Compliance · Guide
Agents IA conformes au RGPD — ce qu'il faut réellement
Le RGPD s'applique à toute plateforme d'agents IA qui traite des données personnelles de résidents de l'UE, quel que soit le siège du fournisseur. La conformité signifie plus qu'un badge « nous sommes conformes » : elle exige une base légale par activité de traitement, des droits des personnes concernées implémentés au niveau des données, un DPA (accord de traitement) signé entre client et fournisseur, un stockage isolé par locataire, une politique transparente d'entraînement de modèles et des journaux d'audit qui résistent à un contrôle réglementaire. Pour les agents IA en particulier, l'Article 22 (décisions automatisées) ajoute des exigences explicites : le client — et non le fournisseur — doit déterminer quand une révision humaine est requise.
Le RGPD reformulé pour les plateformes d'agents IA
Les six principes fondamentaux de l'Article 5 du RGPD, traduits en ce qu'ils signifient pour un fournisseur d'agents IA.
Licéité, loyauté, transparence
Chaque activité de traitement nécessite une base légale (consentement, contrat, intérêt légitime, etc.) enregistrée par action. Les clients obtiennent de la transparence sur la manière dont les agents raisonnent et décident.
Limitation des finalités
Les données collectées pour une action d'agent ne peuvent pas être réutilisées pour une autre sans nouvelle base légale. Pas de clauses « nous utilisons vos données pour améliorer notre produit ».
Minimisation des données
Les agents accèdent uniquement aux champs nécessaires à la tâche spécifique. Les scopes minimum OAuth 2.0 l'imposent au niveau de l'intégration.
Exactitude
Les sorties sont auditables ; des sorties d'agent incorrectes peuvent être corrigées ou effacées. Le journal d'audit suit chaque version de chaque enregistrement.
Limitation de conservation
Conservation configurable par le client par catégorie de données. Les transcriptions de conversations d'agents, les enregistrements d'appels et les événements CRM ont tous des TTL configurables.
Intégrité et confidentialité
Chiffrement au repos (AES-256) et en transit (TLS 1.3). Isolation des locataires cryptographique, pas seulement logique. Cible d'audit SOC 2 Type I Q3 2026.
10 implémentations techniques qui prouvent la conformité RGPD
Un fournisseur peut revendiquer la conformité. Voici les implémentations qui la démontrent quand un auditeur se présente.
Base légale par action
Chaque action d'agent enregistre sa base légale (consentement, contrat, intérêt légitime, obligation légale). Exportable par personne concernée sur demande.
Export d'accès personne concernée
Export en un clic de tout ce que la plateforme détient sur une personne concernée nommée — CRM, e-mails, transcriptions d'appels, sorties générées par agent.
Effacement à l'échelle du locataire
L'effacement se propage à travers chaque cache d'agent et le graphe de données partagé en 30 jours. Pas de « soft delete » — suppression réelle avec reçu de preuve de suppression.
Export structuré
Export lisible par machine (JSON, CSV) de toutes les données clients, pas uniquement les données personnelles. Ré-importable dans les plateformes concurrentes via des schémas standard.
Portail de révision humaine
Les décisions à haut risque (paiements au-dessus du seuil, blocages de comptes, clauses contractuelles à forte valeur) exigent par défaut une approbation humaine. Configurable par politique client.
Isolation des locataires
Isolation des locataires cryptographique depuis la couche base de données. Pas de vector stores partagés, pas de caches de prompts partagés entre clients.
DPA avec liste de sous-traitants
DPA (accord de traitement) signé entre client et fournisseur. Liste des sous-traitants (y compris fournisseurs LLM) publiée et versionnée. Clients notifiés des changements de sous-traitants avec période d'opposition.
Journal d'audit
Journal d'audit immuable de chaque action d'agent : horodatage, identité de l'agent, entrée, sortie, confiance, base légale, identifiant de personne concernée. Exportable pour autorité de contrôle.
Chiffrement + contrôle d'accès
AES-256 au repos, TLS 1.3 en transit. RBAC pour les opérateurs humains. Agents authentifiés par requête. Rotation planifiée des secrets.
Pipeline de violation
Détection → triage → notification client dans les 72 heures suivant la prise de connaissance. Scripté et répété chaque trimestre.
