rgpd·9 min de lecture

RGPD et IA en 2026 : ce que votre PME doit savoir avant d'utiliser des outils IA

Par Leonidas Jeremy·
RGPD et IA en 2026 : ce que votre PME doit savoir avant d'utiliser des outils IA

Réponse courte

En 2026, une PME belge peut utiliser des outils d'IA (Claude, assistants, extraction de documents, classification) - mais pas n'importe comment. Le RGPD et le AI Act européen imposent des obligations concrètes : registre de traitement mis à jour, analyse d'impact pour certains usages, transparence envers les employés et les clients. La bonne nouvelle : pour la majorité des usages PME, la conformité est atteignable sans budget juridique démesuré. Il faut juste savoir ce qu'on fait.

Le cadre juridique en 2026

RGPD : toujours la base

Le RGPD n'a pas changé fondamentalement, mais son application aux outils d'IA s'est clarifiée. Le principe reste le même : si vous traitez des données personnelles (nom, email, adresse, données RH, données clients), vous devez avoir une base légale pour ce traitement, informer les personnes concernées, et documenter le tout.

Quand vous utilisez un outil d'IA pour traiter des données personnelles - par exemple, envoyer des emails clients à Claude pour en extraire des informations, ou utiliser un modèle pour classifier des CV - vous effectuez un traitement de données au sens du RGPD. Vous êtes responsable de ce traitement, même si l'outil est fourni par un tiers.

AI Act : les nouvelles règles

L'AI Act européen a été publié au Journal officiel le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Son application est progressive : interdictions depuis février 2025, règles sur les modèles d'IA à usage général depuis août 2025, et la majorité des obligations restantes applicables depuis le 2 août 2026. Il classe les systèmes d'IA en quatre niveaux de risque :

Niveau de risqueExemplesObligations
Inacceptable (interdit)Scoring social, manipulation subliminale, surveillance biométrique de masseInterdit en UE
Haut risqueRecrutement automatisé, scoring de crédit, diagnostic médical IADPIA obligatoire, supervision humaine, documentation technique
Risque limitéChatbots, génération de contenu, deepfakesObligation de transparence (informer que c'est de l'IA)
Risque minimalFiltres anti-spam, recommandations produit, traductionPas d'obligation spécifique

Pour une PME belge typique, la majorité des usages IA tombent dans les catégories risque limité ou minimal. Mais attention : dès que l'IA intervient dans des décisions qui affectent des personnes (recrutement, évaluation, accès à un service), vous montez en catégorie.

L'APD/GBA belge : spécificités locales

L'Autorité de Protection des Données (APD en français, GBA en néerlandais) est l'autorité belge de contrôle. En 2025-2026, l'APD a publié des recommandations spécifiques sur l'utilisation de l'IA en entreprise et a renforcé ses contrôles sur les PME.

Points clés de la position belge :

  • Pas d'exception PME : le RGPD s'applique à toutes les entreprises, quelle que soit leur taille
  • DPO non obligatoire pour la plupart des PME (sauf traitement à grande échelle de données sensibles), mais un référent interne est recommandé
  • Registre de traitement : obligatoire pour les entreprises de plus de 250 personnes, mais recommandé (et souvent exigé en pratique) pour toutes
  • Amendes : l'APD peut sanctionner jusqu'à 20 millions d'euros ou 4% du CA mondial (en 2024, l'APD a infligé des amendes allant de quelques milliers d'euros à 174 640 euros)

Ce qui est autorisé pour votre PME

Usages courants et conformes

Voici des cas d'usage IA typiques pour une PME belge, avec leur niveau de risque RGPD/AI Act.

