Chatbot interne RGPD : déployer l'IA sans fuite de données RH
Grand public vs API : la différence qui vous protège des amendes CNIL - ou qui vous y expose.
Expertise terrain 2LKATIME - Conformite IA & RGPD
Depuis 2024, 2LKATIME accompagne des PME et ETI parisiennes dans le déploiement de chatbots internes conformes au RGPD. Cet article synthétise les erreurs les plus fréquentes observées en audit et la méthode de déploiement que nous appliquons pour nos clients - avec les références réglementaires exactes (CNIL, AI Act, NIS2).
Un employé RH qui demande à ChatGPT d'analyser un fichier Excel contenant les salaires de l'équipe. Un responsable commercial qui colle la liste de ses clients dans Claude.ai pour générer un email de relance. Un DSI qui teste Gemini avec des données de production pour préparer un rapport de direction. Ces trois scénarios se produisent tous les jours dans les PME françaises - et les trois constituent des violations directes du RGPD passibles d'amendes CNIL et, dans le cas des données RH, de risques prud'homaux réels.
La solution n'est pas d'interdire l'IA en entreprise - c'est impossible et contre-productif. C'est de déployer un chatbot interne correctement configuré, avec les bonnes garanties contractuelles et la bonne architecture technique. Ce guide explique la différence entre l'offre grand public et l'API professionnelle, comment choisir entre Claude, GPT et leurs équivalents souverains, et les 5 étapes pour un déploiement conforme que votre DPO validera.
1. Le vrai risque : ce qui se passe avec ChatGPT grand public et vos données RH
La confusion principale vient d'une méconnaissance simple : il existe deux versions de chaque outil IA majeur. L'interface web gratuite ou peu chère (chat.openai.com, claude.ai, gemini.google.com) d'un côté - l'API professionnelle avec contrat de traitement de données de l'autre. La frontière n'est pas qu'une question de prix. C'est une frontière juridique.
Quand un employé utilise ChatGPT via l'interface grand public, les conversations peuvent - selon les paramètres et les CGU en vigueur - être utilisées pour améliorer les modèles d'OpenAI. Même avec l'option "ne pas utiliser mes conversations pour l'entraînement" activée, les données transitent sur des serveurs américains sans DPA (Data Processing Agreement) formel entre votre entreprise et OpenAI. Pour la CNIL, ce transfert sans base légale constitue une infraction caractérisée à l'article 46 du RGPD.
73%
des employés utilisent des outils IA non approuvés au travail (Gartner 2026)
20M€
ou 4% du CA - amende max RGPD pour transfert illicite de données
48h
délai légal pour notifier une fuite à la CNIL après découverte
0
PME française condamnée par la CNIL ayant un DPA en ordre et un registre à jour
Le risque metier pour le CEO et le DRH
Si un employé demande à une IA d'analyser un fichier Excel contenant les salaires ou les motifs d'arrêts maladie de l'équipe sans garde-fou, votre entreprise est en violation directe du RGPD. Les données salariales et médicales sont des données sensibles au sens de l'article 9 du RGPD - leur traitement non autorisé expose à des amendes majorées et à des risques prud'homaux si un salarié découvre que ses données ont transité vers un service tiers sans son consentement explicite.
Le phénomène de Shadow AI aggrave le problème : vos employés n'attendent pas votre validation pour utiliser les outils qu'ils trouvent utiles. Si vous n'offrez pas une alternative interne approuvée, ils continuent à utiliser ChatGPT grand public avec vos données sensibles - en pensant bien faire.
2. Grand public vs API : le tableau comparatif que votre DPO attend
La différence entre l'offre grand public et l'API professionnelle est fondamentale sur cinq critères RGPD. Voici le tableau que 2LKATIME utilise systématiquement lors de nos audits de conformité IA pour les PME parisiennes et en région lyonnaise.
| Critere RGPD | ChatGPT Grand Public | Claude.ai Grand Public | API Claude (DPA) | Azure OpenAI (EU) |
|---|---|---|---|---|
| DPA disponible | Non (CGU seules) | Non (CGU seules) | Oui (CCT inclus) | Oui (CCT + EU) |
| Reentrainement sur vos donnees | Par defaut oui | Par defaut oui | Non (zero retention) | Non (zero retention) |
| Residence des donnees | USA (SCCs) | USA (SCCs) | USA (CCT signable) | EU possible |
| Logs et audit trail | Non accessible | Non accessible | Oui via API logs | Oui (Azure Monitor) |
| Conformite article 30 RGPD | Impossible | Impossible | Documentable | Documentable |
A retenir : L'API Claude d'Anthropic inclut dans ses conditions professionnelles une clause de non-réentraînement sur les données clients et la possibilité de signer des Clauses Contractuelles Types (CCT) pour légaliser le transfert vers les États-Unis. Ce n'est pas le cas de l'interface claude.ai grand public. La frontière est contractuelle, pas technique.
