Conformité

LLM et RGPD : pourquoi ChatGPT, Claude et Gemini ne sont pas conformes

Thomas Binant 24 avril 2026 16 min de lecture

En 2026, 87% des entreprises françaises utilisent au moins un LLM commercial dans leur stack. Et pourtant, la quasi-totalité est en non-conformité RGPD sans le savoir. OpenAI, Anthropic, Google : tous posent des problèmes juridiques majeurs. Voici pourquoi, ce que ça coûte, et comment rester conforme sans renoncer à l'IA.

Le constat : une non-conformité généralisée

Posez la question à votre DPO : "Est-ce qu'on a fait une DPIA pour notre usage de ChatGPT en interne ?" Dans 9 cas sur 10, la réponse est non. Et pourtant, c'est obligatoire dès qu'un traitement présente un risque élevé pour les personnes concernées — ce qui est le cas de la plupart des usages LLM.

Le problème n'est pas l'intelligence artificielle en elle-même. C'est l'absence de cadre pour l'utiliser dans des contextes qui impliquent des données personnelles. Contrat client analysé par GPT-4o, CV filtré par Gemini, ticket support résolu par Claude : chaque fois, des données personnelles partent chez des providers américains, souvent sans que personne n'ait vérifié la base légale.

Rappel : ce que dit le RGPD

Le Règlement Général sur la Protection des Données (UE 2016/679) impose 6 grands principes pour tout traitement de données personnelles :

Licéité, loyauté, transparence — base légale définie, information claire
Limitation des finalités — usage strictement défini
Minimisation — seules les données nécessaires
Exactitude — données à jour
Limitation de la conservation — durée fixée
Intégrité et confidentialité — sécurité adaptée

À ces principes s'ajoutent les droits des personnes : accès, rectification, effacement, portabilité, opposition. Et pour les traitements à risque élevé, une Analyse d'Impact (DPIA) obligatoire avant mise en œuvre.

Les 5 grands problèmes de conformité des LLMs

1. Transferts de données hors-UE (arrêt Schrems II)

OpenAI, Anthropic, Google : serveurs aux États-Unis. Chaque prompt envoyé quitte l'UE. Or depuis l'arrêt Schrems II (CJUE, juillet 2020), les transferts vers les USA nécessitent des garanties supplémentaires (Standard Contractual Clauses, DPA, mesures techniques).

Le Data Privacy Framework (DPF) signé en 2023 entre l'UE et les USA est un sparadrap juridique. Depuis début 2026, plusieurs recours sont pendants devant la CJUE. Un nouvel arrêt Schrems III pourrait invalider à nouveau les transferts, mettant des milliers d'entreprises en infraction du jour au lendemain.

Conséquence concrète : si vous envoyez à ChatGPT des prompts contenant des données clients européens, vous effectuez un transfert international. Il faut des Clauses Contractuelles Types signées, une DPIA documentée, et une information explicite aux personnes concernées.

2. Conservation et réutilisation des données

Les DPAs (Data Processing Agreements) de la plupart des providers stipulent :

OpenAI Enterprise : 30 jours de rétention par défaut (60 jours pour l'API standard)
Anthropic : 30 jours pour Claude Commercial, 90 jours pour Bedrock
Google Gemini : rétention variable selon la région et l'offre

Problème : vos prompts contenant des données personnelles dorment 30 à 90 jours sur des serveurs tiers, accessibles par leurs équipes support, sécurité, et Trust & Safety. La minimisation et la limitation de conservation (articles 5.1.c et 5.1.e du RGPD) sont difficilement respectées.

3. Entraînement sur données clients

OpenAI, Anthropic et Google déclarent ne pas entraîner leurs modèles sur les données API. C'est vrai pour les offres Enterprise et les APIs payantes. Mais :

Les offres gratuites (ChatGPT Free, Claude Free) utilisent les données pour améliorer les modèles
Les équipes Trust & Safety ont accès aux prompts signalés
Les données peuvent être utilisées pour la "red teaming" et l'amélioration de la sécurité — ce qui reste un traitement

Même sans entraînement, la base légale pour envoyer des données personnelles à un tiers hors-UE reste à démontrer. L'intérêt légitime de l'entreprise doit être mis en balance avec les droits des personnes, analyse rarement formalisée.

