trouver-ia.frtrouver-ia.fr
Soumettre
Juridique & RGPD5 min de lecture18 mai 2026

IA et RGPD pour les PME : toutes vos questions (et les vraies réponses)

DPA, Cloud Act, hébergement en France, IA Act : les dirigeants de PME ont les mêmes questions sur l'IA et le RGPD. Voici les réponses directes, sans jargon juridique.

Chaque semaine, des dirigeants de PME nous posent les mêmes questions sur l'IA et le RGPD. On a regroupé les plus fréquentes ici, avec des réponses directes.

1.Doit-on signer un contrat avec son éditeur IA ?

Oui, c'est une obligation légale. Dès qu'un outil traite des données pour votre compte (données clients, données salariés, données fournisseurs), vous devez signer un DPA, ou Data Processing Agreement. C'est l'article 28 du RGPD qui l'impose.

Sans ce contrat, vous êtes en infraction, même si l'outil est hébergé en Europe.

2.Comment savoir si un outil IA a un DPA ?

Allez sur le site de l'outil et cherchez les pages "Legal", "Privacy" ou "Trust Center".

  • Un éditeur sérieux affiche son DPA publiquement, téléchargeable sans inscription.
  • Si vous ne trouvez rien, envoyez un email au support.

S'il ne comprend pas la question, c'est un signal d'alerte. Sur trouver-ia.fr, nous vérifions cette information pour chaque outil référencé.

3.Qu'est-ce que le Cloud Act américain et pourquoi ça me concerne ?

Le Cloud Act de 2018 autorise les autorités américaines à accéder aux données stockées par les entreprises américaines, même si ces données sont physiquement hébergées en Europe. Concrètement : si vous utilisez ChatGPT, Microsoft 365, Google Workspace ou Slack, vos données sont potentiellement accessibles aux autorités américaines sur simple demande, sans vous en informer. L'hébergement en Europe ne protège pas si l'éditeur est américain.

4.Un outil hébergé en France est-il automatiquement conforme RGPD ?

Non. L'hébergement en France est un critère important mais pas suffisant.

Un outil peut être hébergé en France et ne pas avoir de DPA disponible, ou utiliser vos données pour entraîner ses modèles.

Il faut vérifier : où sont hébergées les données, si un DPA est disponible, si les données servent à l'entraînement du modèle, et quelle est la nationalité de la société mère.

5.Peut-on utiliser ChatGPT en version gratuite dans une PME ?

Avec des précautions. La version gratuite de ChatGPT ne propose pas de DPA. Vos données peuvent être utilisées pour entraîner le modèle.

La règle à appliquer : ne jamais saisir de noms de clients, de coordonnées, de données financières ou de documents contractuels dans la version gratuite. Pour un usage professionnel avec des données sensibles, il faut passer sur ChatGPT Business (avec DPA) ou une alternative française comme Mistral Le Chat.

6.Qu'est-ce que l'IA Act et quand s'applique-t-il ?

L'IA Act est le règlement européen sur l'intelligence artificielle, en application complète depuis août 2026. Il classe les systèmes IA en quatre niveaux de risque. Pour les PME, les obligations principales concernent la transparence (informer vos clients s'ils interagissent avec une IA), l'interdiction de certains usages (notation sociale, manipulation psychologique) et des obligations de documentation pour les usages à risque élevé (recrutement automatisé, scoring de crédit).

7.Qu'est-ce que le Label Vigie sur trouver-ia.fr ?

Le Label Vigie est notre méthode d'évaluation. Nous notons chaque outil sur quatre critères : interface disponible en français, support client en France aux horaires français, DPA conforme RGPD disponible publiquement, et prix en euros.

Un outil qui coche les quatre cases obtient un score de 5/5.

Ce score n'est pas une certification légale mais un indicateur de conformité opérationnelle pour les PME françaises.

8.Comment choisir entre un outil généraliste et un outil spécialisé par métier ?

  • Un outil généraliste comme Mistral Le Chat ou Moon AI fait tout correctement.
  • Un outil spécialisé comme Payfit (paie), Pennylane (comptabilité) ou Skello (planning restauration) fait une chose très bien, avec des intégrations métier que les généralistes n'ont pas.

La bonne approche pour une PME : un outil généraliste pour les tâches de rédaction et d'analyse, et un ou deux outils spécialisés pour les processus critiques.

Ce qu'il faut retenir
  • Le RGPD s'applique à tous, même aux TPE et micro-entreprises.
  • L'absence de DPA signé avec vos éditeurs IA est une infraction, pas une zone grise.
  • L'hébergement en France est un plus mais ne remplace pas le DPA.
  • L'IA Act ajoute des obligations de transparence depuis août 2026.
  • Des outils conformes et performants existent pour chaque métier.

Vous voulez découvrir quels outils IA sont conformes pour votre métier ? Consultez notre annuaire d'outils IA vérifiés Label Vigie ou lisez ce que tout dirigeant de PME doit savoir sur le RGPD et l'IA.

Articles similaires

Juridique & RGPD

Question 7 du questionnaire fournisseur : vos outils IA sont-ils conformes ?

8 min21 avril 2026
Juridique & RGPD

Outils IA pour cabinets d'avocats : notre sélection Label Vigie 2026

9 min20 avril 2026

Découvrez tous nos outils IA

Plus de 50 outils sélectionnés pour les professionnels français, validés par notre protocole Vigie RGPD.

Explorer l'annuaire →