RGPD et IA : ce que les entreprises belges doivent vérifier avant de fournir des données personnelles à un outil

Il y a une conversation que j'ai encore et encore avec des entreprises belges. Elle commence par : "On a commencé à utiliser un outil d'IA et c'est génial — il traite nos e-mails clients / trie nos CV / résume nos tickets de support." Et puis je pose une question qui change l'ambiance : "Quelles données personnelles y mettez-vous, et où vont-elles ?"

En général, personne ne le sait.

C'est l'écart qui compte. Le règlement IA européen fait toutes les manchettes, mais pour la plupart des entreprises belges, l'exposition juridique la plus immédiate n'est pas du tout le règlement IA — c'est le RGPD, qui a des dents depuis 2018 et s'applique dès que votre IA touche ne serait-ce qu'une donnée personnelle. Et l'Autorité de protection des données belge a rendu sa position explicite : en décembre 2024, l'APD/GBA a publié des lignes directrices formelles sur les systèmes d'IA et le RGPD. Elle surveille ce domaine.

Je suis ingénieur, pas juriste — ceci n'est pas un avis juridique. Mais voici la version pratique que je donne aux entreprises avec lesquelles je travaille.

Le problème central : les outils d'IA sont des sous-traitants que vous n'avez pas vérifiés

Lorsque vous adoptez un outil d'IA SaaS, vous envoyez généralement des données vers les serveurs d'un tiers. Sous le RGPD, si ces données comprennent des informations personnelles — noms, e-mails, tout ce qui identifie une personne — vous venez de créer une relation de traitement avec des obligations juridiques attachées.

Les questions auxquelles vous êtes censé pouvoir répondre :

• Quelle est la base légale ? Vous avez besoin d'une raison licite pour traiter des données personnelles (consentement, contrat, intérêt légitime…). "Ça a accéléré le travail" n'est pas une base légale.
• Où vont les données ? Si le fournisseur d'IA traite les données hors de l'UE, il y a des règles supplémentaires. Beaucoup d'outils populaires acheminent les données vers les États-Unis.
• Sont-elles utilisées pour entraîner le modèle ? Certains outils d'IA grand public utilisent vos entrées pour améliorer leurs modèles. Si vous avez collé les données personnelles d'un client, vous les avez peut-être partagées d'une façon irréversible.
• Avez-vous un accord de traitement des données (DPA) avec le fournisseur ? Pour une relation de sous-traitance, le RGPD en exige généralement un.

La plupart des PME belges utilisant des outils d'IA ne peuvent pas répondre à ces questions pour les outils que leurs équipes ont adoptés de façon informelle. C'est ça le vrai risque — pas le système officiel et vérifié, mais la douzaine d'outils non officiels.

Les quatre choses qui mettent vraiment les entreprises en difficulté

D'après mon expérience, l'exposition se regroupe autour de quatre erreurs.

1. Du personnel qui colle des données personnelles dans des outils d'IA publics

Quelqu'un dépose une liste de clients, un CV ou un contrat dans un chatbot public gratuit pour le "nettoyer". Ces données ont maintenant quitté votre contrôle et peuvent être conservées ou utilisées pour l'entraînement. C'est la plus courante, et la moins chère à corriger : une politique claire et un briefing de quinze minutes.

2. De l'IA qui prend des décisions sur des personnes sans supervision

Le RGPD a des règles spécifiques (article 22) sur les décisions prises uniquement par des moyens automatisés qui affectent significativement quelqu'un — pensez au rejet automatique d'une candidature ou d'un prêt. Si une IA prend ces décisions sans révision humaine significative, vous avez un problème qui est à la fois une question RGPD et, souvent, une question d'IA à haut risque en même temps.

3. Aucune transparence envers les personnes concernées

Si vous utilisez l'IA pour traiter des données de clients ou d'employés, ces personnes ont généralement le droit de le savoir. "Nous traitons vos données à l'aide d'outils automatisés y compris l'IA" est le genre de phrase qui doit figurer dans votre déclaration de confidentialité — et qui souvent n'y figure pas.

