← Tous les articles

Politique de données et confidentialité — RGPD, AI Act et sécurité

Protéger les données en utilisant l'IA : RGPD compliance, anonymization, data residency, best practices de sécurité.

Politique de données et confidentialité — RGPD, AI Act et sécurité

Le défi : RGPD vs IA

Scénario typique : Vous avez des données client (noms, emails, historique achats). Vous voulez utiliser Claude pour analyser les préférences → recommandations.

Problème : Les données personnelles ne doivent pas traîner dans un cloud public sans contrôle.

Solution : Policy rigoureuse sur quoi peut aller en IA.

RGPD 101 pour l'IA

Les principes clés du RGPD

  1. Légalité : Vous avez une base légale pour traiter cette donnée
  2. Minimisation : Utiliser uniquement les données nécessaires
  3. Transparence : Dire aux gens qu'on utilise leur data
  4. Droit d'accès : Pouvoir savoir quelles données on a sur vous
  5. Right to be forgotten : Pouvoir demander suppression

Où ça devient compliqué avec l'IA

Donnée client → Vous → Claude (API cloud) → Résultats → Vous

Question RGPD : "Où est la donnée à chaque étape ?
Qui y accède ? Comment on la protège ? Peut-on la récupérer ?"

Policy type : "Données & Confidentialité dans l'IA"

Catégorie 1 : Données JAMAIS en IA ❌

  • Numéros de sécurité sociale
  • Identifiants bancaires
  • Données médicales détaillées (sauf très contrôlé)
  • Identité de mineurs
  • Données biométriques

Pourquoi : Risque trop élevé, même avec anonymization.

Catégorie 2 : Données Conditionnellement en IA ⚠️

Peuvent aller en IA si vous faites ces trucs :

Cas 1 : Anonymization

Avant : "Alice Martin, email alice@example.com, a acheté X"
Après : "Customer_ID_12345, account created 2023, purchased X"

Envoyé en IA : Customer_ID_12345, purchased X 
Claude ne sait pas qui c'est → OK RGPD

Cas 2 : Data residency (on-prem)

Données restent chez vous, pas cloud
Vous pouvez utiliser LLM self-hosted (Llama, Mistral)
Claude ne les voit pas → OK

Cas 3 : Aggregated/statistical

Avant : 10,000 customer records avec historique
Après : "Average customer spends $500/year, 80% buy furniture"

Envoyé en IA : Aggregated insights (pas de PII)
Claude reçoit stats agrégées → OK

Cas 4 : User-initiated (l'utilisateur consent explicitement)

Customer writes : "Mon nom est Alice, j'ai un problème avec la commande #12345"
Leur choix de partager. Claude voit le nom.
Mais vous loggez : "User shared PII, AI accessed it" 
Et vous pouvez récupérer/supprimer après → OK RGPD

Catégorie 3 : Données LIBRES de passer en IA ✅

  • Textes publics (articles, documentation)
  • Données anonymisées/pseudonymisées
  • Données agrégées (statistiques)
  • Contenu utilisateur générique (sans PII)

AI Act : Les exigences pour l'EU

Risque "Élevé" : Vous devez

  • [ ] Documentation de l'algorithme
  • [ ] Audit réguliers
  • [ ] Humans in the loop (personne approuve les résultats critiques)
  • [ ] Transparence vers l'utilisateur ("This is AI-generated")
  • [ ] Monitoring des biais

Risque "Très élevé" : (reconnaissance faciale, justice, recrutement)

Beaucoup plus restreignant. Souvent = interdiction ou approbation pré-déploiement.

Mise en place : 5 étapes

Étape 1 : Audit de données (2-3 jours)

Inventoriez toutes les données que vous avez :

Data Type | Sensitivity | Current Use | Could go in AI? | If yes, how?
Customer names | High | CRM | Only if anonymized
Email addresses | Med | Mailing | Only if anonymized
Purchase history | Med | Analytics | Yes, anonymized
Public feedback | Low | Reporting | Yes, directly

Étape 2 : Matrice de risque

Scorer chaque data type :

Risk = (Sensitivity × User base × Identifiability) / (Controls × Transparency)

Si Risk > 5 : Ne pas en IA
Si Risk 3-5 : Conditionnellement (anonymization)
Si Risk < 3 : Autorisé

