Retour
IA24/03/2026

IA et RGPD : la nouvelle position CNIL 3 ans après ChatGPT

Mars 2026 : trois ans pile après le lancement tonitruant de ChatGPT, le paysage de l’intelligence artificielle en Europe s’éclaircit. La CNIL, longtemps perçue comme un frein, publie ses nouvelles rec...

Mars 2026 : trois ans pile après le lancement tonitruant de ChatGPT, le paysage de l’intelligence artificielle en Europe s’éclaircit. La CNIL, longtemps perçue comme un frein, publie ses nouvelles recommandations IA-RGPD. Faut-il y voir un tournant pour les entreprises qui hésitaient encore à déployer des modèles de langage ? Décryptage d’une position qui change la donne pour les PME et ETI.

Trois ans après ChatGPT, la CNIL remet les pendules à l’heure

L’effervescence de 2023 a laissé place à une maturité réglementaire. Si certains pensaient que le RGPD allait étouffer l’innovation IA en Europe, la CNIL affirme aujourd’hui le contraire : « l’idée que le RGPD empêche l’innovation IA en Europe est fausse ». Dans son nouveau guide publié le 24 mars 2026, l’autorité détaille les conditions d’une IA responsable sans sacrifier la compétitivité.

Pour les DSI et RSSI que j’accompagne chez Meteris, cette clarification tombe à point nommé. Beaucoup redoutaient des interdictions massives. La réalité est plus nuancée : il s’agit d’encadrer l’usage des données personnelles dans l’entraînement et l’exploitation des modèles, pas de les proscrire.

Ce que disent réellement les nouvelles recommandations

Le texte de 2026 repose sur trois piliers : transparence, responsabilité et proportionnalité. Le plus impactant pour les entreprises ? L’obligation d’informer les personnes concernées lorsque leurs données ont servi à entraîner un modèle et ont été potentiellement mémorisées par celui-ci.

Concrètement, si une PME utilise un LLM entraîné sur des données clients ou prospects, et que ce modèle est capable de restituer des fragments identifiants (comme un nom ou un email), elle devra le signaler. Une charge nouvelle, mais pas insurmontable avec les bons outils de gouvernance.

« Les données personnelles ne doivent pas être un simple carburant pour l’IA, mais une ressource tracée et respectée » – extrait du guide CNIL 2026.

Quand vos données personnelles sont-elles apprises par une IA ?

La notion de « mémorisation potentielle » est centrale. La CNIL distingue trois cas :

  • L’entraînement volontaire sur un jeu de données contenant des données personnelles.
  • La collecte par scraping non supervisé de données publiques.
  • L’inférence involontaire via les interactions utilisateur (prompts contenant des données sensibles).

Chaque cas impose des mesures différentes : de l’analyse d’impact (AIPD) à l’information préalable, en passant par le droit d’opposition. Un vrai chantier pour les directions juridiques et informatiques.

Le grand chantier 2026 : guides santé, travail et clarification des responsabilités

La CNIL ne s’arrête pas là. Son programme de travail 2026 prévoit la finalisation de deux guides majeurs : IA et santé (pour l’aide au diagnostic et la gestion des données médicales), et IA et travail (surveillance des salariés, évaluation automatisée).

Autre point clé : la clarification des responsabilités dans la chaîne « concepteur / déployeur / utilisateur ». Jusqu’ici, un éditeur d’IA générative pouvait renvoyer la balle vers l’entreprise cliente, et vice versa. Désormais, les rôles sont mieux définis :

  • Le concepteur doit garantir la conformité du modèle (base d’apprentissage, biais, explicabilité).
  • Le déployeur (souvent l’intégrateur) s’assure que l’usage reste dans le cadre légal (dont le RGPD).
  • L’utilisateur final (salarié, médecin, manager) est tenu de respecter les règles internes validées par le DPO.

Une répartition qui facilitera l’audit et la certification, notamment pour les PME qui passent par des prestataires – une situation fréquente chez nos clients Meteris.

CNIL, future autorité de surveillance du règlement IA européen

Au-delà du RGPD, la CNIL se prépare à endosser un rôle élargi : celui d’autorité de surveillance du marché au titre du règlement IA européen (IA Act). Concrètement, elle pourra contrôler les systèmes d’IA à haut risque, prononcer des amendes administratives et ordonner des retraits du marché.

Pour les entreprises françaises, cela signifie un guichet unique en matière de conformité IA. Non plus une superposition de textes contradictoires, mais une articulation entre RGPD et IA Act. La CNIL promet des lignes directrices communes d’ici 2027. En attendant, les nouvelles recommandations de mars 2026 constituent la feuille de route immédiate.

Ce qui change pour les PME et ETI : trois leviers concrets

Face à ce cadre, que faire concrètement ? Voici trois actions prioritaires que je recommande dans mes missions chez Meteris :

  1. Réaliser un inventaire des usages IA. Quels modèles sont utilisés ? Quelles données y circulent ? Beaucoup d’entreprises ignorent que leurs équipes utilisent ChatGPT même en version gratuite, exposant des données clients sans protection.
  2. Mettre en place une procédure d’information pour les personnes concernées. La CNIL exige désormais que toute personne dont les données ont pu être mémorisées par un modèle en soit informée. Un formulaire standardisé peut suffire, mais il faut l’activer.
  3. Auditer les contrats avec les fournisseurs d’IA. Vérifier que le concepteur prend en charge les obligations RGPD (sous-traitance, transferts hors UE, etc.). C’est le premier rempart contre les mauvaises surprises.

J’ai vu une TPE du secteur retail économiser plusieurs jours de travail en automatisant la production de fiches produits via un LLM interne, hébergé en France. Le coût de mise en conformité (AIPD, information) a été absorbé en trois mois grâce aux gains de productivité. Un exemple concret que la CNIL valide.

L'essentiel à retenir

  • La CNIL réfute l’idée que le RGPD bloque l’innovation IA : elle publie un cadre positif pour une IA responsable.
  • Obligation nouvelle : informer les personnes dont les données ont été potentiellement mémorisées par un modèle.
  • Les guides IA santé et travail seront finalisés en 2026, avec une clarification des responsabilités (concepteur/déployeur/utilisateur).
  • La CNIL devient autorité de surveillance du règlement IA européen, simplifiant le pilotage pour les entreprises.
  • Trois leviers concrets pour les PME : inventorier les usages, informer les personnes, auditer les contrats fournisseurs.

Pour aller plus loin

💡 L'avis Meteris – L’IA responsable n’est pas un concept flou : c’est un avantage concurrentiel dès lors qu’on anticipe les obligations. Chez Meteris, nous accompagnons les PME et ETI dans leur mise en conformité IA-RGPD, de l’audit des usages à la rédaction des procédures. Contact : contact@meteris.fr – 01 83 62 33 27.

Article rédigé par Nicolas B., Consultant Solutions - Meteris.

Un projet en tête ?

Discutons de vos besoins IT.

Audit gratuit
Choix cookies requis

Cookies et mesure d'audience

METERIS peut activer Matomo pour mesurer la frequentation de meteris.fr. Le suivi n'est charge qu'apres votre accord explicite. Consultez la politique de cookies pour le detail des traceurs et la gestion de vos choix.