4. Des données de catégorie particulière, traitées sans soin

Données de santé, données biométriques, données révélant l'origine ethnique ou les convictions — celles-ci bénéficient d'une protection supplémentaire. Un outil d'IA qui en touche la moindre augmente considérablement les enjeux. L'IA de recrutement est ici un contrevenant fréquent, car les CV et entretiens peuvent faire surgir des données de catégorie particulière sans que personne ne le veuille.

Ce que signalent les lignes directrices de l'APD belge

Les lignes directrices de décembre 2024 de l'APD/GBA n'inventent pas de nouvelles règles — elles clarifient comment les principes RGPD existants s'appliquent à l'IA. Le signal en dessous est ce qui compte : le régulateur considère l'IA-et-données-personnelles comme une priorité, et "nous ne réalisions pas que les règles s'appliquaient à l'IA" ne sera pas une défense.

Cela renforce aussi quelque chose que je dis à chaque client : le règlement IA et le RGPD sont deux corpus de règles distincts braqués sur les mêmes systèmes. Une IA de recrutement peut être à haut risque sous le règlement IA et une décision automatisée significative sous le RGPD. Vous ne pouvez pas en choisir un. Vous devez satisfaire les deux.

La checklist pratique

Vous n'avez pas besoin d'un département juridique pour réussir les bases. Vous devez faire ceci honnêtement :

1. Listez chaque outil d'IA qui touche des données personnelles. Officiel et non officiel. Données clients, données employés, tout ce qui identifie une personne.

2. Pour chacun, répondez : où vont les données, et sont-elles utilisées pour l'entraînement ? Lisez les conditions du fournisseur. Pour les outils de niveau professionnel, vous pouvez généralement désactiver l'entraînement-sur-vos-données et obtenir une option de résidence des données dans l'UE — mais seulement si vous vérifiez.

3. Mettez en place un accord de traitement des données avec les fournisseurs qui traitent des données personnelles pour vous. Les outils sérieux en proposent un.

4. Écrivez la règle dont tout le monde a besoin : ne jamais coller de données personnelles ou confidentielles dans un outil d'IA public/gratuit. Utilisez uniquement les outils approuvés et configurés. Cette seule phrase prévient la plupart des incidents.

5. Ajoutez l'IA à votre déclaration de confidentialité et assurez-vous que toute IA prenant des décisions significatives sur des personnes dispose d'une véritable supervision humaine, pas d'un tampon automatique.

6. Pour tout ce qui implique des données de catégorie particulière ou des décisions automatisées sur des personnes, obtenez un avis approprié. C'est là que les conséquences sont réelles.

Les étapes 1, 2, 4 et 5, vous pouvez les faire ce mois-ci. Elles préviennent la grande majorité des problèmes.

La conclusion honnête

L'IA ne change pas le RGPD — elle rend simplement incroyablement facile de l'enfreindre, vite, à grande échelle, par du personnel bien intentionné qui ne réalise pas que coller un tableur dans un chatbot est un transfert de données ayant un poids juridique.

Vous n'avez pas besoin d'interdire l'IA. Les entreprises qui gèrent bien cela ne sont pas celles aux règles les plus strictes — ce sont celles qui ont choisi des outils correctement configurés, écrit une politique claire, et veillé à ce que leur équipe comprenne pourquoi. C'est quelques heures de travail, et c'est la différence entre l'IA comme atout et l'IA comme passif tapi tranquillement dans votre boîte de réception.

J'écris une newsletter courte et pratique sur exactement cette intersection — RGPD, règlement IA européen, et ingénierie senior pour les entreprises belges, en langage clair. Si cela vous est utile, abonnez-vous ci-dessous.

Et si vous voulez que quelqu'un cartographie réellement lesquels de vos outils touchent des données personnelles et où elles vont, c'est une partie de ce que couvre l'Audit de Préparation IA de WDC — une revue honnête et écrite, sans vente par la peur.