Base légale du traitement IA
Quatre bases légales possibles selon le contexte : (1) consentement — utile pour les chatbots clients volontaires ; (2) contrat — exécution d'un service vendu, utile pour le SAV automatisé ; (3) obligation légale — rare en IA ; (4) intérêt légitime — le plus fréquent en B2B, sous réserve de balance avec les intérêts de la personne.
Transferts hors UE et LLMs américains
OpenAI, Anthropic, Google sont des sous-traitants américains. Tout transfert de données personnelles vers eux constitue un transfert hors UE. Deux solutions : (1) basculer sur un LLM européen Mistral auto-hébergeable ; (2) maintenir le LLM américain avec garanties contractuelles renforcées (DPA, BCR, mesures techniques supplémentaires). Notre cabinet juridique partenaire produit les avenants nécessaires.
Droit à l'oubli appliqué aux agents IA
Quand un utilisateur demande l'effacement de ses données, le traitement IA pose des questions spécifiques : (1) la mémoire vectorielle de l'agent contient-elle des embeddings du contenu de la personne ? (2) le LLM a-t-il "appris" de ces données ? La position CNIL 2025 impose la procédure technique d'effacement complet, que nous prévoyons dans tous nos déploiements.
AIPD obligatoire ou non ?
L'AIPD (Analyse d'Impact sur la Protection des Données) est obligatoire quand le traitement présente un risque élevé pour les personnes. La grande majorité des projets IA tombent sous ce seuil. Notre audit IA inclut la décision AIPD et sa rédaction si nécessaire.
Questions fréquentes
Pas obligatoirement. AIPD obligatoire si le chatbot traite des données sensibles (santé, biométrie, opinions politiques), prend des décisions automatisées avec impact significatif, ou exploite des données à grande échelle (millions d'utilisateurs).
Oui dès qu'elles permettent d'identifier directement ou indirectement une personne (nom mentionné, adresse email, contexte qui révèle l'identité). À traiter comme telles dans le registre.