Une PME française de 20 personnes dans le marketing utilise ChatGPT au quotidien. Génération d'emails, posts LinkedIn, briefs créatifs, analyses concurrentielles : les usages se multiplient. Mais cette adoption rapide expose la structure à des risques juridiques majeurs sous l'EU AI Act et le RGPD. Voici comment sécuriser ces usages, étape par étape, avec un plan d'action opérationnel.
L'essentiel en 30 secondes
- ChatGPT relève des modèles d'IA à usage général (GPAI) encadrés par le chapitre V du Règlement (UE) 2024/1689, avec des obligations de transparence pour les déployeurs (Article 50)
- Les PME bénéficient de mesures d'accompagnement spécifiques au titre de l'Article 62 du Règlement (UE) 2024/1689, mais ne sont pas exemptées des obligations de base
- Le RGPD exige une base légale documentée pour tout traitement de données personnelles via ChatGPT (Art. 6 du Règlement (UE) 2016/679)
- Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Article 99 du Règlement (UE) 2024/1689)
- Une analyse d'impact relative à la protection des données (AIPD) est requise pour les traitements présentant un risque élevé (Art. 35 RGPD)
- La formation à la littératie IA des collaborateurs est obligatoire depuis le 2 février 2025 (Article 4 du Règlement (UE) 2024/1689)
1. Contexte : utilisation de ChatGPT par une équipe marketing de 20 personnes
Prenons une PME fictive, « Atelier Lumen », agence marketing française de 20 salariés basée à Lyon. Son équipe utilise ChatGPT Plus depuis 18 mois pour quatre cas d'usage principaux.
| Cas d'usage | Fréquence | Données traitées | Niveau de risque |
|---|---|---|---|
| Rédaction d'emails et posts | Quotidien (12 personnes) | Données clients B2B (noms, fonctions, secteurs) | Élevé |
| Analyse de bases CRM pour personnalisation | Hebdomadaire (4 personnes) | Coordonnées, historique d'achat | Très élevé |
| Optimisation de campagnes publicitaires | Mensuel (3 personnes) | Statistiques d'audience anonymisées | Faible |
| Brief créatif et idéation | Quotidien (20 personnes) | Aucune donnée personnelle | Très faible |
Les risques identifiés par l'audit interne sont concrets. Premier risque : la fuite de données clients lorsqu'un commercial copie un fichier CRM dans le prompt. Deuxième risque : le biais algorithmique dans les recommandations de segmentation, susceptible de générer une discrimination indirecte. Troisième risque : l'absence de traçabilité des contenus générés, problématique lors d'un audit CNIL ou client.
Pour comprendre comment ces risques s'inscrivent dans le cadre général de l'AI Act, consultez notre guide pillar AI Act pour les PME françaises.
2. Les enjeux de conformité pour une PME avec ChatGPT
ChatGPT n'est pas, en soi, un système d'IA à haut risque au sens de l'Annexe III du Règlement (UE) 2024/1689. C'est un modèle d'IA à usage général (GPAI) dont la qualification juridique du déploiement dépend de l'usage qui en est fait par l'entreprise utilisatrice.
| Obligation AI Act | Article concerné | Applicable à Atelier Lumen ? | Échéance |
|---|---|---|---|
| Littératie IA des collaborateurs | Art. 4 | Oui | 2 février 2025 |
| Information des utilisateurs finaux (contenu IA) | Art. 50 | Oui, sur les contenus client | 2 août 2026 |
| Marquage des contenus synthétiques | Art. 50(2) | Oui pour images/vidéos générées | 2 août 2026 |
| Registre des systèmes IA déployés | Art. 26 | Recommandé (bonne pratique) | — |
| Évaluation de conformité | Art. 43 | Non (pas haut risque) | — |
L'Article 4 du Règlement (UE) 2024/1689 impose aux fournisseurs et aux déployeurs de prendre des mesures pour garantir « un niveau suffisant de littératie en matière d'IA » de leur personnel. Pour une équipe marketing, cela signifie former chaque collaborateur aux limites, biais et risques de ChatGPT.
L'Article 50 impose à Atelier Lumen, en tant que déployeur, d'informer ses clients lorsque le contenu qui leur est adressé a été généré ou substantiellement modifié par une IA. Cette obligation s'applique notamment aux emails de prospection et aux newsletters.