Risques RGPD courants avec les agents IA — et comment les atténuer
Les modes de défaillance que les auditeurs recherchent. Chaque risque a un modèle d'atténuation concret.
Les fournisseurs LLM utilisent vos prompts pour entraîner leurs modèles.
N'utiliser que des fournisseurs avec des clauses signées de non-entraînement sur le contenu client. Vérifier cela dans le DPA, pas seulement sur la page marketing.
Les transcriptions de conversations fuient entre locataires via un vector store partagé.
Exiger des embeddings isolés par locataire. Demander au fournisseur de montrer la structure de la base de données — les collections partagées sont un signal d'alarme.
Les journaux d'agents contiennent des données personnelles conservées au-delà du nécessaire.
Conservation des journaux configurable par le client par catégorie de données. Par défaut 30 jours pour les données non réglementées, 10 ans uniquement pour les enregistrements GoBD/fiscaux.
Des enregistrements d'appels stockés sans consentement explicite.
L'agent d'appel divulgue l'enregistrement au début de l'appel. Consentement enregistré dans la piste d'audit avec horodatage et identifiant de l'appelant. Caviardage en un clic sur demande.
Des sous-traitants hors de l'UE traitent des données personnelles.
Option de résidence des données UE uniquement. Si des sous-traitants américains sont utilisés, DPF (Data Privacy Framework) ou SCC avec évaluation d'impact de transfert vérifiable.
Les décisions d'agents ne peuvent pas être contestées car le raisonnement est opaque.
Chaque décision d'agent enregistre sa trace de raisonnement. Les personnes concernées obtiennent le raisonnement (en langage clair) sur demande au titre de l'Article 15.
Une intégration oubliée conserve des tokens OAuth après votre annulation.
La révocation des tokens à l'annulation est automatique. Le client peut aussi révoquer à la source (paramètres de compte Google / Microsoft) en un clic.
Ce qu'il faut regarder dans le DPA du fournisseur
Demandez le modèle de DPA avant l'achat, pas pendant l'onboarding. Voici les clauses qui comptent le plus.
- ✓Clause explicite de non-entraînement : le contenu client n'est jamais utilisé pour entraîner des modèles, sans petit caractère d'opt-out
- ✓Liste des sous-traitants annexée, versionnée et période de notification avant changements (30 jours minimum)
- ✓Délais de traitement des demandes des personnes concernées : accès Article 15 dans les 30 jours, effacement Article 17 dans les 30 jours incluant la cascade des sous-traitants en aval
- ✓Droits d'audit : le client peut auditer les contrôles de sécurité du fournisseur annuellement ou plus fréquemment en cas de motif
- ✓Notification de violation : 48 heures entre prise de connaissance du fournisseur et notification du client (plus strict que la notification de 72 heures aux autorités du RGPD)
- ✓Engagement de résidence des données : où les données sont stockées, traitées, sauvegardées — par écrit, pas « généralement UE »
- ✓Restitution et suppression à la résiliation : données restituées en format portable dans les 30 jours ; reçu de suppression émis dans les 60 jours
- ✓Clarté du plafond de responsabilité : spécifiquement pour les violations de protection des données, séparé du plafond de responsabilité général
- ✓Loi applicable et juridiction : idéalement État membre UE du client, pas juridiction d'origine du fournisseur
Checklist RGPD pour les acheteurs d'agents IA — 12 points
Imprimez-la. Envoyez-la au fournisseur avant le contrat. Si une réponse est « nous y travaillons », reportez l'achat.
Accord de traitement des données
Le fournisseur signe-t-il un DPA conforme au RGPD en standard, non négocié par client ?
Pas d'entraînement par contrat
« Nous n'entraînons jamais sur le contenu client » figure-t-il dans le DPA lui-même, pas seulement sur le site web ?
Isolation des locataires
L'isolation des locataires est-elle cryptographique — clés de chiffrement séparées par client — ou simplement partitionnement logique ?
Transparence des sous-traitants
Y a-t-il une liste publique des sous-traitants avec historique de versions ? Le fournisseur LLM est-il listé ?
Résidence des données
Où les données clients sont-elles stockées, traitées et sauvegardées ? Est-ce que UE uniquement est une option ?
