Forgeron3
Connexion Démo
/ Sécurité4 août 20258 min de lecture

RGPD et assistants IA : les clés de la conformité

Sous-traitance article 28, AIPD, droits des personnes, durées de conservation : la check-list opérationnelle pour mettre votre assistant IA en conformité — sans payer un avocat 5 000 € pour rien.

F3
L’équipe Forgeron3Marseille & Paris

1. Qualifier les rôles : qui est responsable de quoi

Premier réflexe : identifier qui fait quoi.

  • Vous êtes responsable de traitement (vous décidez quels documents sont ingérés, à quelle fin, pour qui).
  • Le fournisseur d’assistant est sous-traitant au sens de l’article 28 RGPD (il traite des données personnelles pour votre compte).
  • L’hébergeur du fournisseur est sous-traitant ultérieur (sous-traitant de second rang).

Cette qualification déclenche tout le reste — contrats, garanties, audit, registre.

2. Le DPA (Data Processing Agreement) article 28

Avant la première ingestion, signez un DPA conforme à l’article 28 RGPD. Six clauses non négociables :

  1. L’objet, la durée, la nature et la finalité du traitement.
  2. Les types de données et catégories de personnes concernées.
  3. Les obligations du sous-traitant (instruction documentée, confidentialité, sécurité, audit).
  4. L’autorisation et la liste des sous-traitants ultérieurs.
  5. Les modalités de fin de contrat (restitution ou destruction des données).
  6. Les modalités d’audit (votre droit d’auditer le sous-traitant).

Si votre fournisseur ne fournit pas ce document spontanément, c’est mauvais signe. Notre DPA est disponible sur notre page sécurité.

3. L’AIPD : quand elle est obligatoire, comment la faire

L’analyse d’impact (AIPD) est obligatoire si le traitement présente un risque élevé pour les droits et libertés. Pour un assistant IA, on considère qu’elle l’est dès que :

  • Vous traitez des données sensibles (santé, judiciaire, opinions).
  • Vous traitez des données d’enfants ou de personnes vulnérables.
  • Le traitement est massif et systématique de données personnelles.

Pour les autres cas (FAQ produit, recherche documentaire interne sans données personnelles sensibles), l’AIPD n’est pas obligatoire mais reste recommandée.

Une AIPD basique se fait en deux semaines avec votre DPO ou un cabinet partenaire. Comptez entre 2 000 et 5 000 € selon la complexité.

Idée fausse répandue”On fera l’AIPD plus tard, quand le projet sera plus avancé.” Non. L’AIPD se fait avant le démarrage du traitement. Sinon, vous découvrez en septembre que le projet ne peut pas être conservé en l’état.

4. Les droits des personnes : ce que doit pouvoir faire votre assistant

Une personne dont les données ont été ingérées doit pouvoir exercer cinq droits :

  1. Accès : connaître quelles données sont stockées sur elle.
  2. Rectification : corriger une donnée inexacte.
  3. Effacement : faire supprimer ses données.
  4. Limitation : faire geler le traitement de ses données.
  5. Portabilité : récupérer ses données dans un format exploitable.

Vérifiez que votre fournisseur dispose d’une procédure documentée pour traiter ces demandes en moins d’un mois. Si non, vous serez en infraction.

5. Les durées de conservation

Définissez, et documentez, la durée de conservation de chaque type de donnée :

  • Documents ingérés (durée de la mission ou usage légitime, généralement entre 1 et 10 ans).
  • Conversations utilisateurs (typiquement 6 à 12 mois).
  • Journaux d’audit (typiquement 12 mois à 3 ans selon la criticité).

Au-delà, suppression automatique. C’est un paramétrage côté fournisseur, à vérifier explicitement.

6. Les transferts hors UE : à éviter, sinon à encadrer

Le RGPD n’autorise les transferts hors UE qu’avec des garanties spécifiques (clauses contractuelles types, décision d’adéquation, BCR). Mieux : pas de transfert du tout. C’est le sens de l’IA souveraine : hébergement en France, sous juridiction française, exploitant français.

7. Le registre des traitements : ce qu’il doit contenir

Ajoutez l’assistant IA à votre registre des traitements (article 30 RGPD), avec :

  • Finalité du traitement.
  • Catégories de personnes et de données.
  • Destinataires (internes, sous-traitants).
  • Durée de conservation.
  • Mesures de sécurité.
  • Transferts éventuels.

C’est un document interne, mais il sera demandé en cas de contrôle CNIL — comptez deux heures pour rédiger une fiche correcte.

Pour le détail des engagements Forgeron3 sur ces sept points, voir notre page sécurité & RGPD.

Aller au DPA

Vingt minutes pour passer le DPA en revue point par point, et identifier les ajustements nécessaires pour votre contexte (cabinet, collectivité, PME industrielle).

Réserver une démo

À lire ensuite.

/ Souveraineté9 min

Pourquoi choisir une IA souveraine en 2026

Sept critères concrets pour démêler le marketing du sérieux sur la souveraineté.

Lire →
/ Sécurité7 min

Les questions essentielles à poser à votre fournisseur IA

Quinze questions précises, avec les réponses à exiger en 2026.

Lire →
/ Méthode7 min

Intégrer un assistant IA à votre infrastructure IT

SSO, ACL, journaux, sauvegardes : ce que la DSI doit cadrer avant l’ingestion.

Lire →