Tous les articles
Conformité 8 min 21 mars 2026

RGPD et agents IA : ce que tu dois savoir

Ton agent IA stocke peut-être des données personnelles sans consentement. Voici ce que le RGPD impose quand tu déploies un agent IA en production.

Tu as déployé un agent IA qui répond à tes clients. Il analyse leurs messages, leur historique d'achat, parfois même leur adresse email. Est-ce que c'est conforme au RGPD ?

La réponse courte : probablement pas, si tu n'as pris aucune mesure spécifique. Voici ce que le RGPD impose quand tu utilises des agents IA en production.

Ce que dit le RGPD sur l'IA

Le RGPD ne mentionne pas spécifiquement l'IA, mais ses principes s'appliquent dès que tu traites des données personnelles — et un chatbot qui analyse les messages de tes utilisateurs traite des données personnelles.

Les 3 obligations principales

  • Transparence — tes utilisateurs doivent savoir qu'ils parlent à une IA et que leurs données sont traitées par un modèle de langage.
  • Minimisation — tu ne dois collecter que les données strictement nécessaires. Si ton chatbot n'a pas besoin de l'historique complet, ne lui donne pas.
  • Base légale — tu dois avoir une base légale pour le traitement (consentement, intérêt légitime, exécution du contrat).

Les risques spécifiques aux agents IA

Transfert de données hors UE

Si tu utilises l'API OpenAI ou Anthropic, les messages de tes utilisateurs sont envoyés vers des serveurs aux États-Unis. Le RGPD impose des garanties pour ce transfert (clauses contractuelles types, notamment).

Rétention par le fournisseur

OpenAI conserve les données API pendant 30 jours par défaut. Anthropic a une politique similaire. Assure-toi que la durée de rétention est compatible avec ta politique de confidentialité.

Données sensibles dans le contexte

Ton agent a peut-être accès à des données de santé, des données financières, ou des opinions politiques via le contexte RAG. Ces données "sensibles" au sens du RGPD nécessitent des protections renforcées.

Checklist de conformité

  • Mentionner l'utilisation d'IA dans ta politique de confidentialité
  • Informer les utilisateurs qu'ils interagissent avec une IA (pas un humain)
  • Documenter les flux de données (quelles données, vers quel fournisseur, pourquoi)
  • Vérifier les DPA (Data Processing Agreement) de tes fournisseurs IA
  • Limiter les données envoyées dans le contexte au strict nécessaire
  • Configurer la rétention minimale chez le fournisseur (opt-out du training)
  • Permettre aux utilisateurs de demander la suppression de leurs données

Ce que surveille Last 20%

Le monitoring Last 20% inclut des vérifications de conformité basiques : politique de confidentialité accessible, mentions légales à jour, cookies correctement configurés. Sur le plan Scale, un audit RGPD complet est inclus trimestriellement.

Ce genre de problème ne devrait jamais arriver.

Avec le monitoring Last 20%, on détecte les problèmes avant tes utilisateurs. Uptime, sécurité, agents IA — tout est surveillé 24/7.

Scanner mon app gratuitement Voir les plans monitoring

← Article précédent

Les 10 failles de sécurité des apps vibe-codées

Article suivant →

Comment résoudre l'erreur Supabase RLS infinite recursion