Les points de vigilance RGPD pour une IA
Base légale & finalité
Chaque traitement doit reposer sur une base légale (mission d'intérêt public pour une collectivité) et une finalité déterminée. L'assistant IA doit avoir un périmètre d'usage documenté.
Analyse d'impact (AIPD)
Une technologie innovante traitant des données sensibles à grande échelle déclenche l'obligation d'AIPD (art. 35). À réaliser avant la mise en production, avec le DPO.
Droit à l'effacement dans un RAG
Dans un système RAG, un document est découpé en fragments vectorisés. Supprimer le fichier ne suffit pas : il faut une procédure qui purge aussi les vecteurs et les historiques. Un point technique que nous industrialisons.
Minimisation & conservation
Ne traiter que le nécessaire, définir des durées de conservation. Nos instances GPU sont stateless et effacées quotidiennement : minimisation structurelle.
Sous-traitance (art. 28)
Chaîne contractuelle claire entre responsable de traitement, prestataire et hébergeurs. Hébergement UE = pas de transfert hors Union à encadrer.
Comment une IA souveraine aide
- ✓ Données hébergées en UE, sous le seul droit européen
- ✓ Minimisation par conception (instances éphémères, effacement quotidien)
- ✓ Documentation prête pour le DPO et l'AIPD
- ✓ Anonymisation des données quand des API tierces sont utilisées
Sources officielles
- linkRèglement (UE) 2016/679 (RGPD) : texte intégral sur EUR-Lex
Le texte officiel du règlement général sur la protection des données.
- linkCNIL : Intelligence artificielle
Recommandations de la CNIL sur l'IA et les données personnelles (fiches pratiques, IA générative).
- linkCNIL : L'analyse d'impact (AIPD)
Quand et comment réaliser une AIPD (art. 35 RGPD).
Un projet IA conforme dès le départ
Nous fournissons la documentation de conformité et accompagnons votre DPO. Voir aussi le règlement IA (AI Act).
Discuter de votre conformité