4. Droits des personnes concernées impossibles à exercer

Un client vous demande l'effacement de ses données (article 17 du RGPD, "droit à l'oubli") ? Bonne chance pour garantir que ses données seront effacées de tous les logs OpenAI, Anthropic, Google, de leurs backups, de leurs exports, de leurs systèmes d'audit, dans les 30 jours réglementaires.

Même chose pour le droit d'accès (article 15) : vous ne pouvez pas fournir au client la liste exhaustive des prompts où il a été mentionné, ni leur contenu exact.

5. DPIA absente ou incomplète

L'article 35 du RGPD impose une Analyse d'Impact relative à la Protection des Données quand le traitement présente un "risque élevé". Exemples de cas nécessitant une DPIA :

Évaluation ou scoring (tri de CV par IA)
Surveillance systématique (analyse de tickets support par LLM)
Données à grande échelle (chatbot client grand volume)
Données sensibles (santé, religion, opinions)
Traitement automatisé avec effets juridiques

Dans la réalité, quasi personne ne fait de DPIA pour son chatbot ou son outil interne. C'est une infraction formelle au RGPD, sanctionnable indépendamment même de l'absence de dommage.

Ce que ça coûte : les sanctions

Les sanctions RGPD atteignent 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel (le montant le plus élevé). Quelques précédents récents dans l'IA :

Entreprise	Autorité	Sanction	Motif
OpenAI	Garante italienne (2024)	15 M€	Base légale insuffisante, transparence, âge mineur
Clearview AI	CNIL (2022-2023)	20 M€ + astreinte	Collecte données sans base légale
Amazon France	CNIL (2020)	35 M€	Cookies + scoring automatisé
Meta	DPC Irlande (2023)	1,2 Md€	Transferts US sans garanties post-Schrems II

Au-delà de l'amende, il y a l'obligation de mise en conformité immédiate (souvent impossible rapidement), la perte de confiance client, et la communication obligatoire à l'ensemble des personnes concernées.

L'AI Act aggrave la situation

Le Règlement européen sur l'Intelligence Artificielle (AI Act, 2024) est entré en application progressive en 2025-2026. Il ajoute des obligations spécifiques aux LLMs, selon leur niveau de risque :

Systèmes à haut risque (tri CV, scoring crédit, soins de santé) : obligations de transparence, documentation technique, surveillance humaine, évaluation de conformité.
Modèles à usage général (GPAI) : OpenAI, Google, Anthropic doivent fournir documentation technique complète, résumé des données d'entraînement, respecter le droit d'auteur.
Systèmes interdits : notation sociale, reconnaissance biométrique en temps réel dans l'espace public, manipulation subliminale.

Les sanctions AI Act peuvent atteindre 35 millions d'euros ou 7% du CA mondial — plus sévères que le RGPD. Et elles se cumulent avec les sanctions RGPD, pas substitution.

Les solutions pour rester conforme

Se passer des LLMs n'est plus envisageable. Voici les approches concrètes pour les utiliser légalement.

Solution 1 : Self-hosting de modèles open-source

Llama 3.3, Mistral, DeepSeek sont open-source. Vous les hébergez sur vos serveurs (ou serveurs EU), les données ne sortent jamais. Conformité RGPD native.

Limites : coût d'infrastructure (GPU), compétences MLOps, qualité inférieure aux modèles SOTA payants, maintenance. Réaliste pour les grandes entreprises, difficile pour les PME.

Solution 2 : Providers européens

Mistral La Plateforme est le seul provider LLM majeur hébergé à 100% en Union Européenne. DPA conforme, transferts US absents, conformité AI Act en cours. Mistral Small et Mistral Large sont très capables, mais moins diversifiés qu'OpenAI ou Google.