Étape 3 : Workflow d'approbation

Avant tout IA use case impliquant de la data :

1. Team propose : "On veut utiliser Claude pour analyser customer feedback"
2. Data officer check : "Quelles données ? Sensitive ? Anonymisées ?"
3. Legal/DPO review : "RGPD OK ?"
4. Approval ou Conditions
5. Deployment avec logging

Étape 4 : Anonymization standards

Si vous devez anonymizer :

Good :

  • Remove email, phone, address
  • Replace names with IDs
  • Aggregate locations (city level, not street)

Better :

  • k-anonymity (hard to re-identify even with external data)
  • Use differential privacy (mathematical guarantee of privacy)

Not enough :

  • Just remove email and think you're fine (other fields can re-identify)

Étape 5 : Logging & Audit trail

Toujours logger :

{
  "timestamp": "2026-08-01T10:00:00Z",
  "use_case": "customer_feedback_analysis",
  "data_category": "anonymized_text",
  "user_id": "analyst_jane_doe",
  "data_sent_to_ai": "feedback_text_only",
  "pii_present": false,
  "legal_basis": "Legitimate_interest + user_consent",
  "approval_id": "DA_2026_001",
  "result": "[AI output]",
  "human_review": "approved",
  "audit_log_link": "/audit/DA_2026_001"
}

Contrats & Agreements

Data Processing Addendum (DPA)

Si vous utilisez une IA tiers (Claude, ChatGPT, etc.) avec des données, vous DEVEZ un contrat clair.

Points clés du DPA :

  • Where data is stored (EU data center ?)
  • How long it's kept (30 days, then delete)
  • Encryption in transit & at rest
  • Sub-processors (who else touches data ?)
  • Right to audit
  • Incident response (if breach)
  • GDPR compliance obligations

Anthropic exemple :

  • Claude (API) : Has DPA available, EU data centers option available
  • Data policy : "No long-term storage, no model training on your data"
  • You control retention (can delete immediately)

Consent & Transparency

Règle simple : Si c'est personal data, dire à la personne.

"When you chat with us, we use Claude (an AI) to help respond.
Your conversation may be processed by Anthropic (see their privacy policy).
Your data is [anonymized / encrypted / deleted after 30 days]."

Checklist : Êtes-vous compliant ?

Data & Privacy :

  • [ ] Audit données faite (quel data peut aller en IA ?)
  • [ ] Policy écrite : "Categories of data" (jamais / conditionnelle / libre)
  • [ ] DPA signé avec fournisseurs IA (Anthropic, OpenAI, etc.)
  • [ ] Anonymization standards définis
  • [ ] Logging/audit trail en place
  • [ ] Incident response plan (quoi faire si breach ?)

RGPD & Legal :

  • [ ] Legal review de votre AI use cases
  • [ ] DPO involved dans decisions
  • [ ] Transparency statements (users know AI is used)
  • [ ] Rights respect (access, deletion, portability)

EU Specific (AI Act) :

  • [ ] Risk assessment par use case
  • [ ] Documentation algorithm / training data
  • [ ] Monitoring plan pour bias
  • [ ] Humans-in-loop pour risque "élevé"

Erreurs courantes

❌ "On anonymize juste en supprimant les noms"

Insufficient. Email + purchase history peut re-identify. Use proper k-anonymity.

❌ "On a pas de DPA, c'est OK"

Non. RGPD vous rend liable même si le vendor échoue. DPA signé = protection légale.

❌ "On log pas, on va pas avoir de breach anyway"

Faux. Que vous log ou pas, c'est traceable. Logging = preuve que vous gérez bien.

❌ "L'IA Act c'est juste pour marketing/HR"

Non. S'applique à TOUTE IA décisionnelle ou sensible (customer analysis, content moderation, etc.).

Ressources

  • RGPD official : https://gdpr-info.eu/
  • AI Act (EU) : https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-artificial-intelligence
  • DPA templates : https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
  • Anthropic trust center : https://www.anthropic.com/trust

À lire ensuite : Bloc 3 : Prompt Engineering 101 — Techniques de base pour utiliser l'IA efficacement

Voir tout le parcours du tutoriel →

Envie d'aller plus loin avec l'IA ?

Nos formations sont live, pratiques et certifiantes — appliquées à ton métier.

Voir les formations