RGPD et IA : automatiser votre PME sans franchir la ligne rouge

Un dirigeant de PME bruxelloise m'a appelé en panique le mois dernier. Sa commerciale collait depuis 6 mois des e-mails clients dans ChatGPT pour générer des réponses « plus pro ». Nom, prénom, numéros de dossier, parfois des montants. Tout y passait.

La question qu'il m'a posée : « Bryan, on est dans la mer**, c'est ça ? »

Réponse honnête : oui, mais pas autant qu'il le craignait. Le problème n'était pas l'IA. C'était l'absence totale de cadre. Et c'est exactement ce que je vois chez 80 % des PME belges qui se sont mises à l'IA en 2025-2026 : elles ont adopté l'outil, jamais la règle.

Cet article, c'est ce que j'aurais voulu lire en 2024 avant de mettre les mains dans GPT-4 et Claude pour automatiser des process clients. On va regarder où sont les lignes rouges, ce que dit vraiment l'AI Act, et 5 règles concrètes pour qu'une PME puisse innover sans avoir l'Autorité de Protection des Données (APD) au bout du fil.

Le cadre légal en 2026 : RGPD + AI Act

Vous avez deux textes qui s'appliquent. Pas un. Deux.

Le RGPD (toujours là, toujours valide)

Le Règlement Général sur la Protection des Données est en vigueur depuis 2018. Il s'applique dès que vous traitez des données personnelles : nom, e-mail, téléphone, IP, photo, voix, comportement d'achat. Bref, à peu près tout ce que touche une PME.

L'IA n'a aucune dérogation RGPD. Si vous envoyez le nom d'un client dans ChatGPT pour générer un e-mail, vous faites un traitement de données personnelles. Vous devez avoir une base légale, informer le client, garantir la sécurité, et tenir un registre.

L'AI Act (le nouveau)

L'AI Act européen s'applique progressivement depuis 2025 (interdictions février 2025, obligations modèles génératifs août 2025, obligations risque élevé 2026-2027). Il classe les usages IA en quatre catégories :

Bonne nouvelle pour 95 % des PME : vos cas d'usage tombent en risque limité ou minimal. La mauvaise : si vous faites du tri de CV IA, du scoring de leads agressif ou de la reconnaissance faciale en magasin, vous êtes en risque élevé et les obligations sont conséquentes.

Où l'IA expose votre PME (les 6 zones rouges)

Voici les 6 cas où je vois des PME belges déraper. À chaque fois, c'est par méconnaissance, jamais par malveillance.

1. Coller des données clients dans ChatGPT grand public

La version grand public de ChatGPT (gratuite et Plus) peut utiliser vos conversations pour entraîner ses modèles. Vos données clients partent aux États-Unis. Si elles ressortent un jour dans une réponse à un autre utilisateur, vous avez une fuite RGPD avec obligation de notifier l'APD dans les 72 heures et les personnes concernées.

La parade : version Business/Enterprise avec engagement contractuel de non-entraînement, ou hébergement européen via Azure OpenAI.

2. Synchroniser un CRM dans un outil IA non audité

Connecter votre CRM à un outil IA américain via Zapier, sans DPA (Data Processing Agreement), c'est une violation. Le DPA est un contrat obligatoire entre vous (responsable de traitement) et l'outil (sous-traitant). Sans lui, vous êtes seul responsable des fuites.

3. Scoring de leads avec l'IA

Si une IA décide automatiquement qu'un lead est « chaud » ou « froid » et que cette décision impacte le traitement (relance ou pas), vous faites une « décision automatisée » au sens RGPD article 22. Le prospect a le droit d'exiger une intervention humaine et d'être informé de la logique utilisée.

4. Chatbot qui ne dit pas qu'il est une IA

AI Act, article 50 : tout chatbot doit informer clairement l'utilisateur qu'il interagit avec une IA. Pas de petits caractères. Pas de « assistant virtuel » flou. Notre guide chatbot PME détaille les formulations conformes.

5. Génération de contenu marketing avec données réelles

Vous demandez à l'IA de générer un e-mail personnalisé à partir de la fiche client de Mme Dupont avec son historique d'achat ? Ce traitement nécessite une base légale (intérêt légitime ou consentement) et doit figurer dans votre registre.

6. Traduction automatique de documents internes RH

Faire traduire un contrat de travail ou une évaluation par ChatGPT, c'est mettre des données employés dans un système non européen. Pour les RH, la sensibilité est encore plus élevée. DeepL Pro avec hébergement européen est une alternative simple.

Les 5 règles concrètes (à imprimer)

Voici la checklist que je donne à chaque PME qu'on accompagne en automatisation chez Fluxcore.

Les outils IA conformes pour une PME belge

Voici les choix qui permettent à une PME belge d'automatiser avec l'IA tout en restant alignée RGPD. Liste non exhaustive, situation à mai 2026.