3. Data Residency : le problème de la souveraineté des données
Pour la majorité des PME françaises, la combinaison API Claude + DPA + CCT est suffisante pour être en conformité RGPD. Mais certains secteurs ont des contraintes de souveraineté qui vont plus loin : établissements de santé, cabinets d'avocats, ETI sous-traitantes de l'État, entreprises soumises à NIS2 dans les secteurs critiques.
Anthropic ne dispose pas encore d'une région de traitement européenne dédiée à date. Les données transitent via des serveurs américains, ce qui est légal avec un DPA et des CCT en place - mais insuffisant pour les acteurs soumis aux règlements sectoriels français comme HDS (Hébergement de Données de Santé) ou pour les OES/OIV visés par la directive NIS2.
Option 1 : API Claude + DPA + CCT (recommande pour la majorite des PME)
Convient pour : commerce, services, industrie, cabinets de conseil, agences. Le DPA Anthropic couvre la non-rétention des données et les CCT légalisent le transfert transatlantique. Documentez dans votre registre CNIL avec la mention "Transfert vers USA - CCT Anthropic signées le [date]". Votre DPO peut valider ce schéma.
Option 2 : Azure OpenAI avec region EU (pour les contraintes de souverainete)
Azure OpenAI permet de choisir une région de traitement en Europe (France Central, West Europe). Les données ne sortent pas de l'UE. Convient pour les ETI sous-traitantes de l'État, les professionnels de santé, les cabinets juridiques. Coût plus élevé et intégration plus complexe - mais la souveraineté est totale.
Option 3 : LLM open source on-premise (pour la souverainete maximale)
Déployer un modèle comme Mistral, Llama ou Gemma sur votre infrastructure interne. Aucun transfert de données vers l'extérieur. Convient pour les OES/OIV, les établissements de santé HDS, les entités gouvernementales. Nécessite une infrastructure GPU et une expertise DevOps - 2LKATIME accompagne ce type de déploiement pour les ETI bordelaises et nantaises via nos formules régionales.
4. Les 5 etapes d'un déploiement chatbot interne conforme
Voici le processus que 2LKATIME applique pour chaque déploiement de chatbot interne. Ces 5 étapes permettent d'obtenir la validation du DPO, de documenter correctement le traitement pour le registre CNIL, et de minimiser le risque en cas de contrôle.
Etape 1 - Cartographier les donnees qui entreront dans le chatbot
Avant tout déploiement, lister exhaustivement les types de données que les employés pourraient envoyer : données clients (noms, emails, SIREN), données RH (salaires, contrats, arrêts maladie), données financières (bilans, prévisions), données techniques (code source, configuration). Cette cartographie détermine le niveau de risque et la solution technique appropriée. Ne jamais déployer sans avoir fait cet exercice.
Etape 2 - Choisir la solution technique et signer le DPA
Sur la base de la cartographie, choisir entre API Claude + DPA, Azure OpenAI EU ou LLM on-premise (voir section précédente). Signer le DPA avec le fournisseur retenu et archiver le document signé avec sa date. Sans DPA signé, aucune utilisation de données personnelles n'est légalement possible.
Etape 3 - Mettre en place des garde-fous techniques
Deux niveaux de protection : en amont (filtrage des inputs - bloquer les patterns qui ressemblent à des numéros de sécurité sociale, IBAN, données de santé avant envoi à l'API) et en aval (journalisation de chaque requête pour audit, alerte si volume anormal). Un employé ne doit pas pouvoir envoyer un fichier Excel RH complet sans avertissement. Les règles de sécurisation des workflows IA s'appliquent ici intégralement.
Etape 4 - Documenter dans le registre CNIL et faire valider par le DPO
Créer une fiche de traitement dans votre registre CNIL (article 30 RGPD) : nom du traitement "Chatbot IA interne", finalité, catégories de données traitées, destinataires (Anthropic/OpenAI/Azure), base légale (intérêt légitime ou consentement selon les cas), durée de conservation des logs, mesures de sécurité. Depuis l'AI Act (août 2026), ajouter une évaluation des risques IA si le système prend des décisions automatisées.
Etape 5 - Former les collaborateurs et déployer la charte IA
La meilleure protection technique ne vaut rien sans la compréhension des utilisateurs. Une charte IA signée par chaque collaborateur - expliquant ce qu'ils peuvent et ne peuvent pas envoyer à l'outil - est obligatoire. Elle doit être simple (1 page maximum), concrète (exemples de données autorisées et interdites) et annexée au règlement intérieur. La charte vous protège aussi en cas de prud'hommes si un employé utilisait l'outil à mauvais escient.
5. Registre CNIL, AI Act et NIS2 : vos obligations documentaires en 2026
Depuis le 2 août 2026, l'AI Act européen est pleinement applicable aux PME françaises. Pour un chatbot interne, les obligations varient selon le niveau de risque du système - mais aucune PME n'est exemptée de documentation.