UsageDonnées concernéesNiveau de risqueAction requise
Résumer des documents internesDocuments entreprise (pas de données perso)MinimalAucune obligation spécifique
Générer du contenu marketingPas de données personnellesMinimalMentionner l'usage d'IA si publié
Extraire des données de facturesDonnées fournisseurs (B2B)FaibleVérifier les conditions du sous-traitant
Classifier des emails clientsDonnées personnelles (nom, email)LimitéRegistre de traitement, info client
Analyser des CV avec l'IADonnées personnelles sensiblesHautDPIA obligatoire, supervision humaine
Chatbot client avec IADonnées personnellesLimitéTransparence (informer que c'est une IA)
Scoring de risque clientDonnées personnelles, profilageHautDPIA, droit d'explication, opt-out

Utiliser Claude (Anthropic) en conformité RGPD

Si vous utilisez Claude (l'assistant IA d'Anthropic) dans votre activité, voici les points de conformité :

API Claude (via votre propre application) : Anthropic agit comme sous-traitant au sens du RGPD. Vous devez avoir un DPA (Data Processing Agreement) en place - Anthropic le fournit automatiquement dans ses conditions commerciales avec des Standard Contractual Clauses (SCCs). Les données envoyées à l'API ne sont pas utilisées pour entraîner les modèles. Vérifiez néanmoins la localisation du traitement et documentez-le dans votre registre.

Claude en usage direct (interface web) : les données saisies sont soumises aux conditions d'utilisation du service. Ne saisissez jamais de données personnelles de clients ou d'employés dans l'interface web sans avoir vérifié les conditions de traitement.

Bonne pratique : anonymisez ou pseudonymisez les données avant de les envoyer à un modèle IA. Remplacez les noms par des identifiants, supprimez les adresses email, ne transmettez que les données strictement nécessaires au traitement.

Ce qui est interdit ou à haut risque

Pratiques interdites par l'AI Act

  • Scoring social : évaluer des personnes sur base de leur comportement social
  • Manipulation subliminale : techniques qui influencent le comportement d'une personne sans qu'elle en soit consciente
  • Exploitation de vulnérabilités : cibler des personnes en raison de leur âge, handicap ou situation économique
  • Surveillance biométrique en temps réel dans les espaces publics (sauf exceptions sécuritaires)

Pour une PME belge, ces interdictions sont rarement un problème. Mais attention aux zones grises : un scoring automatique de prospects basé sur des données personnelles collectées sans consentement explicite peut s'apparenter à du profilage interdit.

Décisions automatisées

L'article 22 du RGPD donne aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé qui produit des effets juridiques ou des effets significatifs similaires. En clair : si votre IA rejette automatiquement une candidature ou refuse un crédit, la personne a le droit de demander une intervention humaine et une explication.

Checklist de conformité RGPD + IA

Voici une checklist concrète pour une PME belge qui utilise ou prévoit d'utiliser des outils d'IA.

1. Registre de traitement (obligatoire)

Documentez chaque utilisation d'IA impliquant des données personnelles :

  • Finalité du traitement (pourquoi vous utilisez l'IA)
  • Catégories de données traitées
  • Base légale (consentement, intérêt légitime, contrat)
  • Sous-traitant (Anthropic, etc.) et localisation du traitement
  • Durée de conservation des données
  • Mesures de sécurité

2. Analyse d'impact (DPIA) - si nécessaire

Une DPIA est obligatoire si votre usage IA implique :

  • Du profilage systématique de personnes
  • Le traitement à grande échelle de données sensibles
  • Des décisions automatisées avec effets significatifs
  • De la surveillance systématique de zones accessibles au public

Pour les usages courants d'une PME (résumé de documents, génération de contenu, extraction de factures), une DPIA n'est généralement pas nécessaire.