Modèles de langage (LLM)

• Mistral (France) : modèle français, hébergement européen possible. Le plus simple côté souveraineté.
• Azure OpenAI (région West Europe ou France Central) : GPT-4 hébergé en Europe avec engagement de non-entraînement. Microsoft fournit le DPA standard.
• Anthropic Claude via AWS Bedrock (région Frankfurt) : excellent rapport qualité-prix, données qui restent en Europe.
• ChatGPT Enterprise/Business : OK avec DPA, mais les données passent encore par les États-Unis. Vérifiez le décret transferts en vigueur.
• À éviter pour les données clients : ChatGPT gratuit, ChatGPT Plus personnel, Gemini grand public.

Plateformes d'automatisation

• n8n self-hosted: open source, vous hébergez, vos données ne sortent jamais de chez vous. C'est ce qu'on utilise chez Fluxcore pour les automatisations PME sensibles.
• Make : DPA standard disponible, hébergement possible en région UE. OK pour les automatisations de complexité moyenne.
• Zapier : DPA disponible mais hébergement principalement US. À éviter pour les données sensibles (santé, RH, finance).

Outils complémentaires

• DeepL Pro : traduction, hébergement européen, DPA standard. Préférable à Google Translate pour des contenus internes.
• Whisper local (open source) : transcription audio en local, parfait pour les notes commerciales sans envoi cloud.

Cas concret : automatiser le suivi commercial sans déraper

Pour rendre tout ça concret, voici comment on a déployé une automatisation IA conforme chez une PME bruxelloise dans le secteur des services aux entreprises (anonymisée à leur demande).

Besoin :à chaque demande entrante, générer automatiquement un brief lead (résumé du besoin, niveau de maturité, suggestion d'e-mail de réponse) que le commercial valide ensuite.

Architecture mise en place :

• Formulaire site web → n8n self-hosted (données restent sur leur serveur belge).
• n8n appelle Anthropic Claude via AWS Bedrock région Frankfurt (DPA en place).
• Avant l'appel, n8n anonymise : remplace nom et e-mail par des placeholders.
• La réponse de l'IA est dé-anonymisée localement et envoyée au commercial dans Slack.
• Mention « suggéré par IA » dans Slack (transparence interne) et dans la politique de confidentialité (transparence externe).
• Logs n8n purgés après 30 jours. Conversations Bedrock pas stockées (paramétrage AWS).

Résultat :90 % des briefs leads validés tels quels par le commercial, 5 minutes économisées par lead, zéro donnée client qui sort de l'UE, registre RGPD à jour.

C'est ça, l'IA conforme : pas un blocage, juste un peu d'architecture en amont.

FAQ rapide

Faut-il faire un AIPD (analyse d'impact) pour utiliser l'IA ?

Une analyse d'impact relative à la protection des données (AIPD) est obligatoire pour les traitements à haut risque. Si vous faites du scoring automatisé, du recrutement IA, de la surveillance, oui. Pour un chatbot service client classique, non. La CNIL et l'APD belge ont publié des listes indicatives à consulter.

Mon comptable peut-il utiliser ChatGPT pour mes documents ?

Pas avec la version grand public. Les données comptables sont sensibles. Il doit utiliser une offre Business/Enterprise avec engagement de non-entraînement, ou un outil IA spécialisé pour la comptabilité avec hébergement EU.

L'IA peut-elle écrire mes posts LinkedIn ?

Oui, sans problème RGPD si le contenu ne contient pas de données personnelles de tiers. Si vous générez un post sur l'histoire d'un client réel, vous devez son accord (consentement explicite). C'est un cas d'école.

Que faire si je découvre un usage IA non conforme dans ma PME ?

Trois actions, dans l'ordre : 1) couper l'usage tout de suite, 2) évaluer si une fuite de données a eu lieu (si oui, notifier l'APD dans les 72h), 3) reconstruire le process avec un outil conforme. Ne cachez pas, c'est la pire stratégie.

L'APD belge sanctionne-t-elle vraiment les PME ?

Oui. Sur les 3 dernières années, l'APD a prononcé plusieurs dizaines d'amendes contre des PME, généralement entre 1 000 et 50 000 EUR. Les cas les plus fréquents : cookies non conformes, mailing sans consentement, vidéosurveillance abusive. Les premiers dossiers IA arrivent.

Par où commencer

Si vous lisez cet article et que vous réalisez que votre PME a déjà des usages IA non encadrés, ne paniquez pas. Faites l'inventaire. Listez tous les outils IA utilisés (officiels et shadow IT), pour chacun notez quelles données passent dedans, qui a accès, où c'est hébergé. En 2 heures, vous avez une cartographie. À partir de là, c'est de la mise au carré, pas du sauvetage.

Si vous voulez un regard externe sur votre setup IA et un plan d'action concret, prenez un diagnostic digital gratuit. En 30 minutes, on regarde votre stack, on identifie les zones rouges et on vous donne 3 à 5 actions prioritaires. Sans jargon juridique, avec des décisions concrètes.

Chez Fluxcore, on aide les PME belges à déployer l'IA intelligemment. Pas l'IA pour faire bien, l'IA qui fait gagner du temps sans créer de risque RGPD. C'est notre cadre standard pour chaque projet d'automatisation.