Politique de données et confidentialité — RGPD, AI Act et sécurité
Protéger les données en utilisant l'IA : RGPD compliance, anonymization, data residency, best practices de sécurité.
Le défi : RGPD vs IA
Scénario typique : Vous avez des données client (noms, emails, historique achats). Vous voulez utiliser Claude pour analyser les préférences → recommandations.
Problème : Les données personnelles ne doivent pas traîner dans un cloud public sans contrôle.
Solution : Policy rigoureuse sur quoi peut aller en IA.
RGPD 101 pour l'IA
Les principes clés du RGPD
- Légalité : Vous avez une base légale pour traiter cette donnée
- Minimisation : Utiliser uniquement les données nécessaires
- Transparence : Dire aux gens qu'on utilise leur data
- Droit d'accès : Pouvoir savoir quelles données on a sur vous
- Right to be forgotten : Pouvoir demander suppression
Où ça devient compliqué avec l'IA
Donnée client → Vous → Claude (API cloud) → Résultats → Vous
Question RGPD : "Où est la donnée à chaque étape ?
Qui y accède ? Comment on la protège ? Peut-on la récupérer ?"
Policy type : "Données & Confidentialité dans l'IA"
Catégorie 1 : Données JAMAIS en IA ❌
- Numéros de sécurité sociale
- Identifiants bancaires
- Données médicales détaillées (sauf très contrôlé)
- Identité de mineurs
- Données biométriques
Pourquoi : Risque trop élevé, même avec anonymization.
Catégorie 2 : Données Conditionnellement en IA ⚠️
Peuvent aller en IA si vous faites ces trucs :
Cas 1 : Anonymization
Avant : "Alice Martin, email alice@example.com, a acheté X"
Après : "Customer_ID_12345, account created 2023, purchased X"
Envoyé en IA : Customer_ID_12345, purchased X
Claude ne sait pas qui c'est → OK RGPD
Cas 2 : Data residency (on-prem)
Données restent chez vous, pas cloud
Vous pouvez utiliser LLM self-hosted (Llama, Mistral)
Claude ne les voit pas → OK
Cas 3 : Aggregated/statistical
Avant : 10,000 customer records avec historique
Après : "Average customer spends $500/year, 80% buy furniture"
Envoyé en IA : Aggregated insights (pas de PII)
Claude reçoit stats agrégées → OK
Cas 4 : User-initiated (l'utilisateur consent explicitement)
Customer writes : "Mon nom est Alice, j'ai un problème avec la commande #12345"
Leur choix de partager. Claude voit le nom.
Mais vous loggez : "User shared PII, AI accessed it"
Et vous pouvez récupérer/supprimer après → OK RGPD
Catégorie 3 : Données LIBRES de passer en IA ✅
- Textes publics (articles, documentation)
- Données anonymisées/pseudonymisées
- Données agrégées (statistiques)
- Contenu utilisateur générique (sans PII)
AI Act : Les exigences pour l'EU
Risque "Élevé" : Vous devez
- [ ] Documentation de l'algorithme
- [ ] Audit réguliers
- [ ] Humans in the loop (personne approuve les résultats critiques)
- [ ] Transparence vers l'utilisateur ("This is AI-generated")
- [ ] Monitoring des biais
Risque "Très élevé" : (reconnaissance faciale, justice, recrutement)
Beaucoup plus restreignant. Souvent = interdiction ou approbation pré-déploiement.
Mise en place : 5 étapes
Étape 1 : Audit de données (2-3 jours)
Inventoriez toutes les données que vous avez :
Data Type | Sensitivity | Current Use | Could go in AI? | If yes, how?