3. Transparence

  • Informez vos clients si un chatbot est alimenté par l'IA
  • Mentionnez dans votre politique de confidentialité les traitements IA
  • Si du contenu généré par IA est publié, indiquez-le (obligation AI Act pour le risque limité)

4. Contrats avec les sous-traitants

  • Vérifiez que vos fournisseurs d'IA (Anthropic, etc.) ont un DPA conforme RGPD
  • Documentez où les données sont traitées (Europe ou pas - voir notre article sur l'hébergement en Europe) et consultez nos pages sur l'automatisation IA conforme pour voir comment intégrer l'IA dans vos processus en restant dans les clous
  • Vérifiez si les données sont utilisées pour l'entraînement des modèles

5. Formation des employés

  • Formez votre équipe aux bonnes pratiques IA + RGPD
  • Établissez une charte d'utilisation de l'IA en interne
  • Interdisez explicitement la saisie de données personnelles clients dans des outils IA non approuvés

6. DPO ou référent

  • Entreprise de plus de 250 personnes ou traitement à grande échelle : DPO obligatoire
  • PME classique : désignez un référent RGPD interne, même à temps partiel
  • Externalisez si nécessaire (DPO externe : 200 - 500 euros/mois)

Combien ça coûte d'être conforme

PosteFourchette de prix
Audit RGPD + IA initial1 500 - 5 000 €
Mise en conformité (registre, DPIA, contrats)2 000 - 8 000 €
DPO externe (mensuel)200 - 500 €/mois
Formation équipe (demi-journée)500 - 1 500 €
Mise à jour annuelle500 - 2 000 €/an

Pour une PME belge de 10 à 50 personnes avec des usages IA standards, le budget réaliste de mise en conformité est de 3 000 à 8 000 € la première année, puis 1 000 à 3 000 €/an pour la maintenance. C'est un investissement - mais une amende APD coûte infiniment plus cher.

Les risques concrets

Amendes

L'APD belge a prononcé des sanctions entre 2 000 € et 600 000 € ces dernières années. Les grandes amendes RGPD européennes dépassent régulièrement les millions. Pour une PME, même une amende de 10 000 € est douloureuse - sans compter le coût réputationnel.

Perte de confiance

Vos clients B2B belges sont de plus en plus sensibles à la protection des données. Un incident RGPD lié à l'IA peut vous coûter des contrats. À l'inverse, une conformité démontrée est un argument commercial. Pour un panorama plus large des risques numériques auxquels les PME belges font face, voir aussi notre guide sur les mesures de cybersécurité pour PME.

Blocage opérationnel

Si l'APD ordonne l'arrêt d'un traitement non conforme, vous perdez l'accès à un outil qui fait peut-être partie de votre workflow quotidien. Mieux vaut anticiper.

Besoin d'aide ?

La conformité RGPD + IA n'est pas un sujet qu'on peut ignorer en 2026. Si vous utilisez des outils IA dans votre PME et que vous n'êtes pas sûr de votre conformité, prenez 30 minutes pour un audit gratuit. On passe en revue vos usages, vos risques et les actions prioritaires - concrètement, sans jargon juridique.

Sources

← Tous les articles
Partager

Articles liés

5 automatisations IA qui font gagner 10h/semaine à une PME
ia·9 min de lecture

5 automatisations IA qui font gagner 10h/semaine à une PME

5 automatisations IA concrètes pour PME : triage email, extraction factures, reporting, onboarding client, réseaux sociaux. Temps gagné, coûts et outils détaillés.

5 automatisations IA que toute PME devrait avoir en 2026
automatisation·16 min de lecture

5 automatisations IA que toute PME devrait avoir en 2026

Les 5 automatisations IA les plus rentables pour PME belges : relances, tri de leads, reporting, onboarding, veille. Coûts et ROI.

Freelance + IA : pourquoi une équipe de 3 fait le travail de 15
digitalisation·16 min de lecture

Freelance + IA : pourquoi une équipe de 3 fait le travail de 15

Comment l'IA a changé la taille d'équipe nécessaire pour un projet digital. Chiffres de productivité et impact pour les PME belges.

Un projet en tête ?

Premier échange gratuit et sans engagement. Je réponds dans la journée ouvrée.

leonidas@tryhard.be