IA et RGPD pour les PME : ce qu'il faut vraiment savoir en 2026
Quelles sont les obligations RGPD quand une PME déploie un agent IA ? Bases légales, hébergement des données, DPA, secteurs sensibles. Guide pratique sans jargon.
Steven Texier
Fondateur · Vulcia
\"Est-ce que c'est RGPD-conforme ?\" — c'est la première question que posent 80% des dirigeants de PME avant de déployer un agent IA. La réponse courte : oui, à condition de faire les choses dans l'ordre. Voici ce que vous devez savoir, sans le jargon juridique inutile.
Ce que le RGPD impose concrètement pour un agent IA
1. Avoir une base légale pour traiter les données
Avant de déployer un agent IA qui collecte des données (nom, email, numéro de téléphone, besoins), vous devez avoir une raison légale de le faire. Pour la plupart des PME, c'est l'une de ces trois bases :
- Intérêt légitime : vous êtes un prestataire de services, et répondre à une demande client est légitime
- Consentement explicite : l'utilisateur a accepté d'être contacté (formulaire avec case à cocher)
- Exécution d'un contrat : l'agent gère une relation commerciale existante
2. Informer les personnes de la collecte
Dès que votre agent IA collecte des données, vous devez l'indiquer clairement — dans la première interaction ou dans la politique de confidentialité liée au widget de chat.
- Qui collecte les données (votre entreprise)
- Pourquoi (traitement des demandes clients)
- Combien de temps elles sont conservées
- Comment exercer ses droits (suppression, accès, portabilité)
3. Signer un DPA avec votre prestataire IA
Quand vous utilisez un outil IA tiers (Mistral, OpenAI, Anthropic) pour traiter des données client, ce prestataire est un sous-traitant. Vous devez signer un DPA (Data Processing Agreement) qui définit ses obligations envers vous.
- Tous les grands fournisseurs proposent un DPA standardisé
- Vulcia fournit un DPA avec chaque déploiement
- Sans DPA, vous êtes en infraction RGPD même si le traitement est légitime
Hébergement des données : France, UE ou USA ?
Le RGPD n'interdit pas l'hébergement hors UE — mais il impose des garanties spécifiques. En pratique :
Les secteurs avec des obligations renforcées
Santé (médecins, kinés, pharmacies, dentistes)
Données de santé = catégorie spéciale RGPD. Hébergement HDS (Hébergement Données de Santé) obligatoire. Nous utilisons Mistral AI Paris + certification HDS.
Juridique (avocats, notaires, huissiers)
Secret professionnel renforcé. Les données de dossiers ne doivent jamais transiter via des serveurs hors UE. Notre agent ne traite que les données de contact — jamais le contenu des dossiers.
Finance (comptables, banques, assurances)
Données financières sensibles. Hébergement France recommandé. DPA obligatoire avec chaque prestataire. Audit de sécurité avant déploiement.
Ressources humaines
Données de salariés et de candidats = données sensibles. Consentement explicite requis. Conservation limitée dans le temps (6 mois pour les candidatures non retenues).
Ce que vous devez mettre en place avant le déploiement
Mise à jour de la politique de confidentialité de votre site (mention de l'IA)
Vulcia fournitBandeau de consentement sur le widget de chat si collecte de données personnelles
Vulcia fournitSignature du DPA avec Vulcia (fourni avec chaque contrat)
Vulcia fournitRegistre des traitements mis à jour (obligation RGPD pour toutes les organisations)
À faireProcédure de réponse aux demandes de droits RGPD (suppression, accès, portabilité)
À faireLes risques réels en cas de non-conformité
La CNIL a prononcé des amendes allant de 3 000€ pour une PME à plusieurs millions pour les grandes entreprises. Pour les PME, les risques les plus courants sont :
En pratique, la CNIL préfère l'accompagnement à la sanction pour les PME de bonne foi. Les 5 points de la checklist ci-dessus suffisent pour être en conformité de base.
Steven Texier
Fondateur d'Vulcia. Spécialiste en automatisation IA, SEO et acquisition pour PME françaises. Accompagne les dirigeants qui veulent des résultats mesurables, pas des projets pilotes.
En savoir plusTravailler avec Steven →