Export du droit d'accès
Pouvez-vous déclencher un export Article 15 complet depuis l'UI admin, ou cela nécessite-t-il un ticket support ?
Cascade du droit à l'effacement
L'effacement se propage-t-il à tous les caches d'agents, vector stores et sous-traitants en 30 jours ?
Révision humaine Article 22
Pouvez-vous configurer quelles décisions d'agents nécessitent une approbation humaine ? Par défaut approbation pour les actions destructrices.
Export du journal d'audit
Le journal d'audit est-il exportable dans un format utilisable pour les demandes d'autorités de contrôle (JSON, CSV) ?
Délai de notification de violation
Le fournisseur s'engage-t-il à vous notifier dans les 48–72 heures après avoir pris connaissance d'une violation ?
Consentement appel téléphonique
Si des agents vocaux sont utilisés, la plateforme gère-t-elle les règles de consentement spécifiques à la juridiction (bilatéral en DE/AT/CH) ?
Plan de sortie
Si vous résiliez, y a-t-il un processus documenté de restitution et de suppression avec reçu de suppression ?
Questions fréquentes
Une plateforme d'agents IA est-elle responsable du traitement ou sous-traitant au titre du RGPD ?+
Dans presque tous les scénarios PME, le client est le responsable du traitement et la plateforme d'agents IA est le sous-traitant. La plateforme opère sur instructions du client, traite des données dans le locataire du client et ne détermine pas les finalités du traitement.
L'Article 22 (décisions automatisées) interdit-il les agents IA ?+
Non. L'Article 22 exige que les personnes concernées aient le droit à une révision humaine pour les décisions ayant des effets juridiques ou similairement significatifs. Les plateformes d'agents IA se conforment en offrant des portails d'approbation humaine configurables par type de décision. Les clients (responsables du traitement) configurent quelles décisions passent par une révision humaine.
Puis-je utiliser une plateforme d'agents IA basée aux États-Unis sous le RGPD ?+
Oui, si le fournisseur opère sous le Data Privacy Framework UE-US ou utilise les Clauses Contractuelles Types avec une évaluation d'impact de transfert valide. Demandez la certification DPF ou la documentation SCC avant de signer. Privilégier les fournisseurs basés en UE simplifie cela.
Les agents IA tombent-ils sous l'EU AI Act en plus du RGPD ?+
Oui. L'EU AI Act ajoute des exigences de transparence, de classification des risques et de supervision humaine par-dessus le RGPD. La plupart des agents IA métier tombent dans « risque limité » (exigeant la transparence sur l'utilisation de l'IA), pas « risque élevé ». Les agents vocaux tombent aussi sous les règles de transparence exigeant la divulgation que l'utilisateur parle à une IA.
Quel est le plus grand facteur de risque RGPD pour les acheteurs d'agents IA ?+
Les clauses d'entraînement. De nombreux fournisseurs optent par défaut pour un opt-out par fonctionnalité pour l'amélioration des modèles, ce qui est pratiquement inapplicable pour les PME avec de nombreux utilisateurs. Insistez sur un non-entraînement par défaut contractuel dans le DPA.
Les enregistrements d'appels au titre du RGPD nécessitent-ils toujours un consentement ?+
En Autriche, Allemagne et Suisse : oui, les deux parties doivent consentir avant l'enregistrement. Dans les autres États membres de l'UE, les règles de consentement varient. Une plateforme d'agents vocaux conforme divulgue l'enregistrement au début de l'appel et enregistre le consentement dans la piste d'audit — ce qui fonctionne dans toutes les juridictions.
Combien de temps dois-je conserver les journaux d'audit des agents ?+
Pour les données métier non réglementées : choix du client, par défaut 30 jours. Pour les actions fiscales (factures, paiements) : 10 ans sous GoBD (DE) / RGS (AT). L'agent de conformité sépare les deux pour que vous ne conserviez pas trop longtemps les données non fiscales.
Obtenez le DPA avant d'acheter
Réservez une session de 30 minutes avec notre équipe compliance. Nous parcourons le DPA complet, la liste des sous-traitants et répondons à chacune des 12 questions de la checklist officiellement.