Ce que vous devez avoir en place
- - Fiche registre CNIL pour chaque chatbot IA (article 30 RGPD)
- - DPA signé avec chaque fournisseur IA (Anthropic, OpenAI, Google)
- - Charte IA signée par chaque collaborateur
- - Journalisation des requêtes (12 mois minimum)
- - Évaluation des risques IA si décisions automatisées (AI Act)
- - Politique DLP pour bloquer l'envoi de données sensibles vers des outils non approuvés
Ce qui expose à des sanctions
- - Utilisation de ChatGPT grand public avec données personnelles sans DPA
- - Absence du chatbot IA dans le registre CNIL
- - Transfert de données RH (salaires, santé) vers API étrangère sans CCT
- - Absence de formation des employés (responsabilité employeur engagée)
- - Décisions automatisées sans possibilité de recours humain (AI Act art. 14)
- - Pour les OES NIS2 : absence de mesures techniques documentées sur les outils IA
La directive NIS2 ajoute une couche supplémentaire pour les entreprises des secteurs critiques (énergie, transport, santé, infrastructure numérique, sous-traitants de l'État) : les outils IA utilisés en interne doivent faire l'objet d'une analyse de risques formelle et d'une procédure de gestion des incidents incluant les défaillances IA.
Pour les PME parisiennes qui souhaitent être accompagnées dans cette mise en conformité, nos formules d'audit et de conformité RGPD/IA couvrent l'ensemble du processus : cartographie des traitements, sélection de la solution technique, déploiement sécurisé, rédaction de la charte IA et documentation CNIL.
Bon a savoir : La CNIL a publié en 2025 ses premières lignes directrices sur l'IA et le RGPD. Elle ne cherche pas à sanctionner les entreprises qui utilisent l'IA - elle cherche à sanctionner celles qui l'utilisent sans documentation ni mesures de protection. Un dossier complet (DPA, registre, charte, logs) protège votre PME même si un incident se produit, en démontrant votre bonne foi et vos mesures préventives.
FAQ - Chatbot interne RGPD et conformité IA
ChatGPT gratuit respecte-t-il le RGPD en entreprise ?
Non. La version grand public de ChatGPT (chat.openai.com) utilise par défaut vos conversations pour améliorer ses modèles. Si un employé y envoie des données personnelles (salaires, dossiers RH, données clients), votre entreprise est en infraction RGPD. Seule l'API OpenAI avec DPA signé et option de non-rétention désactive ce réentraînement. L'interface web grand public ne permet pas de signer un DPA.
Quelle est la différence entre l'API Claude et Claude.ai pour la conformité ?
Claude.ai (interface grand public) peut utiliser vos conversations selon les CGU d'Anthropic. L'API Claude avec un DPA signé garantit la non-rétention des données et l'absence de réentraînement. Pour un chatbot interne conforme, vous devez impérativement passer par l'API avec DPA - pas par l'interface web grand public. La différence est contractuelle et non technique.
Doit-on documenter un chatbot interne IA dans le registre CNIL ?
Oui, obligatoirement. Tout traitement de données personnelles via un outil IA doit être documenté dans le registre des activités de traitement (article 30 RGPD). Depuis l'AI Act (août 2026), les systèmes IA à usage professionnel doivent également faire l'objet d'une évaluation des risques. Une PME sans documentation exposée à un contrôle CNIL risque des amendes jusqu'à 10 millions d'euros ou 2% du CA mondial.
Anthropic héberge-t-il les données en Europe ?
Pas encore de région EU dédiée chez Anthropic à date. Les données transitent via des serveurs aux États-Unis. Cela n'est pas illégal si un DPA avec clauses contractuelles types (CCT) est en place - ce qu'Anthropic propose dans ses conditions professionnelles. Pour les entreprises soumises à des contraintes de souveraineté strictes (santé, défense, sous-traitants État), Azure OpenAI propose une région EU et une option d'hébergement sur site.
Comment empêcher les employés d'utiliser ChatGPT avec des données confidentielles ?
La solution technique passe par le filtrage DNS/proxy (bloquer chat.openai.com, claude.ai, gemini.google.com sur le réseau d'entreprise), combiné à une politique DLP et une charte IA signée. Mais la solution la plus efficace est humaine : proposer une alternative interne approuvée, simple et utile. Un chatbot interne bien conçu supprime le besoin des outils non autorisés - vos employés n'utilisent ChatGPT grand public que parce qu'ils n'ont pas mieux à disposition.
Votre chatbot interne est-il vraiment conforme au RGPD ?
2LKATIME est la seule agence IA en France qui combine expertise IA et auditeurs cybersécurité certifiés OSCP/OSEP. Nous déployons votre chatbot interne de bout en bout : sélection de la solution, DPA, architecture sécurisée, charte IA, documentation CNIL - et pentest du système avant mise en production. Un seul interlocuteur pour votre DSI, votre DPO et votre DRH.