Les PME bénéficient de mesures d'accompagnement prévues à l'Article 62 : accès prioritaire aux bacs à sable réglementaires, orientations adaptées de l'AI Office, frais d'évaluation réduits. Mais elles ne sont pas exonérées des obligations de fond. Pour le détail du régime de sanctions, consultez notre article dédié aux sanctions AI Act pour les PME.
3. Analyse des risques RGPD pour l'équipe marketing
Le RGPD s'applique pleinement à tout traitement de données personnelles via ChatGPT. La CNIL a publié en avril 2024 et complété en 2025 ses fiches pratiques sur l'IA qui clarifient les attentes du régulateur français.
| Risque RGPD | Article RGPD | Conséquence si non-traité |
|---|---|---|
| Absence de base légale | Art. 6 | Sanction CNIL jusqu'à 20 M€ ou 4 % du CA |
| Défaut d'information des personnes | Art. 13-14 | Action en cessation, indemnités |
| Transfert hors UE non encadré | Art. 44-49 | Suspension du traitement |
| Absence d'AIPD obligatoire | Art. 35 | Mise en demeure, sanction administrative |
| Durée de conservation non définie | Art. 5(1)(e) | Manquement au principe de limitation |
OpenAI traite les données aux États-Unis. Pour Atelier Lumen, l'usage de la version grand public de ChatGPT implique donc un transfert hors UE qui doit être encadré. Les Clauses Contractuelles Types (CCT) de la Commission, complétées par une analyse de transfert (TIA), constituent la base juridique pertinente depuis l'arrêt Schrems II.
Le défaut le plus fréquent observé en cabinet : l'absence totale de base légale identifiée. L'intérêt légitime (Art. 6(1)(f) RGPD) est généralement mobilisable pour les usages B2B simples, sous réserve d'un test de mise en balance documenté. Pour les données sensibles ou les profilages, le consentement explicite reste la voie la plus sûre.
Selon l'Art. 35 RGPD, une AIPD est obligatoire dès lors que le traitement présente un risque élevé. La CNIL considère que l'usage d'une IA générative pour profiler ou prendre des décisions automatisées atteint généralement ce seuil. Atelier Lumen doit donc conduire une AIPD pour son cas d'usage CRM.
Vous utilisez ChatGPT en équipe sans cadre juridique ?
Notre pack documentaire « ChatGPT en entreprise » contient charte d'usage, AIPD type, registre des traitements et plan de formation. Adapté aux PME de 10 à 50 personnes.
Recevoir le pack documentaire4. Étapes de mise en conformité : plan d'action pour l'équipe marketing
Atelier Lumen a structuré sa mise en conformité en quatre étapes sur six mois. Ce planning est transposable à toute PME de taille comparable.
Étape 1 : auditer les usages actuels de ChatGPT
L'audit s'inspire des exigences de la norme ISO/IEC 42001:2023, qui pose le cadre d'un système de management de l'IA. Il couvre l'inventaire des comptes ChatGPT actifs, le recensement des prompts types par fonction, la cartographie des flux de données entrantes, l'identification des contenus générés et de leur diffusion.
Livrable attendu : un registre des usages IA, à conserver pendant toute la durée d'exploitation.
Étape 2 : établir une base légale pour chaque traitement
Pour chaque cas d'usage identifié, une base légale doit être documentée. Le tableau suivant résume les options pour Atelier Lumen.
| Cas d'usage | Base légale retenue | Justification |
|---|---|---|
| Rédaction emails B2B | Intérêt légitime (Art. 6(1)(f)) | Prospection professionnelle, test de mise en balance favorable |
| Analyse CRM | Consentement (Art. 6(1)(a)) | Données comportementales, profilage |
| Optimisation campagnes | Intérêt légitime (Art. 6(1)(f)) | Données anonymisées |
| Idéation créative | Sans objet | Pas de données personnelles |
Étape 3 : déployer des politiques internes
Trois documents sont indispensables. Premier document : une charte d'usage de l'IA générative, signée par chaque collaborateur. Deuxième document : une procédure d'anonymisation préalable des données avant tout prompt. Troisième document : un registre des incidents IA, conforme à l'Art. 26(5) du Règlement (UE) 2024/1689.