Limites : un seul vrai acteur, moins de modèles disponibles, certains cas d'usage nécessitent la qualité GPT-4o ou Claude.

Solution 3 : Anonymisation avant envoi

C'est la solution la plus pragmatique pour les PME. Avant d'envoyer un prompt à OpenAI/Anthropic/Google, vous retirez les données personnelles et vous les remplacez par des placeholders. Le LLM ne voit jamais les données réelles.

# Prompt original (contient des PII)
"Analyse le contrat de Jean Dupont, IBAN FR76 3000..."

# Envoyé au LLM (anonymisé)
"Analyse le contrat de [PERSON_1], IBAN [IBAN_1]..."

# Réponse (placeholders restaurés côté gateway)
"Le contrat de Jean Dupont stipule que..."

Cette approche :

Minimise les données transmises (principe de minimisation du RGPD)
Évite le transfert de données personnelles (plus de problème Schrems II)
Simplifie la DPIA puisque les données ne sont pas identifiables par le provider
Permet de garder la qualité des modèles SOTA (GPT-4o, Claude, Gemini)

Guide détaillé sur l'anonymisation PII des prompts LLM.

Solution 4 : Gateway avec orchestration conforme

Un gateway comme Routtx centralise vos appels LLM et applique automatiquement les mesures de conformité :

Anonymisation PII automatique avant envoi
Routage préférentiel vers providers EU (Mistral) pour les données sensibles
Logs de traitement centralisés (facilite le registre des activités obligatoire)
Droit à l'effacement simplifié (un seul système à purger)
Export de données personnelles centralisé
Hébergement EU (Francfort) pour les logs internes

Avantage : une seule couche à auditer, une seule DPIA à produire, un seul DPA à signer. Au lieu de 4-5 contrats providers, vous signez avec le gateway.

Checklist de conformité pour DPO

Si vous êtes DPO ou responsable de la conformité, voici la liste des documents et contrôles à avoir en place avant d'utiliser un LLM :

Cartographie des usages LLM dans l'entreprise (quel service, quelle donnée, quel provider)
Base légale documentée pour chaque traitement (intérêt légitime, consentement, exécution contractuelle)
DPIA pour tout usage à risque élevé (scoring, tri, surveillance, santé)
Registre des activités de traitement à jour, incluant les sous-traitants LLM
DPA signés avec chaque provider LLM utilisé
Clauses Contractuelles Types (CCT) pour les transferts hors-UE
Information des personnes concernées (mention dans la politique de confidentialité)
Procédure de réponse aux droits des personnes (accès, effacement, portabilité) intégrant les LLMs
Mesures techniques : anonymisation, pseudonymisation, chiffrement des clés API
Formation des équipes : quels prompts autorisés, quelles données interdites
Audit annuel de conformité RGPD + AI Act

Le bon réflexe pour 2026

L'IA générative n'est plus une expérimentation. C'est devenu un outil métier. Mais les DPO, RSSI et directions juridiques peinent à suivre le rythme des déploiements par les métiers. La conséquence : des usages qui s'installent sans cadre, jusqu'au jour où une plainte ou un contrôle de la CNIL arrive.

Trois principes de précaution :

Anonymiser par défaut. Toute donnée personnelle envoyée à un LLM doit être masquée, sauf si la base légale est solide et documentée.
Préférer les providers EU pour les données sensibles. Mistral pour les données santé, finance, legal. OpenAI/Anthropic pour le reste, avec anonymisation.
Centraliser avec un gateway. Pour simplifier la conformité, l'audit, et les réponses aux droits des personnes.

Le coût de la mise en conformité est largement inférieur au coût du non-conformité. 20 millions d'euros d'amende, c'est plus cher qu'un plan Enterprise à vie.

Parlons de votre conformité LLM

Routtx est conçu pour simplifier la mise en conformité RGPD de vos usages LLM. Hébergement EU, anonymisation native, DPA signé, support DPIA.

Contacter l'équipe

← Retour au blog