RGPD et IA générative : ce que les entreprises doivent savoir

Au regard du RGPD, coller une donnée personnelle dans un assistant IA grand public constitue un traitement — souvent un transfert vers un sous-traitant tiers, parfois hors UE. Sans base légale, sans information des personnes et sans garanties contractuelles, c'est une non-conformité. La parade la plus robuste n'est pas d'interdire l'IA : c'est d'appliquer la minimisation à la source en anonymisant les données avant l'envoi.

Pourquoi un prompt peut tomber sous le RGPD

Le RGPD s'applique dès qu'une donnée permet d'identifier une personne, directement ou indirectement. Un prénom + une ville, un e-mail, un numéro de téléphone, un identifiant client : tout cela est une donnée personnelle. Dès qu'elle est saisie dans un service tiers, il y a traitement — et le plus souvent communication à un sous-traitant qui l'héberge et la traite pour son compte.

• Licéité : il faut une base légale pour ce traitement (article 6).
• Minimisation : on ne transmet que ce qui est strictement nécessaire (article 5).
• Transferts hors UE : ils exigent des garanties spécifiques (chapitre V).
• Information : les personnes concernées doivent être informées de l'usage.

L'anonymisation comme principe de minimisation

Le principe de minimisation est votre meilleur allié : si l'assistant n'a pas besoin du vrai nom pour reformuler un e-mail, ne le lui donnez pas. En remplaçant chaque donnée identifiante par un jeton neutre avant l'envoi, le contenu transmis ne permet plus d'identifier qui que ce soit. La valeur d'origine reste sur le poste de l'utilisateur, et la réponse est restaurée localement.

La donnée la mieux protégée est celle qui n'a jamais quitté le navigateur.

Anonymisation vs pseudonymisation : la nuance qui compte

Le RGPD distingue les deux. La pseudonymisation remplace l'identifiant mais conserve une clé de ré-identification quelque part — la donnée reste « personnelle ». L'anonymisation rend la ré-identification raisonnablement impossible pour le destinataire. Dans le flux d'un prompt, l'objectif est clair : le service IA ne doit recevoir que des jetons, et la table de correspondance ne doit jamais lui parvenir. Côté utilisateur, le mapping reste en mémoire locale pour restaurer la réponse — il n'est pas transmis au tiers.

Une checklist conformité pour l'usage de l'IA

1. 1Cartographier les catégories de données sensibles manipulées par vos équipes.
2. 2Décider lesquelles ne doivent jamais sortir en clair (par défaut : toutes les données personnelles).
3. 3Outiller l'anonymisation à la source plutôt que d'interdire l'IA.
4. 4Informer les équipes et documenter la politique d'usage.
5. 5Conserver la maîtrise du mapping de ré-identification côté client.

ONYRI Sanitize a été conçu autour de cette logique : le moteur d'anonymisation tourne dans le navigateur, le lien jeton ↔ valeur ne transite jamais vers le backend, et la couverture des détecteurs s'adapte au pays (règles FR, US, et au-delà). C'est la minimisation rendue opérationnelle pour l'usage quotidien de l'IA.