Étape 4 : former les 20 collaborateurs
L'Article 4 du Règlement (UE) 2024/1689 exige un « niveau suffisant de littératie en matière d'IA ». Pour Atelier Lumen, le plan retenu est de 4 heures de formation initiale, complétées par des sessions de 1 heure tous les six mois. Le programme couvre les obligations légales, les risques de fuite de données, les techniques d'anonymisation et la détection des hallucinations.
La documentation de cette formation (feuilles d'émargement, contenus pédagogiques, évaluations) doit être conservée pendant 5 ans minimum.
5. Exemples concrets de bonnes pratiques
Quatre pratiques opérationnelles ont été mises en place chez Atelier Lumen.
Anonymisation systématique avant prompt. Tout fichier client est passé dans un script Python qui remplace noms, emails et identifiants par des pseudonymes avant insertion dans ChatGPT. Le script est documenté et versionné.
Templates validés par juriste. Les 30 prompts les plus utilisés sont stockés dans une bibliothèque interne. Chaque template a été revu par le DPO externe et porte une mention explicite des données autorisées et interdites.
Journalisation des interactions critiques. Pour les usages CRM, chaque session ChatGPT est journalisée avec horodatage, utilisateur, prompt et réponse. Cette traçabilité satisfait l'obligation de tenue de registre et facilite la réponse à une demande d'exercice de droits (Art. 15 RGPD).
Test de conformité semestriel. Tous les six mois, un audit interne vérifie le respect de la charte. L'AI Act Service Desk de la Commission européenne fournit des grilles d'auto-évaluation gratuites pour structurer ce contrôle.
6. Les outils et ressources disponibles
| Outil / Ressource | Fournisseur | Coût | Usage principal |
|---|---|---|---|
| AI Act Service Desk | Commission européenne | Gratuit | Questions juridiques, auto-évaluation |
| Fiches pratiques IA | CNIL | Gratuit | Bonnes pratiques RGPD-IA |
| ChatGPT Team / Enterprise | OpenAI | À partir de 25 $/utilisateur/mois | Pas d'entraînement sur vos données |
| Norme ISO/IEC 42001:2023 | ISO | Environ 173 CHF | Cadre de management |
| Pack documentaire regulia | regulia | Variable | Templates juridiques prêts à l'emploi |
Le passage à ChatGPT Team ou Enterprise est souvent l'investissement à plus fort impact : ces offres garantissent contractuellement qu'OpenAI n'utilise pas les prompts pour entraîner ses modèles, ce qui résout une partie significative du risque RGPD.
Pour le vocabulaire technique et juridique, consultez notre glossaire AI Act et RGPD-IA.
7. Sanctions et coûts de non-conformité
Le régime de sanctions de l'AI Act, prévu à l'Article 99 du Règlement (UE) 2024/1689, est gradué.
| Type de manquement | Sanction maximale (Art. 99) |
|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial |
| Manquements aux obligations haut risque | 15 M€ ou 3 % du CA mondial |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial |
Pour les PME, l'Article 99(6) prévoit que le montant retenu est « le plus faible » entre la somme fixe et le pourcentage. Cette disposition protège les petites structures d'un effet de seuil disproportionné.
À ce régime AI Act s'ajoute le régime RGPD : jusqu'à 20 M€ ou 4 % du CA mondial pour les manquements graves (Art. 83 RGPD). Les deux régimes sont cumulables.
Au-delà de l'amende, les coûts de mise en conformité d'une PME de 20 personnes sont estimés [à vérifier] entre 8 000 € et 25 000 € la première année, comprenant audit, formation, accompagnement juridique et outils. Ce budget est à comparer au risque sanction et à l'impact réputationnel d'un incident.
Notre analyse détaillée du calcul d'amende est disponible dans l'article sanctions AI Act PME, qui inclut un calculateur indicatif.
Évaluez votre exposition réelle en 10 minutes
Notre questionnaire de pré-diagnostic identifie vos cas d'usage à risque et vous oriente vers les modèles documentaires adaptés à votre structure.
