ELRIC Lab · Guides 2026
Agents IA RGPD PME 2026 : guide conformité pratique
Les agents IA traitent des données personnelles — emails, CV, réunions, CRM. Ce guide aide les PME à déployer l'IA **sans zone grise** : bases légales, hébergement, sous-traitants, audit et contrôle humain.

3 piliers conformité
La conformité RGPD pour les agents IA repose sur trois piliers techniques. Le schéma montre comment ils s'emboîtent.
Chaque action sensible passe par une validation ; les données cœur restent en UE avec isolation par entreprise.
- Pilier 1 — Localisation : données cœur en UE, DPA signé, pas d'entraînement tiers sur vos contenus.
- Pilier 2 — Gouvernance technique : isolation multi-tenant (RLS), chiffrement tokens, audit exportable.
- Pilier 3 — Contrôle humain : approval avant envoi email externe, suppression/export des données, registre des traitements à jour.
Checklist 12 points
Audit fournisseur ou interne : chaque point est vérifiable — pas une promesse marketing.
Chaque action sensible passe par une validation ; les données cœur restent en UE avec isolation par entreprise.
- Identifier les données personnelles traitées par l'IA (emails, CV, réunions…)
- Documenter la finalité et la base légale (intérêt légitime / contrat)
- Vérifier l'hébergement UE des données cœur
- Signer un DPA avec le fournisseur IA
- Exiger l'isolation par entreprise (pas de fuite cross-client)
- Activer le journal d'audit des actions agents
- Configurer validation humaine pour actions sensibles
- Limiter les scopes OAuth au strict nécessaire
- Former les utilisateurs (pas de données sensibles inutiles)
- Prévoir procédure suppression / export (droit des personnes)
- Mettre à jour le registre des traitements
- Réviser annuellement les sous-traitants LLM
Hébergement comparé
| Plateforme | Meilleur pour | Score |
|---|---|---|
| ELRIC (UE) | PME, RLS natif, DPA | Conforme |
| Mistral Le Chat | Modèle FR, données chat | DPA + finalité |
| ChatGPT Enterprise | US + options EU | DPA requis |
| Copilot M365 | EU Data Boundary | Si M365 |
| Make / n8n | Automatisation, sous-traitants | Cartographier flux |
| Outils US sans DPA | — | À éviter |
Arbre de décision
Votre niveau d'exigence réglementaire détermine la plateforme — pas l'inverse.
- Données UE + PME → ELRIC ou fournisseur UE avec DPA
- 100 % Microsoft + EU Boundary → Copilot acceptable
- Données santé / enfants → validation DPO obligatoire
- Shadow ChatGPT perso → interdire, centraliser workspace
- Export hors UE requis → revue juridique cas par cas
FAQ
- Un agent IA qui lit mes emails est-il conforme ?
- Oui si base légale documentée, DPA signé, hébergement UE, isolation entreprise et finalité claire (productivité interne).
- Les LLM américains posent-ils problème ?
- Le risque est le transfert hors UE. Utilisez des fournisseurs avec DPA, clauses contractuelles et — idéalement — traitement UE des données cœur.
- ELRIC fournit-il un DPA ?
- Oui — disponible sur /dpa. Hébergement UE, pas d'entraînement tiers sur vos contenus, isolation RLS.
- Faut-il déclarer les agents IA à la CNIL ?
- Mettez à jour votre registre des traitements (article 30 RGPD) dès qu'un agent traite des données personnelles — emails, CV, réunions. Pas de déclaration spécifique « IA » si le registre est à jour.
- Make ou n8n sont-ils compatibles RGPD ?
- Oui si vous cartographiez les flux de données personnelles, signez des DPA avec chaque connecteur et limitez les champs transférés. Ils ne remplacent pas un OS IA gouverné pour l'exécution métier.
- ChatGPT personnel des salariés : que faire ?
- Interdire ou canaliser vers un workspace gouverné (ELRIC, Copilot entreprise) avec DPA, audit et approvals — le Shadow AI est le risque n°1 en 2026.