RGPD et IA : ce que tout dirigeant de PME doit savoir en 2026

Un record absolu.

Et non, ce ne sont pas que les Google et les Amazon qui trinquent. En 2025, un tiers des entreprises contrôlées par la CNIL étaient des PME ou des TPE. Vous utilisez un chatbot sur votre site ?

• Un outil IA pour trier des CV ?
• Un logiciel qui génère vos devis ?

Alors cet article est pour vous. Ce guide fait le point, sans jargon juridique, sur ce que vous risquez concrètement, ce que la loi vous demande, et surtout comment utiliser l'IA sereinement dans votre entreprise. Vous utilisez déjà l'IA (et vous êtes déjà concerné)

On pense souvent que l'intelligence artificielle, c'est pour les startups parisiennes ou les grands groupes avec un département data. Faux. Si vous utilisez l'un de ces outils dans votre quotidien, vous faites déjà de l'IA :

• Un assistant type ChatGPT pour rédiger des mails ou des devis.
• Un outil de tri de CV ou de scoring de candidats.
• Un CRM qui prédit quels clients vont acheter.
• Un chatbot sur votre site qui répond aux questions clients.
• Un logiciel de comptabilité avec de la catégorisation automatique ([Pennylane](/outils/finance/pennylane), [Sage IA](/outils/finance/sage-ia)).
• Un chatbot qui répond à vos clients ([Crisp](/outils/vente-client/crisp), [HubSpot IA](/outils/vente-client/hubspot-ia)).

Dès que l'un de ces outils traite des données personnelles (noms, emails, numéros de téléphone, adresses), le RGPD s'applique. Point. Que l'outil soit intelligent ou non ne change rien à l'affaire. RGPD + IA Act : deux textes, une seule logique Vous avez sûrement entendu parler du RGPD depuis 2018. C'est le règlement européen qui protège les données personnelles. Mais depuis 2024, un deuxième texte est entré dans la danse : l'IA Act, le règlement européen sur l'intelligence artificielle.

La différence est simple. Le RGPD encadre les données personnelles. L'IA Act encadre les systèmes d'IA. Ces deux textes ne se remplacent pas, ils s'additionnent. Si votre outil IA traite des données personnelles, vous devez respecter les deux. Le calendrier à retenir Février 2025 : les pratiques IA à risque inacceptable sont interdites (notation sociale, manipulation).

Août 2025 : obligations pour les fournisseurs de modèles d'IA générative. Août 2026 : application complète pour les systèmes à haut risque (RH, scoring, santé, éducation). 2027 : dernières obligations pour les produits où l'IA est un composant de sécurité.

La bonne nouvelle : si vous êtes déjà en conformité RGPD, vous avez une base solide. Ce que vous risquez concrètement On ne va pas tourner autour du pot. Les chiffres de 2025 parlent d'eux-mêmes. 83 sanctions prononcées par la CNIL en 2025, pour un montant total de 486 839 500 euros. C'est neuf fois plus qu'en 2024.

Les PME dans le viseur En 2025, 32% des entreprises contrôlées étaient des PME ou TPE. Sur les 83 sanctions, 67 ont été prononcées via la procédure simplifiée, un mécanisme qui cible précisément les petites structures.

Les amendes restent modestes en apparence (de 3 000 à 20 000 euros par manquement), mais pour une TPE qui fait 200 000 euros de chiffre d'affaires annuel, une amende de 20 000 euros, c'est 10% du CA. La responsabilité personnelle du dirigeant Ce que beaucoup ignorent : le code pénal français prévoit des sanctions personnelles pour le dirigeant. On parle de jusqu'à cinq ans d'emprisonnement et 300 000 euros d'amende pour certaines violations graves. L'argument "je ne savais pas" ne tient plus en 2026.

Les 5 réflexes du dirigeant responsable

Pas besoin de devenir juriste pour protéger votre entreprise. Voici cinq actions concrètes que tout dirigeant de PME peut lancer cette semaine.

1.Cartographiez vos outils IA

Faites la liste de tous les logiciels et services qui utilisent l'IA dans votre entreprise. Incluez les outils que vos équipes utilisent sans que vous le sachiez. Pour chacun, notez : quelles données il traite, où elles sont hébergées, et qui y a accès.

2.Vérifiez l'hébergement des données

Vos données sont-elles stockées en France ? En Europe ? Aux États-Unis ? Si vos données personnelles sont traitées hors UE, votre fournisseur doit avoir mis en place des garanties spécifiques. Un hébergement en France ou dans l'UE simplifie énormément la conformité.

3.Documentez vos usages

Pour chaque outil IA, vous devez pouvoir expliquer : pourquoi vous l'utilisez, sur quelle base légale, combien de temps vous conservez les données, et quelles mesures de sécurité sont en place.

4.Informez vos clients et vos équipes

Si un chatbot répond à vos clients, ils doivent savoir qu'ils parlent à une machine. Si une IA aide à trier des CV, les candidats doivent être informés. Mettez à jour vos mentions légales et votre politique de confidentialité.

5.Maintenez une veille active

L'IA bouge vite, la réglementation aussi. Abonnez-vous aux communications de la CNIL et vérifiez régulièrement que vos outils n'ont pas changé leurs conditions d'utilisation. Comment choisir un outil IA conforme Avant de souscrire à un nouvel outil IA, posez-vous ces questions.

Où sont hébergées mes données ? L'outil est-il disponible en français ? Existe-t-il un contrat de sous-traitance (DPA) ?

Mes données servent-elles à entraîner l'IA ? Le prix est-il affiché en euros ? Puis-je récupérer et supprimer mes données ?

C'est exactement cette grille de lecture que nous appliquons sur trouver-ia.fr avec notre Label Vigie. Chaque outil référencé est évalué sur ces critères : interface en français, conformité RGPD, support en France, prix en euros. La conformité comme avantage concurrentiel On peut voir le RGPD et l'IA Act comme des contraintes. On peut aussi les voir comme des leviers. Dans un marché où la confiance est devenue un critère d'achat, afficher clairement sa conformité est un avantage commercial.

Quand un client hésite entre deux prestataires et que l'un affiche clairement "données hébergées en France, conforme RGPD" et l'autre non, le choix est vite fait.