Démarrer le pré-diagnostic8. Conclusion et recommandations
Quatre actions prioritaires se dégagent du cas Atelier Lumen, transposables à toute PME marketing de 10 à 50 salariés.
- Mettre en place un système de contrôle interne structuré autour d'un registre des usages IA, d'une charte signée et d'un référent IA désigné.
- Établir une veille réglementaire mensuelle sur les publications de l'AI Office, de la CNIL et de l'AFNOR.
- Intégrer la conformité dans les processus marketing existants plutôt que de la traiter en silo : revue juridique des templates, AIPD pour chaque nouvelle campagne sensible.
- Suivre les évolutions du Règlement (UE) 2024/1689 via EUR-Lex, particulièrement les actes délégués attendus en 2026 sur les obligations de marquage des contenus.
La conformité n'est pas un projet ponctuel, c'est une fonction permanente. Une PME qui structure dès aujourd'hui son cadre IA gagne en sérénité, en attractivité commerciale auprès des grands comptes et en valorisation en cas de cession.
FAQ
Quelle est la classification de ChatGPT selon l'EU AI Act ?
ChatGPT est qualifié de modèle d'IA à usage général (GPAI) au sens de l'Article 3(63) du Règlement (UE) 2024/1689. Cette qualification entraîne des obligations spécifiques pour OpenAI en tant que fournisseur (chapitre V). Pour le déployeur — la PME utilisatrice —, c'est l'usage concret qui détermine le régime applicable : usage à haut risque selon l'Annexe III, usage à risque limité avec obligations de transparence (Art. 50), ou usage à risque minimal sans obligation spécifique.
Comment obtenir une base légale pour utiliser ChatGPT avec des données clients ?
L'intérêt légitime (Art. 6(1)(f) RGPD) est la base légale la plus mobilisable en contexte B2B, sous réserve de réaliser un test de mise en balance documenté entre l'intérêt poursuivi et les droits des personnes. Pour les traitements impliquant un profilage ou des données sensibles, le consentement explicite (Art. 6(1)(a) RGPD) est requis. Dans tous les cas, une AIPD (Art. 35 RGPD) doit être conduite si le traitement présente un risque élevé pour les droits et libertés.
Quelles sont les sanctions possibles pour une non-conformité ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois paliers de sanctions : 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 M€ ou 3 % pour les manquements aux obligations haut risque, 7,5 M€ ou 1 % pour les informations inexactes fournies aux autorités. Les PME bénéficient d'une protection : c'est le montant le plus faible entre la somme fixe et le pourcentage qui s'applique. Le régime RGPD se cumule (jusqu'à 20 M€ ou 4 % du CA mondial).
Dois-je former toute l'équipe marketing à l'EU AI Act ?
Oui. L'Article 4 du Règlement (UE) 2024/1689, applicable depuis le 2 février 2025, exige un « niveau suffisant de littératie en matière d'IA » pour tout le personnel utilisant des systèmes d'IA. Pour une équipe marketing de 20 personnes, un programme de 4 heures de formation initiale avec sessions de mise à jour semestrielles constitue une réponse proportionnée. La formation doit être documentée (feuilles d'émargement, supports, évaluations) et conservée pour démontrer la conformité.
Quels sont les outils recommandés pour la conformité ChatGPT ?
Quatre ressources sont prioritaires. L'AI Act Service Desk de la Commission européenne fournit des conseils gratuits adaptés aux PME. Les fiches pratiques IA de la CNIL clarifient l'articulation avec le RGPD. Le passage à ChatGPT Team ou Enterprise garantit contractuellement la non-réutilisation des prompts pour l'entraînement. Enfin, un pack documentaire spécialisé (charte, AIPD, registre, plan de formation) accélère significativement la mise en conformité par rapport à une rédaction interne.
Sources officielles
- Règlement (UE) 2024/1689 sur l'intelligence artificielle — version consolidée EUR-Lex
- AI Act Service Desk — Commission européenne
- Fiches pratiques IA — CNIL
- Étude du Parlement européen sur l'AI Act
- Norme ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- Règlement (UE) 2016/679 (RGPD) — texte intégral disponible sur EUR-Lex
Pour le détail des références utilisées dans nos articles, consultez notre page sources.
Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.