ELRIC Lab · Guides 2026

Agents IA RGPD PME 2026 : guide conformité pratique

Les agents IA traitent des données personnelles — emails, CV, réunions, CRM. Ce guide aide les PME à déployer l'IA **sans zone grise** : bases légales, hébergement, sous-traitants, audit et contrôle humain.

Dernière mise à jour : 6 juillet 2026 · Temps de lecture : ~6 min

3 piliers conformité

La conformité RGPD pour les agents IA repose sur trois piliers techniques. Le schéma montre comment ils s'emboîtent.

Flux de données et contrôle humain

Chaque action sensible passe par une validation ; les données cœur restent en UE avec isolation par entreprise.

  • Pilier 1 — Localisation : données cœur en UE, DPA signé, pas d'entraînement tiers sur vos contenus.
  • Pilier 2 — Gouvernance technique : isolation multi-tenant (RLS), chiffrement tokens, audit exportable.
  • Pilier 3 — Contrôle humain : approval avant envoi email externe, suppression/export des données, registre des traitements à jour.

Checklist 12 points

Audit fournisseur ou interne : chaque point est vérifiable — pas une promesse marketing.

Flux de données et contrôle humain

Chaque action sensible passe par une validation ; les données cœur restent en UE avec isolation par entreprise.

  1. Identifier les données personnelles traitées par l'IA (emails, CV, réunions…)
  2. Documenter la finalité et la base légale (intérêt légitime / contrat)
  3. Vérifier l'hébergement UE des données cœur
  4. Signer un DPA avec le fournisseur IA
  5. Exiger l'isolation par entreprise (pas de fuite cross-client)
  6. Activer le journal d'audit des actions agents
  7. Configurer validation humaine pour actions sensibles
  8. Limiter les scopes OAuth au strict nécessaire
  9. Former les utilisateurs (pas de données sensibles inutiles)
  10. Prévoir procédure suppression / export (droit des personnes)
  11. Mettre à jour le registre des traitements
  12. Réviser annuellement les sous-traitants LLM

Hébergement comparé

PlateformeMeilleur pourScore
ELRIC (UE)PME, RLS natif, DPAConforme
Mistral Le ChatModèle FR, données chatDPA + finalité
ChatGPT EnterpriseUS + options EUDPA requis
Copilot M365EU Data BoundarySi M365
Make / n8nAutomatisation, sous-traitantsCartographier flux
Outils US sans DPAÀ éviter

Arbre de décision

Votre niveau d'exigence réglementaire détermine la plateforme — pas l'inverse.

  1. Données UE + PME → ELRIC ou fournisseur UE avec DPA
  2. 100 % Microsoft + EU Boundary → Copilot acceptable
  3. Données santé / enfants → validation DPO obligatoire
  4. Shadow ChatGPT perso → interdire, centraliser workspace
  5. Export hors UE requis → revue juridique cas par cas

FAQ

Un agent IA qui lit mes emails est-il conforme ?
Oui si base légale documentée, DPA signé, hébergement UE, isolation entreprise et finalité claire (productivité interne).
Les LLM américains posent-ils problème ?
Le risque est le transfert hors UE. Utilisez des fournisseurs avec DPA, clauses contractuelles et — idéalement — traitement UE des données cœur.
ELRIC fournit-il un DPA ?
Oui — disponible sur /dpa. Hébergement UE, pas d'entraînement tiers sur vos contenus, isolation RLS.
Faut-il déclarer les agents IA à la CNIL ?
Mettez à jour votre registre des traitements (article 30 RGPD) dès qu'un agent traite des données personnelles — emails, CV, réunions. Pas de déclaration spécifique « IA » si le registre est à jour.
Make ou n8n sont-ils compatibles RGPD ?
Oui si vous cartographiez les flux de données personnelles, signez des DPA avec chaque connecteur et limitez les champs transférés. Ils ne remplacent pas un OS IA gouverné pour l'exécution métier.
ChatGPT personnel des salariés : que faire ?
Interdire ou canaliser vers un workspace gouverné (ELRIC, Copilot entreprise) avec DPA, audit et approvals — le Shadow AI est le risque n°1 en 2026.