Une idée reçue tenace : "l'IA, c'est nouveau, le RGPD ne s'y applique pas". C'est faux. Dès qu'un agent IA traite des données personnelles de vos clients (nom, email, numéro de téléphone, historique d'achat, message d'un chat), le RGPD s'applique exactement comme pour votre CRM ou votre base clients existante. Et depuis 2025, l'AI Act ajoute une couche européenne qui concerne aussi les PME.
Pas de panique. Voici les trois règles qui vous évitent l'écrasante majorité des problèmes, sans transformer chaque projet IA en chantier juridique de 6 mois.
Règle 1 · Une base légale claire, par traitement
Le RGPD ne vous interdit jamais de traiter des données personnelles. Il exige que vous puissiez justifier pourquoi vous les traitez. Pour une PME, les bases légales utilisables dans 95 % des cas sont au nombre de trois.
Le contrat
Vous traitez les données nécessaires à l'exécution d'un service avec votre client. Exemple : votre agent IA prend un rendez-vous pour une coupe de cheveux, il a besoin du nom et du téléphone du client. Pas de consentement à demander, c'est inhérent à la prestation.
L'intérêt légitime
Vous traitez les données pour un intérêt légitime de votre entreprise qui n'est pas disproportionné face aux droits des personnes. Exemple : analyser les conversations de votre agent IA pour améliorer ses réponses. Vous devez documenter la mise en balance (l'analyse est utile, elle ne porte pas atteinte aux personnes, vous ne croisez pas avec des données externes).
Le consentement
Vous demandez explicitement à la personne l'autorisation de traiter ses données pour une finalité précise. Indispensable pour : envoi de newsletter, profilage marketing avancé, partage de données avec un partenaire. Le consentement doit être libre, spécifique, éclairé, retirable à tout moment.
En pratique : pour chaque cas d'usage IA (agent prise de RDV, chatbot service client, programme de fidélité, prospection IA), vous écrivez en une phrase la base légale qui s'applique. C'est court, c'est suffisant pour 90 % des cas, et ça vous protège.
Règle 2 · Limitation des données
Vous ne collectez et ne conservez que ce qui est strictement nécessaire au traitement. C'est le principe de minimisation, et il a deux conséquences concrètes pour un projet IA.
Ne pas tout envoyer au modèle
Quand votre agent IA traite une demande, il n'a pas besoin de connaître l'historique complet de vos 5 000 clients. Donnez-lui accès au strict minimum : la conversation en cours, les données du client concerné, les informations métier nécessaires pour répondre. Tout le reste reste chez vous, n'est pas envoyé au fournisseur du modèle (OpenAI, Anthropic, Mistral, etc.).
Effacer les conversations après usage
Définissez une durée de conservation des conversations traitées par l'agent IA. Pour la plupart des cas en PME, 12 à 24 mois suffisent largement. Au-delà, les données anciennes sont supprimées automatiquement, sauf intérêt métier documenté.
Règle 3 · Information et droits des personnes
Les personnes dont vous traitez les données doivent savoir ce que vous faites et pouvoir exercer leurs droits (accès, rectification, effacement, opposition). Pour un projet IA, deux ajouts concrets à votre politique de confidentialité.
Indiquer l'usage d'IA
Si vos clients interagissent avec un agent IA (chatbot, agent vocal), il faut le dire clairement. Pas en petits caractères en bas de page : dès le début de la conversation, l'agent doit se présenter ("Bonjour, je suis Léo, l'assistant virtuel de la pharmacie X. Je peux répondre aux questions courantes ou vous orienter vers un pharmacien.").
Pouvoir passer à un humain
Le client doit pouvoir, à tout moment, demander à parler à une personne humaine. Cela peut être un transfert vers un standard, un email, ou la promesse d'un rappel. Le droit existe aussi quand votre agent IA prend une décision qui affecte significativement le client (refus d'un service, application d'un tarif spécifique).
Bonus · L'AI Act résumé en 3 phrases
L'AI Act européen, applicable depuis 2025, classe les systèmes d'IA selon leur niveau de risque (inacceptable, élevé, limité, minimal). Pour 99 % des cas en PME (agent de prise de rendez-vous, chatbot FAQ, programme de fidélité personnalisé), vous tombez dans la catégorie "risque limité" : obligations légères, surtout de transparence (dire que c'est une IA).
Les obligations lourdes (analyse d'impact, registre, audit) ne concernent que les usages à "risque élevé" : recrutement, notation de crédit, gestion de l'éducation, sécurité critique. Si vous n'êtes pas dans ces secteurs, l'AI Act ne change pas grand-chose pour vous au quotidien.
Le bon réflexe avant chaque déploiement IA
Avant chaque nouveau projet IA, posez-vous trois questions en 5 minutes :
- Quelles données personnelles vais-je traiter, et sous quelle base légale ?
- Combien de temps je les conserve, et qui y a accès ?
- Comment je préviens mes clients, et comment ils peuvent exercer leurs droits ?
Si vous savez répondre à ces trois questions en une phrase chacune, vous êtes dans 90 % des bons cas RGPD. Le reste, c'est de la documentation et un peu de pédagogie en interne.
Toutes les intégrations IA Kolya respectent le RGPD par construction : données hébergées en Europe, traitements documentés, durées de conservation paramétrées, informations des personnes intégrées dans les conversations.