AI Act : ce que les TPE et PME doivent faire avant le 2 août 2026 — crescendo-avocats.com
- IA et RGPD en PME : le guide de conformité — prizm-ia.com
- RGPD et IA pour PME : automatiser sans se mettre hors-la-loi — fluxcoregroup.com
- IA RGPD et hébergement européen PME : guide complet 2026 — lumivi.fr