Faut-il un accord de traitement (DPA) pour utiliser l'IA au travail ?
Oui, sous le RGPD (art. 28) : dès qu'un fournisseur d'IA traite des données personnelles pour votre compte, un accord de traitement (DPA) écrit est obligatoire.
Oui. Sous le RGPD, dès qu'un sous-traitant traite des données personnelles pour votre compte, l'article 28 impose un contrat écrit — c'est ce qu'on appelle un accord de traitement, ou DPA (Data Processing Agreement). Quand vos salariés saisissent des données personnelles dans une IA (noms de clients, e-mails, dossiers RH), le fournisseur agit en sous-traitant et vous restez responsable de traitement : un DPA devient juridiquement obligatoire. Les offres entreprise et API proposent ce contrat ; les comptes grand public, non. Et un DPA seul ne suffit pas : il faut aussi une base légale, l'information des personnes et un cadrage des transferts hors UE.
Pourquoi un DPA est obligatoire (article 28 du RGPD)
L'article 28 du RGPD prévoit que, dès qu'un sous-traitant traite des données personnelles pour le compte d'un responsable de traitement, la relation soit encadrée par un contrat (ou un autre acte juridique contraignant). Ce contrat doit définir l'objet et la durée du traitement, sa nature et sa finalité, le type de données personnelles, les catégories de personnes concernées, ainsi que les obligations et droits du responsable. L'article 28(9) précise que ce contrat doit être établi « par écrit, y compris sous forme électronique » : l'obligation de DPA est donc explicitement écrite, elle ne peut pas rester informelle.
Le responsable a aussi un devoir en amont : l'article 28(1) impose de ne recourir qu'à des sous-traitants présentant des « garanties suffisantes » quant aux mesures techniques et organisationnelles. Choisir son fournisseur d'IA est donc en soi un acte de conformité — pas seulement signer le document.
Ce que le DPA doit contenir
L'article 28(3) liste huit clauses obligatoires (a à h). Le DPA doit prévoir que le sous-traitant :
- ne traite les données que sur instructions documentées du responsable, y compris pour les transferts vers des pays tiers ;
- garantit que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
- met en œuvre les mesures de sécurité de l'article 32 ;
- respecte les conditions pour recourir à un autre sous-traitant (sous-traitant ultérieur) ;
- aide le responsable à répondre aux demandes d'exercice des droits des personnes ;
- assiste le responsable pour ses obligations des articles 32 à 36 (sécurité, notification de violation, analyse d'impact) ;
- supprime ou renvoie les données à la fin de la prestation ;
- met à disposition les informations nécessaires pour démontrer la conformité et permettre des audits.
Le DPA encadre aussi les sous-traitants ultérieurs : le sous-traitant ne peut en recruter un autre sans l'autorisation écrite préalable du responsable, et doit lui imposer les mêmes obligations de protection en cascade. Les lignes directrices 07/2020 de l'EDPB rappellent qu'un DPA ne doit pas se contenter de recopier le RGPD : il doit détailler concrètement comment chaque exigence et chaque niveau de sécurité seront atteints.
IA grand public ou offre entreprise : la ligne de partage
C'est ici que se joue la conformité en pratique. OpenAI propose un Data Processing Addendum (DPA) pour ses produits professionnels — ChatGPT Business/Team, ChatGPT Enterprise et l'API — pour soutenir la conformité RGPD des clients. Aucun DPA n'est disponible pour les services grand public, comme la version gratuite ou Plus de ChatGPT : c'est précisément pourquoi le traitement de données personnelles doit passer par un compte professionnel, pas par un compte personnel.
La différence ne s'arrête pas au papier. Par défaut, OpenAI n'entraîne pas ses modèles sur les données soumises via ses offres professionnelles ou l'API, sauf opt-in explicite du client ; à l'inverse, le ChatGPT grand public peut utiliser les conversations pour améliorer les modèles, sauf désactivation dans les réglages. Cet écart correspond exactement aux clauses d'« instructions documentées » et de confidentialité qu'un DPA est censé verrouiller (voir la page OpenAI — Enterprise privacy et OpenAI — Data Processing Addendum, citées par nom).
| Vous pensez | La réalité |
|---|---|
| « Un compte ChatGPT perso suffit pour le boulot » | Pas de DPA sur le grand public → traitement non encadré par l'art. 28 |
| « Le DPA, c'est juste de la paperasse » | Sans lui, le recours au sous-traitant est illicite dès qu'il y a des données personnelles |
| « Signer le DPA suffit à être conforme » | Il faut aussi base légale, information des personnes et cadrage des transferts |
| « Mes données restent en Europe » | Beaucoup de fournisseurs routent vers les États-Unis → mécanisme de transfert requis |
Le DPA ne suffit pas : base légale, information, transferts
Un DPA n'est pas une autorisation globale d'utiliser l'IA. Pour un usage licite, le responsable doit aussi réunir plusieurs conditions :
- 1Une base légale valide au titre de l'article 6 (par exemple l'intérêt légitime ou l'exécution d'un contrat).