Customer names | High | CRM | Only if anonymized
Email addresses | Med | Mailing | Only if anonymized
Purchase history | Med | Analytics | Yes, anonymized
Public feedback | Low | Reporting | Yes, directly
Étape 2 : Matrice de risque
Scorer chaque data type :
Risk = (Sensitivity × User base × Identifiability) / (Controls × Transparency)
Si Risk > 5 : Ne pas en IA
Si Risk 3-5 : Conditionnellement (anonymization)
Si Risk < 3 : Autorisé
Étape 3 : Workflow d'approbation
Avant tout IA use case impliquant de la data :
1. Team propose : "On veut utiliser Claude pour analyser customer feedback"
2. Data officer check : "Quelles données ? Sensitive ? Anonymisées ?"
3. Legal/DPO review : "RGPD OK ?"
4. Approval ou Conditions
5. Deployment avec logging
Étape 4 : Anonymization standards
Si vous devez anonymizer :
Good :
- Remove email, phone, address
- Replace names with IDs
- Aggregate locations (city level, not street)
Better :
- k-anonymity (hard to re-identify even with external data)
- Use differential privacy (mathematical guarantee of privacy)
Not enough :
- Just remove email and think you're fine (other fields can re-identify)
Étape 5 : Logging & Audit trail
Toujours logger :
{
"timestamp": "2026-08-01T10:00:00Z",
"use_case": "customer_feedback_analysis",
"data_category": "anonymized_text",
"user_id": "analyst_jane_doe",
"data_sent_to_ai": "feedback_text_only",
"pii_present": false,
"legal_basis": "Legitimate_interest + user_consent",
"approval_id": "DA_2026_001",
"result": "[AI output]",
"human_review": "approved",
"audit_log_link": "/audit/DA_2026_001"
}
Contrats & Agreements
Data Processing Addendum (DPA)
Si vous utilisez une IA tiers (Claude, ChatGPT, etc.) avec des données, vous DEVEZ un contrat clair.
Points clés du DPA :
- Where data is stored (EU data center ?)
- How long it's kept (30 days, then delete)
- Encryption in transit & at rest
- Sub-processors (who else touches data ?)
- Right to audit
- Incident response (if breach)
- GDPR compliance obligations
Anthropic exemple :
- Claude (API) : Has DPA available, EU data centers option available
- Data policy : "No long-term storage, no model training on your data"
- You control retention (can delete immediately)
Consent & Transparency
Règle simple : Si c'est personal data, dire à la personne.
"When you chat with us, we use Claude (an AI) to help respond.
Your conversation may be processed by Anthropic (see their privacy policy).
Your data is [anonymized / encrypted / deleted after 30 days]."
Checklist : Êtes-vous compliant ?
Data & Privacy :
- [ ] Audit données faite (quel data peut aller en IA ?)
- [ ] Policy écrite : "Categories of data" (jamais / conditionnelle / libre)
- [ ] DPA signé avec fournisseurs IA (Anthropic, OpenAI, etc.)
- [ ] Anonymization standards définis
- [ ] Logging/audit trail en place
- [ ] Incident response plan (quoi faire si breach ?)
RGPD & Legal :
- [ ] Legal review de votre AI use cases
- [ ] DPO involved dans decisions
- [ ] Transparency statements (users know AI is used)
- [ ] Rights respect (access, deletion, portability)
EU Specific (AI Act) :
- [ ] Risk assessment par use case
- [ ] Documentation algorithm / training data
- [ ] Monitoring plan pour bias
- [ ] Humans-in-loop pour risque "élevé"
Erreurs courantes
❌ "On anonymize juste en supprimant les noms"
Insufficient. Email + purchase history peut re-identify. Use proper k-anonymity.
❌ "On a pas de DPA, c'est OK"
Non. RGPD vous rend liable même si le vendor échoue. DPA signé = protection légale.
❌ "On log pas, on va pas avoir de breach anyway"
Faux. Que vous log ou pas, c'est traceable. Logging = preuve que vous gérez bien.
❌ "L'IA Act c'est juste pour marketing/HR"
Non. S'applique à TOUTE IA décisionnelle ou sensible (customer analysis, content moderation, etc.).
Ressources
- RGPD official : https://gdpr-info.eu/
- AI Act (EU) : https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-artificial-intelligence
- DPA templates : https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
- Anthropic trust center : https://www.anthropic.com/trust
À lire ensuite : Bloc 3 : Prompt Engineering 101 — Techniques de base pour utiliser l'IA efficacement
Voir tout le parcours du tutoriel →
Envie d'aller plus loin avec l'IA ?
Nos formations sont live, pratiques et certifiantes — appliquées à ton métier.
Voir les formations