73 % des DPO ne savent pas quoi faire face à ChatGPT
Quand l'IA entre dans l'entreprise, le RGPD prend une gifle silencieuse
Un employé utilise ChatGPT pour rédiger un rapport. Il y colle, sans réfléchir, des données clients. En 30 secondes, des informations personnelles viennent d'être transmises à un modèle d'IA hébergé hors de l'Union européenne. Le DPO de l'entreprise ? Il n'était pas dans la boucle. Il ne l'est presque jamais.
Cette scène se répète chaque jour dans des milliers d'organisations françaises et européennes. Et elle illustre une fracture béante : le cadre réglementaire pensé pour les bases de données traditionnelles se retrouve face à des systèmes d'apprentissage automatique qui ne ressemblent à rien de ce que le législateur avait imaginé en 2018. Bienvenue dans l'une des tensions les plus complexes du droit numérique contemporain.
Le RGPD face à l'IA : un texte conçu pour un autre monde
Le Règlement Général sur la Protection des Données est entré en application en mai 2018. À l'époque, les grands modèles de langage comme GPT-4 ou Gemini n'existaient pas encore sous leur forme actuelle. Le texte repose sur des principes solides — finalité, minimisation, transparence, droits des personnes — mais ces principes ont été pensés pour des traitements déterministes : une base de données, un formulaire, un fichier client.
L'apprentissage automatique fonctionne autrement. Il ingère des volumes massifs de données pour entraîner des modèles qui produisent des résultats probabilistes. Trois problèmes structurels émergent immédiatement :
- La traçabilité des données d'entraînement : impossible de savoir précisément quelles données personnelles ont "nourri" un modèle, ni comment elles influencent ses réponses.
- Le droit à l'effacement (article 17) : comment supprimer une donnée qui ne se trouve plus dans une table SQL, mais diluée dans des milliards de paramètres ?
- L'explicabilité des décisions automatisées (article 22) : un modèle de machine learning peut refuser un crédit ou filtrer un CV sans qu'aucun humain ne soit capable d'expliquer précisément pourquoi.
Le DPO en 2025 : un pompier sans tuyau d'eau
Le Délégué à la Protection des Données est censé être le garant de la conformité. Mais sa formation initiale — juridique, administrative — le prépare rarement à auditer un pipeline de machine learning ou à évaluer les risques d'un modèle de diffusion d'images.
Selon une étude de l'IAPP publiée fin 2024, 73 % des DPO interrogés déclarent manquer de compétences techniques pour évaluer les risques liés à l'IA générative. Ce chiffre n'est pas une critique de ces professionnels : c'est le symptôme d'un écosystème qui a évolué dix fois plus vite que les cursus de formation.
Les organisations les plus avancées ont compris qu'il fallait changer de modèle. Elles ne demandent plus au DPO de tout comprendre seul. Elles construisent des équipes pluridisciplinaires où juristes, data scientists, ingénieurs MLOps et responsables métier travaillent ensemble autour d'un registre de traitements qui intègre désormais les modèles d'IA comme des actifs à part entière.
Ce que les organisations pionnières font concrètement
1. Des analyses d'impact dédiées à l'IA (AIPD renforcées)
La CNIL recommande depuis 2023 de conduire des Analyses d'Impact relatives à la Protection des Données spécifiques aux systèmes d'IA, bien au-delà du modèle standard. Ces analyses intègrent des questions nouvelles : le modèle peut-il inférer des données sensibles non fournies ? Les biais du modèle créent-ils une discrimination systémique indirecte ?
2. La gouvernance des fournisseurs d'IA tiers
Utiliser Claude d'Anthropic, Gemini de Google ou Copilot de Microsoft dans un contexte professionnel implique un contrat de sous-traitance conforme à l'article 28 du RGPD. Les organisations sérieuses auditent ces contrats, vérifient les clauses de transfert hors UE et imposent des engagements sur la non-utilisation des données pour l'entraînement.
3. Le "Privacy by Design" appliqué aux pipelines ML
Certaines équipes data intègrent désormais des contraintes de protection des données dès la phase de conception du modèle : anonymisation des données d'entraînement, techniques de differential privacy, limitation stricte des accès. Ce n'est plus un audit de conformité après coup — c'est de l'architecture.
L'IA Act change-t-il la donne ?
Le règlement européen sur l'IA, entré en vigueur en août 2024, ajoute une couche de complexité — et de protection. Il classe les systèmes d'IA par niveau de risque et impose des obligations spécifiques pour les systèmes "à haut risque" (recrutement, crédit, justice). Pour les DPO, c'est à la fois une opportunité et un défi : la conformité RGPD et la conformité AI Act se chevauchent, mais ne se confondent pas. Il faut désormais piloter deux référentiels en parallèle.
La bonne nouvelle ? Les organisations qui ont investi tôt dans une culture de protection des données ont une longueur d'avance. Elles ont déjà les réflexes, les processus, et — surtout — la crédibilité interne pour peser sur les décisions d'adoption des outils d'IA.
La vraie question n'est pas technique
Au fond, le défi posé par l'IA à la conformité RGPD n'est pas uniquement technique ou juridique. C'est une question de culture organisationnelle. Les entreprises qui s'en sortent sont celles où la protection des données n'est pas vécue comme une contrainte réglementaire, mais comme une promesse faite aux personnes dont elles traitent les informations.
Dans ce contexte, le DPO ne disparaît pas. Il se transforme. De gardien du registre, il devient architecte de confiance — à condition qu'on lui en donne les moyens, la formation, et la place réelle dans les décisions stratégiques. Sans cela, il restera ce qu'il est trop souvent aujourd'hui : le dernier à savoir que ChatGPT est déjà partout dans l'entreprise.
— Reservoir Live