- 2L'information des personnes concernées (transparence) : elles doivent savoir que leurs données peuvent être traitées via un outil d'IA.
- 3Le respect de la minimisation : ne traiter que les données adéquates, pertinentes et limitées à ce qui est nécessaire.
- 4Un mécanisme de transfert quand les données quittent l'UE/EEE : beaucoup de fournisseurs d'IA routent vers les États-Unis, ce qui rend généralement nécessaires les clauses contractuelles types (CCT/SCC) de la Commission européenne — souvent intégrées au DPA du fournisseur.
Les clauses contractuelles types (SCC) sont des modèles de contrat pré-approuvés par la Commission européenne (version modernisée adoptée le 4 juin 2021) qui offrent des garanties appropriées pour transférer des données personnelles de l'UE/EEE vers des pays tiers. Même avec des SCC, le responsable doit vérifier que les conditions générales du RGPD et celles du chapitre V sont réunies pour chaque transfert.
La parade : réduire le périmètre en anonymisant en amont
La conclusion pratique pour l'employeur est nette : si des salariés collent des données personnelles (noms de clients, e-mails, dossiers RH, fichiers clients) dans une IA sans DPA, sans base légale documentée, sans information des personnes et sans garantie de transfert, l'usage n'est pas conforme. Passer par une offre entreprise ou une API qui exécute un DPA est le correctif de base.
Un levier complémentaire réduit le risque à la racine : anonymiser ou retirer les données personnelles avant l'envoi au fournisseur. Moins de données personnelles atteignent le sous-traitant, plus le périmètre de conformité — et l'exposition aux transferts — se rétrécit. C'est exactement l'esprit de la minimisation des données : un traitement adéquat, pertinent et limité au nécessaire.
C'est là qu'intervient ONYRI Sanitize : le moteur remplace les données sensibles par des jetons réversibles avant l'envoi ; la détection et le mapping jeton↔valeur restent dans votre navigateur, et seul un texte anonymisé atteint l'outil d'IA. Le DPA reste nécessaire pour ce qui transite encore, mais moins vos données personnelles partent en clair, plus votre périmètre de sous-traitance et de transfert se réduit.
Questions fréquentes
- Faut-il un DPA pour utiliser ChatGPT (ou une autre IA) au travail ?
- Oui, dès que des données personnelles sont en jeu : sous l'article 28 du RGPD, le fournisseur d'IA agit en sous-traitant pour votre compte, ce qui rend un accord de traitement écrit obligatoire. Les offres entreprise et API proposent un DPA ; les comptes grand public, non — d'où l'importance d'utiliser un compte professionnel.
- Un DPA suffit-il à rendre l'usage de l'IA conforme au RGPD ?
- Non. Le DPA est indispensable mais pas suffisant : il faut aussi une base légale au titre de l'article 6, l'information des personnes concernées, le respect de la minimisation, et un mécanisme de transfert (comme les clauses contractuelles types) quand les données quittent l'UE/EEE.
- Comment réduire le besoin de transférer des données personnelles à l'IA ?
- Anonymisez la donnée avant l'envoi : moins de données personnelles atteignent le fournisseur, plus le périmètre de sous-traitance et de transfert se réduit. Un moteur détecte les données sensibles, les remplace par des jetons réversibles, et seul un texte anonymisé atteint l'outil — la restauration reste dans votre navigateur.
Sources et références
- Texte intégral de l'article 28 du RGPD — obligations du sous-traitant et clauses obligatoires du contrat écrit (DPA) — GDPR-info.eu (Intersoft Consulting)
- Recommandations de la CNIL pour développer des systèmes d'IA en conformité avec le RGPD — rôles (responsable/sous-traitant), base légale, contrats fournisseurs — CNIL (autorité française de protection des données)
- Présentation par la Commission européenne des clauses contractuelles types pour les transferts internationaux de données personnelles sous le RGPD — Commission européenne
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt