Données personnelles et IA : ce que font vraiment les algorithmes avec vos informations

Les données personnelles que l'IA collecte sur vous sont bien plus nombreuses que vous ne le pensez. Chaque requête à un assistant IA, chaque photo partagée, chaque clic alimentent des systèmes d'apprentissage dont les pratiques restent largement opaques.

La réponse courte : oui, vos données sont utilisées ; pour entraîner les modèles, affiner les réponses, parfois pour des finalités que vous n'avez jamais explicitement acceptées. Mais le droit résiste : le RGPD, renforcé par l'AI Act depuis 2025, impose des obligations concrètes aux acteurs de l'IA.

Des entreprises ont déjà été lourdement sanctionnées. Dans cet article, CTRLZ décrypte les mécanismes réels de collecte, les dérives documentées et les droits que vous pouvez exercer dès aujourd'hui.

 

Données personnelles et IA : comment la collecte fonctionne vraiment

Le traitement de données à caractère personnel par les IA repose sur des milliards d'informations issues du web, des réseaux sociaux et des interactions utilisateurs. La frontière entre donnée publique et donnée à caractère personnel est bien plus floue qu'on ne le croit : une personne physique peut être identifiable à partir d'un simple ensemble de données en apparence anodines. C'est précisément ce que définit le RGPD : toute information permettant d'identifier, directement ou indirectement, une personne concernée.

 

L'entraînement : le scraping à grande échelle

 La phase d'entraînement est celle où les modèles absorbent le monde. Des corpus colossaux sont aspirés automatiquement via le scraping (collecte automatisée de contenus web).

Des données vous concernant peuvent s'y trouver sans que vous en ayez jamais été informé : votre nom dans un article, votre photo sur un site public, vos avis en ligne, même des données collectées initialement à des fins de prospection ou d'analyse commerciale.

Le CEPD a confirmé en décembre 2024 que ces modèles peuvent mémoriser ces données et permettre de les extraire, les faisant ainsi tomber sous le champ du RGPD.

Le déploiement : ce que votre usage révèle

Quand vous interagissez avec un assistant IA, vous êtes aussi une source de données. Vos requêtes, les fichiers partagés, votre adresse IP, vos horaires de connexion, vos cookies peuvent être collectés, conservés et transmis à des destinataires tiers, prestataires techniques, sous-traitants,partenaires commerciaux. La durée de conservation de ces données est rarement indiquée clairement.

Selon les CGU, que peu de personnes physiques lisent réellement, ces échanges peuvent être réutilisés pour améliorer le modèle, sans que la personne concernée en soit explicitement avertie.

 

L'inférence : le profilage silencieux

La phase la plus discrète est aussi la plus préoccupante.Certains systèmes d'IA déduisent des caractéristiques sensibles à partir de comportements observés : état de santé, opinions politiques, situation financière, niveau d'éducation, sans jamais poser une seule question directe à la personne concernée.

Ce traitement de données à caractère personnel inféré est encadré par l'article 22 du RGPD, qui interdit les décisions entièrement automatisées ayant un impact significatif sur une personne physique, sauf exceptions légales.

 

À retenir

Les données à caractère personnel traitées par l'IA ne se limitent pas à ce que vous saisissez. Métadonnées, cookies, schémas comportementaux, données inférées : le périmètre réel est bien plus large que ce que laissent entendre les interfaces. Tout responsable du traitement a l'obligation d'en informer les personnes concernées.

 

RGPD et données personnelles : ce que l'IA doit respecter

La loi informatique et libertés et le règlement général sur la protection des données ne font aucune exception pour l'intelligence artificielle. Tout traitement de données à caractère personnel est soumis aux mêmes règles, qu'il soit réalisé par un humain ou par un algorithme.

Le responsable du traitement, l'entreprise qui développe ou déploie l'IA, est juridiquement responsable de la conformité, tout comme ses sous-traitants.

Un délégué à la protection des données (DPO) doit être désigné dans les organisations traitant des données sensibles à grande échelle.

 

Principe RGPD

Licéité & transparence  (art. 5) : Informer clairement l'utilisateur des données collectées et de leur usage, y compris à des fins d'entraînement

Limitation des finalités  (art. 5): Ne pas réutiliser les données pour former un modèle si ce n'était pas l'objectif annoncé initialement

Minimisation (art. 5) : Collecter uniquement ce qui  est strictement nécessaire, pas de collecte systématique par défaut

Droits d'accès et  d'effacement (art. 15-17) : Permettre à chaque utilisateur de consulter ses données et d'en demander la suppression  effective

Privacy by design (art. 25) : Intégrer la protection des données dès la conception du système, et non après coup

Décision automatisée (art.  22): Interdire les décisions significatives entièrement automatisées sans intervention humaine possible

 

L'AI Act : un cadre complémentaire entré en vigueur en 2024

Depuis le 1er août 2024, le Règlement européen sur l'IA (AIAct) s'applique progressivement. Il ne remplace pas le RGPD mais le renforce sur les usages les plus risqués. Depuis le 2 février 2025, les pratiques classées "risque inacceptable" sont interdites sur le territoire européen : reconnaissance faciale en temps réel dans l'espace public, manipulation comportementale à l'insu des personnes, score social fondé sur les comportements.

Depuis le 2 août 2025, de nouvelles obligations de transparence s'imposent aux modèles d'IA généralistes comme GPT ou Gemini.

 

RGPD + AI Act  : comment s'articulent-ils ?

Quand un système IA traite des données personnelles, les deux règlements s'appliquent simultanément. Le RGPD régit le traitement des données, l'AI Act régit le système IA lui-même selon son niveau de risque. Se conformer à l'AI Act aide à respecter le RGPD, mais ne s'y substitue pas.

 

"Respecter le RGPD ne suffit plus  : l'AI Act impose désormais une approche par les risques, case par case."

 

Données personnelles et IA : les dérives déjà sanctionnées

Les violations liées aux données personnelles dans l'IA ne sont plus théoriques. Elles ont déjà été documentées, instruites et sanctionnées. Voici les quatre affaires les plus emblématiques à connaître.

 

Clearview AI : 20 milliards de visages volés

Clearview AI est l'affaire symbole des dérives de la reconnaissance faciale.

Cette entreprise américaine a constitué une base de données de plus de 20 milliards de photographies de personnes physiques,aspirées automatiquement sur les réseaux sociaux et sites web sans le consentement des personnes concernées et sans aucune base légale au sens du règlement général.

Son logiciel permettait aux destinataires, essentiellement des forces de l'ordre, de retrouver n'importe qui à partir d'une simple photo.

 

 

La CNIL, autorité de contrôle française a prononcé enoctobre 2022 une amende de 20 millions d'euros, assortie d'une injonctionde suppression des données conservées sous astreinte de 100 000 € parjour de retard. Clearview AI ayant totalement ignoré ces injonctions, 5,2millions d'euros supplémentaires ont été liquidés en 2023.

L'entreprise n'aà ce jour pas réglé ces amendes, soulevant une question fondamentale sur l'effectivité des sanctions contre des responsables du traitement non-européens.

 

ChatGPT suspendu en Italie: le choc du privacy by design

En mars 2023, l'Italie a temporairement interdit ChatGPT,reprochant à OpenAI de ne pas informer suffisamment les utilisateurs sur la collecte de leurs données à des fins d'entraînement.

La violation ciblée : l'article 25 du RGPD, dit "privacy by design", qui impose d'intégrer la protection des données dès la conception du service, pas après. Cet épisode a révélé que même les leaders de l'IA générative n'étaient pas en conformité au moment de leur lancement grand public.

 

Meta et les données européennes : l'opt-out contesté

En 2024, Meta annonçait vouloir utiliser les publications et photos publiques de ses utilisateurs européens de Facebook et Instagram pour entraîner ses systèmes IA. Le projet a été suspendu sous pression des autorités, puis relancé en mai 2025 avec des filtres renforcés.

Le modèle choisi : l'opt-out, les utilisateurs devaient activement s'opposer,par email ou notification in-app. Ce mécanisme est contesté par les régulateurs : le CEPD a rappelé qu'un consentement véritable doit être libre, spécifique, éclairé et actif.

 

DeepSeek : le risque des transferts hors UE

L'application IA chinoise DeepSeek a cristallisé les inquiétudes en 2025. Ses historiques de requêtes, fichiers téléchargés,adresses IP et schémas de frappe étaient susceptibles d'être accessibles aux autorités chinoises.

L'Italie l'a interdite de son App Store, les Pays-Bas l'ont exclu des appareils gouvernementaux.

Cette affaire illustre les enjeux du chapitre V du RGPD sur les transferts internationaux : un pays tiers doit offrir un niveau de protection équivalent à celui de l'UE, ce que la Chine ne garantit pas.

 

Point commun  à ces quatre affaires

Dans chaque cas, les entreprises ont collecté  ou réutilisé des données personnelles sans base légale solide, sans  informer correctement les personnes concernées, et sans leur permettre  d'exercer leurs droits. Ce sont les trois piliers du RGPD, et les trois  angles d'attaque privilégiés des régulateurs.

 

Données personnelles et IA : le rôle actif de la CNIL en 2025

La CNIL ne se contente plus de sanctionner. Depuis 2024, elle a adopté une posture proactive, publiant des recommandations concrètes pour aider les entreprises à développer des IA conformes au RGPD.Son plan d'action IA est l'un des plus structurés d'Europe.

 

Un modèle IA est-il automatiquement soumis au RGPD ?

Non, et c'est là toute la nuance. Selon la CNIL, un modèle peut être considéré comme anonyme, et donc hors champ du règlementgénéral, s'il ne permet pas de réidentifier les personnes physiques

ayant contribué à son entraînement. La CNIL propose une méthode d'analyse destatut : si la réidentification est possible avec des moyens raisonnablement accessibles, le modèle entre dans le champ de la loi informatique et libertés et du RGPD.

Cette grille s'applique aussi aux systèmes en capsulant le modèle, pas uniquement au traitement de données à caractère personnel en phase d'entraînement.

 

Les recommandations de février 2025

La CNIL a publié deux recommandations majeures en février 2025, ciblant spécifiquement les systèmes d’IA :

 

•      Information des personnes : les opérateurs IA doivent expliquer, de façon claire et accessible, quelles données sont collectées, dans quel but et sur quelle base légale, y compris pour l'entraînement du modèle.

•      Exercice effectif des droits : le droit d'accès,de rectification, d'effacement et d'opposition doit être réellement opérationnel, pas seulement mentionné dans des conditions générales illisibles.

 

Le bac à sable CNIL

La CNIL a mis en place un dispositif sandbox  permettant aux startups IA de tester leurs solutions avec un accompagnement  juridique dédié. Un filet de sécurité réglementaire apprécié des  innovateurs qui veulent construire des produits conformes dès le départ,  et non corriger des violations après coup. Pour en savoir plus, consultez  directement la documentation officielle de la CNIL sur l'IA.

 

Données personnelles et IA : vos droits concrets

Vous n'êtes pas impuissant face aux IA. Le RGPD vous confère des droits réels, que vous pouvez exercer aujourd'hui, auprès de n'importe quelle plateforme traitant vos données.

 

Les droits à connaître absolument

Droit d'opposition (art. 21 RGPD) : vous pouvez refuser que vos données servent à entraîner un modèle IA. La plupart des grandes plateformes proposent une option dédiée dans leurs paramètres de confidentialité. Ce droit doit être exercé activement, ne comptez pas sur la plateforme pour le faire à votre place.

 

Droit d'accès et d'effacement (art. 15-17) : vous pouvez demander quelles données vous concernant sont détenues et exiger leur suppression. Délai légal : un mois, prorogeable à trois mois pour les demandes complexes.

 

Droit à la décision humaine (art. 22) : si une IA prend une décision vous affectant de façon significative, crédit, embauche,assurance, scoring : vous avez le droit d'exiger une intervention humaine et de contester la décision algorithmique.

 

Les réflexes à adopter dès maintenant

•      Ne jamais partager de données sensibles dans un chatbot IA : données médicales, coordonnées bancaires, informations sur des tiers.

•      Vérifier les paramètres de confidentialité de chaque outil IA que vous utilisez et désactiver le partage à des fins d'entraînement.

•      Lire les notifications de mise à jour des CGU :les fenêtres d'opt-out sont souvent limitées dans le temps.

•      Porter plainte auprès de la CNIL (cnil.fr) en cas de violation suspectée : la procédure est gratuite et accessible à tous.

 

"Vos données personnelles ne sont  pas une monnaie gratuite pour former des modèles. Vous avez un droit de  regard et d'opposition."

 

Chronologie : données personnelles et IA en Europe

 

Dates des événements clés

Mai 2018

Entrée en application du  RGPD : cadre de référence pour toutes les données personnelles

Nov. 2021

CNIL met en demeure Clearview AI pour collecte illégale de données biométriques

Oct. 2022

CNIL sanctionne Clearview AI : 20 M€ d'amende + astreinte 100 k€/jour

Mars 2023

Blocage temporaire de ChatGPT en Italie : violation du privacy by design (art. 25 RGPD)

Mai 2023

CNIL liquide l'astreinte Clearview AI : +5,2 M€ supplémentaires

Août 2024

AI Act européen entre en vigueur (application progressive jusqu'en 2027)

Déc. 2024

CEPD (avis 28/2024) : les modèles IA peuvent relever du RGPD s'ils mémorisent des données

Fév. 2025

CNIL publie deux recommandations sur l'information et les droits dans les systèmes IA

Fév. 2025

AI Act : interdiction des pratiques IA à risque inacceptable (art. 5 du règlement)

Mai 2025

Meta relance l'entraînement IA sur données européennes avec filtres renforcés

Août 2025

AI Act : nouvelles obligations de transparence pour les modèles d'IA généralistes (GPAI)

Ce qu'il faut retenir sur les données personnelles et l'IA

Les IA collectent vos données à trois niveaux : entraînement (scraping, corpus), déploiement (vos interactions), inférence (profilage comportemental).

 

Le RGPD s'applique pleinement, sans exception, pour la nature innovante de la technologie. L'AI Act renforce ce cadre depuis 2025.

 

Les dérives sont documentées et sanctionnées : ClearviewAI (25,2 M€ d'amende), ChatGPT (suspension italienne), Meta (pression réglementaire), DeepSeek (interdictions nationales).

 

Vous disposez de droits concrets : opposition, accès,effacement, décision humaine. La CNIL est votre interlocuteur en France, et la procédure de plainte est gratuite.

 

FAQ Données personnelles et IA : les questions fréquentes

Le règlement général sur la protection des données s'applique-t-il aux IA ?

Oui, dans de nombreux cas. Si un modèle IA a été entraîné sur des données à caractère personnel et qu'il est possible d'en extraire ces données avec des moyens accessibles, le RGPD s'applique pleinement au responsable du traitement. La CNIL a publié une méthode d'analyse de statut pour évaluer ce risque modèle par modèle.

Mes conversations avec une IA servent-elles à l'entraînement ?

Cela dépend des paramètres choisis. Par défaut, la plupart des plateformes peuvent réutiliser vos échanges pour améliorer leurs modèles sauf si vous désactivez cette option. Ces échanges constituent des données à caractère personnel soumises au RGPD. La durée de conservation et les destinataires doivent être précisés dans la politique de confidentialité.

Qui est le responsable du traitement dans un système IA ?

Le responsable du traitement est l'entité, entreprise, organisation ou administration, qui détermine les finalités et les moyens du traitement de données à caractère personnel. Dans le cas d'une IA, c'est généralement la société qui développe ou déploie le service. Ses sous-traitants (hébergeurs, prestataires d'infrastructure, partenaires techniques) partagent une partie de cette responsabilité.

C'est quoi exactement le rôle du DPO dans une entreprise IA ?

Le délégué à la protection des données (DPO) est le référent interne chargé de veiller à la conformité avec le règlement général sur la protection des données et la loi informatique et libertés. Il conseille le responsable du traitement, informe les équipes, fait le lien avec la Commission nationale de l'informatique et des libertés, et répond aux demandes des personnes concernées. Sa désignation est obligatoire pour les organismes traitant des données sensibles à grande échelle.

Qu'est-ce qu'une donnée biométrique et pourquoi est-elle extra-protégée ?

Une donnée biométrique permet d'identifier une personne physique de façon unique : empreinte digitale, reconnaissance faciale, ADN. Elle figure parmi les données à caractère personnel sensibles (art. 9 du règlement général) et ne peut être traitée qu'avec une base légale spécifique et explicite. C'est exactement ce que Clearview AI n'avait pas, ce qui a fondé la sanction de la Commission nationale de l'informatique et des libertés.

Que risque concrètement un responsable du traitement non conforme ?

Les risques sont multiples : amendes jusqu'à 20 M€ ou 4 % du CA mondial (le plus élevé retenu), injonctions de cesser le traitement, suppression forcée des données conservées, recours civils des personnes physiques lésées. L'AI Act ajoute ses propres sanctions pour les usages à haut risque, appliquées par les autorités de contrôle nationales et le Bureau européen de l'IA.

 

⚠️ Disclaimer CTRLZed

Cet article est rédigé à titre informatif et  pédagogique uniquement. CTRLZed n'est pas un cabinet d'avocats et ne fournit pas de conseil juridique. Les informations présentées ne sauraient se substituer à une consultation auprès d'un professionnel du droit qualifié. Pour toute question relative à vos données personnelles, rapprochez-vous d'un avocat spécialisé ou de la CNIL (cnil.fr).

Les données personnelles que l'IA collecte sur vous sont bien plus nombreuses que vous ne le pensez. Chaque requête à un assistant IA, chaque photo partagée, chaque clic alimentent des systèmes d'apprentissage dont les pratiques restent largement opaques.

La réponse courte : oui, vos données sont utilisées ; pour entraîner les modèles, affiner les réponses, parfois pour des finalités que vous n'avez jamais explicitement acceptées. Mais le droit résiste : le RGPD, renforcé par l'AI Act depuis 2025, impose des obligations concrètes aux acteurs de l'IA.

Des entreprises ont déjà été lourdement sanctionnées. Dans cet article, CTRLZ décrypte les mécanismes réels de collecte, les dérives documentées et les droits que vous pouvez exercer dès aujourd'hui.

 

Données personnelles et IA : comment la collecte fonctionne vraiment

L'entraînement d'un modèle d'IA repose sur des milliards de données.

Ces données proviennent du web, des réseaux sociaux, des interactions utilisateurs, et elles contiennent souvent des informations personnelles, même quand elles semblent anodines.

La frontière entre données publiques et données personnelles est bien plus floue qu'on ne le croit.

 

L'entraînement : le scraping à grande échelle

La phase d'entraînement est celle où les modèles absorbent le monde. Des corpus colossaux de textes, d'images et de conversations sont aspirés automatiquement via le scraping (collecte automatisée de contenus web). Des données vous concernant peuvent s'y trouver sans que vous en ayez jamais été informé : votre nom dans un article, votre photo sur un site public, vos avis en ligne.

Le Comité européen de la protection des données (CEPD) a confirmé en décembre 2024 que ces modèles peuvent mémoriser ces données et en permettre l'extraction, les faisant ainsi tomber sous le RGPD.

 

Le déploiement : ce que votre usage révèle

Quand vous interagissez avec un assistant IA, vous n'êtes pas simplement un utilisateur. Vous êtes aussi une source de données.

Vos requêtes, les fichiers que vous partagez, votre adresse IP, vos horaires de connexion peuvent être collectés et conservés. Selon les conditions d'utilisation, que peu de personnes lisent réellement, ces échanges peuvent être réutilisés pour améliorer le modèle.

C'est précisément ce reproche qu'a adressé l'autorité italienne à OpenAI en mars 2023, conduisant à une suspension temporaire de ChatGPT sur son territoire.

 

L'inférence : le profilage silencieux

La phase la plus discrète est aussi la plus préoccupante.Certains systèmes d'IA déduisent des caractéristiques sensibles à partir de comportements observés : état de santé, orientation politique, situation financière, niveau d'éducation ; sans jamais vous avoir posé une seule question directe.

Ce profilage algorithmique est encadré par l'article 22 du RGPD, qui interdit les décisions entièrement automatisées ayant un impact significatif sur une personne, sauf exceptions légales.

 

À retenir

Les données personnelles traitées par l'IA ne  se limitent pas à ce que vous saisissez.

Métadonnées, schémas  comportementaux, données inférées : le périmètre est bien plus large que  ce que laissent entendre les interfaces.

 

RGPD et données personnelles : ce que l'IA doit respecter

Le RGPD ne fait aucune exception pour l'intelligence artificielle. Qu'il s'agisse d'un chatbot, d'un moteur de recommandation ou d'un système de reconnaissance faciale, tout traitement de données personnelles est soumis aux mêmes règles.

La CNIL, dans ses recommandations de 2025, a précisé les obligations qui s'appliquent spécifiquement aux systèmes IA.

 

Principe RGPD

Licéité & transparence  (art. 5) : Informer clairement l'utilisateur des données collectées et de leur usage, y compris à des fins d'entraînement

Limitation des finalités  (art. 5): Ne pas réutiliser les données pour former un modèle si ce n'était pas l'objectif annoncé initialement

Minimisation (art. 5) : Collecter uniquement ce qui  est strictement nécessaire, pas de collecte systématique par défaut

Droits d'accès et  d'effacement (art. 15-17) : Permettre à chaque utilisateur de consulter ses données et d'en demander la suppression  effective

Privacy by design (art. 25) : Intégrer la protection des données dès la conception du système, et non après coup

Décision automatisée (art.  22): Interdire les décisions significatives entièrement automatisées sans intervention humaine possible

 

L'AI Act : un cadre complémentaire entré en vigueur en 2024

Depuis le 1er août 2024, le Règlement européen sur l'IA (AIAct) s'applique progressivement. Il ne remplace pas le RGPD mais le renforce sur les usages les plus risqués. Depuis le 2 février 2025, les pratiques classées "risque inacceptable" sont interdites sur le territoire européen : reconnaissance faciale en temps réel dans l'espace public, manipulation comportementale à l'insu des personnes, score social fondé sur les comportements.

Depuis le 2 août 2025, de nouvelles obligations de transparence s'imposent aux modèles d'IA généralistes comme GPT ou Gemini.

 

RGPD + AI Act  : comment s'articulent-ils ?

Quand un système IA traite des données personnelles, les deux règlements s'appliquent simultanément. Le RGPD régit le traitement des données, l'AI Act régit le système IA lui-même selon son niveau de risque. Se conformer à l'AI Act aide à respecter le RGPD, mais ne s'y substitue pas.

 

"Respecter le RGPD ne suffit plus  : l'AI Act impose désormais une approche par les risques, case par case."

 

Données personnelles et IA : les dérives déjà sanctionnées

Les violations liées aux données personnelles dans l'IA ne sont plus théoriques. Elles ont déjà été documentées, instruites et sanctionnées. Voici les quatre affaires les plus emblématiques à connaître.

 

Clearview AI : 20 milliards de visages volés

Clearview AI est l'affaire symbole des dérives de l'IA de reconnaissance faciale. Cette entreprise américaine a constitué une base de données de plus de 20 milliards de photographies, aspirées automatiquement sur les réseaux sociaux et sites web sans le consentement des personnes concernées.

Son logiciel permettait à des clients, essentiellement des forces de l'ordre, de retrouver n'importe qui à partir d'une simple photo.

 

La CNIL a prononcé en octobre 2022 une amende de 20 millions d'euros, assortie d'une injonction de suppression des données sous astreinte de 100 000 € par jour de retard. Clearview AI ayant totalement ignoré ces injonctions, 5,2 millions d'euros supplémentaires ont été liquidés en 2023.

L'entreprise n'a à ce jour pas réglé ces amendes, soulevant une question fondamentale : comment contraindre une entreprise américaine à respecter le RGPD ?

 

ChatGPT suspendu en Italie: le choc du privacy by design

En mars 2023, l'Italie a temporairement interdit ChatGPT,reprochant à OpenAI de ne pas informer suffisamment les utilisateurs sur la collecte de leurs données à des fins d'entraînement.

La violation ciblée : l'article 25 du RGPD, dit "privacy by design", qui impose d'intégrer la protection des données dès la conception du service, pas après. Cet épisode a révélé que même les leaders de l'IA générative n'étaient pas en conformité au moment de leur lancement grand public.

 

Meta et les données européennes : l'opt-out contesté

En 2024, Meta annonçait vouloir utiliser les publications et photos publiques de ses utilisateurs européens de Facebook et Instagram pour entraîner ses systèmes IA. Le projet a été suspendu sous pression des autorités, puis relancé en mai 2025 avec des filtres renforcés.

Le modèle choisi : l'opt-out, les utilisateurs devaient activement s'opposer,par email ou notification in-app. Ce mécanisme est contesté par les régulateurs : le CEPD a rappelé qu'un consentement véritable doit être libre, spécifique, éclairé et actif.

 

DeepSeek : le risque des transferts hors UE

L'application IA chinoise DeepSeek a cristallisé les inquiétudes en 2025. Ses historiques de requêtes, fichiers téléchargés,adresses IP et schémas de frappe étaient susceptibles d'être accessibles aux autorités chinoises.

L'Italie l'a interdite de son App Store, les Pays-Bas l'ont exclu des appareils gouvernementaux.

Cette affaire illustre les enjeux du chapitre V du RGPD sur les transferts internationaux : un pays tiers doit offrir un niveau de protection équivalent à celui de l'UE, ce que la Chine ne garantit pas.

 

Point commun  à ces quatre affaires

Dans chaque cas, les entreprises ont collecté  ou réutilisé des données personnelles sans base légale solide, sans  informer correctement les personnes concernées, et sans leur permettre  d'exercer leurs droits. Ce sont les trois piliers du RGPD, et les trois  angles d'attaque privilégiés des régulateurs.

 

Données personnelles et IA : le rôle actif de la CNIL en 2025

La CNIL ne se contente plus de sanctionner. Depuis 2024, elle a adopté une posture proactive, publiant des recommandations concrètes pour aider les entreprises à développer des IA conformes au RGPD.Son plan d'action IA est l'un des plus structurés d'Europe.

 

Un modèle IA est-il automatiquement soumis au RGPD ?

Non, et c'est là toute la nuance. Selon la CNIL, un modèle peut être considéré comme anonyme (et donc hors champ du RGPD) s'il ne permet pas de réidentifier les personnes ayant contribué à son entraînement.

La CNIL propose une méthode d'analyse de statut pour évaluer ce risque: si la réidentification est possible avec des moyens raisonnablement accessibles, le modèle entre dans le champ du RGPD.

Cette grille d'analyse s'applique aussi aux systèmes encapsulant le modèle,pas uniquement au modèle lui-même.

 

Les recommandations de février 2025

La CNIL a publié deux recommandations majeures en février 2025, ciblant spécifiquement les systèmes d’IA :

 

•      Information des personnes : les opérateurs IA doivent expliquer, de façon claire et accessible, quelles données sont collectées, dans quel but et sur quelle base légale, y compris pour l'entraînement du modèle.

•      Exercice effectif des droits : le droit d'accès,de rectification, d'effacement et d'opposition doit être réellement opérationnel, pas seulement mentionné dans des conditions générales illisibles.

 

Le bac à sable CNIL

La CNIL a mis en place un dispositif sandbox  permettant aux startups IA de tester leurs solutions avec un accompagnement  juridique dédié. Un filet de sécurité réglementaire apprécié des  innovateurs qui veulent construire des produits conformes dès le départ,  et non corriger des violations après coup. Pour en savoir plus, consultez  directement la documentation officielle de la CNIL sur l'IA.

 

Données personnelles et IA : vos droits concrets

Vous n'êtes pas impuissant face aux IA. Le RGPD vous confère des droits réels, que vous pouvez exercer aujourd'hui, auprès de n'importe quelle plateforme traitant vos données.

 

Les droits à connaître absolument

Droit d'opposition (art. 21 RGPD) : vous pouvez refuser que vos données servent à entraîner un modèle IA. La plupart des grandes plateformes proposent une option dédiée dans leurs paramètres de confidentialité. Ce droit doit être exercé activement, ne comptez pas sur la plateforme pour le faire à votre place.

 

Droit d'accès et d'effacement (art. 15-17) : vous pouvez demander quelles données vous concernant sont détenues et exiger leur suppression. Délai légal : un mois, prorogeable à trois mois pour les demandes complexes.

 

Droit à la décision humaine (art. 22) : si une IA prend une décision vous affectant de façon significative, crédit, embauche,assurance, scoring : vous avez le droit d'exiger une intervention humaine et de contester la décision algorithmique.

 

Les réflexes à adopter dès maintenant

•      Ne jamais partager de données sensibles dans un chatbot IA : données médicales, coordonnées bancaires, informations sur des tiers.

•      Vérifier les paramètres de confidentialité de chaque outil IA que vous utilisez et désactiver le partage à des fins d'entraînement.

•      Lire les notifications de mise à jour des CGU :les fenêtres d'opt-out sont souvent limitées dans le temps.

•      Porter plainte auprès de la CNIL (cnil.fr) en cas de violation suspectée : la procédure est gratuite et accessible à tous.

 

"Vos données personnelles ne sont  pas une monnaie gratuite pour former des modèles. Vous avez un droit de  regard et d'opposition."

 

Chronologie : données personnelles et IA en Europe

 

Dates des événements clés

Mai 2018

Entrée en application du  RGPD : cadre de référence pour toutes les données personnelles

Nov. 2021

CNIL met en demeure Clearview AI pour collecte illégale de données biométriques

Oct. 2022

CNIL sanctionne Clearview AI : 20 M€ d'amende + astreinte 100 k€/jour

Mars 2023

Blocage temporaire de ChatGPT en Italie : violation du privacy by design (art. 25 RGPD)

Mai 2023

CNIL liquide l'astreinte Clearview AI : +5,2 M€ supplémentaires

Août 2024

AI Act européen entre en vigueur (application progressive jusqu'en 2027)

Déc. 2024

CEPD (avis 28/2024) : les modèles IA peuvent relever du RGPD s'ils mémorisent des données

Fév. 2025

CNIL publie deux recommandations sur l'information et les droits dans les systèmes IA

Fév. 2025

AI Act : interdiction des pratiques IA à risque inacceptable (art. 5 du règlement)

Mai 2025

Meta relance l'entraînement IA sur données européennes avec filtres renforcés

Août 2025

AI Act : nouvelles obligations de transparence pour les modèles d'IA généralistes (GPAI)

Ce qu'il faut retenir sur les données personnelles et l'IA

Les IA collectent vos données à trois niveaux : entraînement (scraping, corpus), déploiement (vos interactions), inférence (profilage comportemental).

 

Le RGPD s'applique pleinement, sans exception, pour la nature innovante de la technologie. L'AI Act renforce ce cadre depuis 2025.

 

Les dérives sont documentées et sanctionnées : ClearviewAI (25,2 M€ d'amende), ChatGPT (suspension italienne), Meta (pression réglementaire), DeepSeek (interdictions nationales).

 

Vous disposez de droits concrets : opposition, accès,effacement, décision humaine. La CNIL est votre interlocuteur en France, et la procédure de plainte est gratuite.

 

FAQ Données personnelles et IA : les questions fréquentes

Le règlement général sur la protection des données s'applique-t-il aux IA ?

Oui, dans de nombreux cas. Si un modèle IA a été entraîné sur des données à caractère personnel et qu'il est possible d'en extraire ces données avec des moyens accessibles, le RGPD s'applique pleinement au responsable du traitement. La CNIL a publié une méthode d'analyse de statut pour évaluer ce risque modèle par modèle.

Mes conversations avec une IA servent-elles à l'entraînement ?

Cela dépend des paramètres choisis. Par défaut, la plupart des plateformes peuvent réutiliser vos échanges pour améliorer leurs modèles sauf si vous désactivez cette option. Ces échanges constituent des données à caractère personnel soumises au RGPD. La durée de conservation et les destinataires doivent être précisés dans la politique de confidentialité.

Qui est le responsable du traitement dans un système IA ?

Le responsable du traitement est l'entité, entreprise, organisation ou administration, qui détermine les finalités et les moyens du traitement de données à caractère personnel. Dans le cas d'une IA, c'est généralement la société qui développe ou déploie le service. Ses sous-traitants (hébergeurs, prestataires d'infrastructure, partenaires techniques) partagent une partie de cette responsabilité.

C'est quoi exactement le rôle du DPO dans une entreprise IA ?

Le délégué à la protection des données (DPO) est le référent interne chargé de veiller à la conformité avec le règlement général sur la protection des données et la loi informatique et libertés. Il conseille le responsable du traitement, informe les équipes, fait le lien avec la Commission nationale de l'informatique et des libertés, et répond aux demandes des personnes concernées. Sa désignation est obligatoire pour les organismes traitant des données sensibles à grande échelle.

Qu'est-ce qu'une donnée biométrique et pourquoi est-elle extra-protégée ?

Une donnée biométrique permet d'identifier une personne physique de façon unique : empreinte digitale, reconnaissance faciale, ADN. Elle figure parmi les données à caractère personnel sensibles (art. 9 du règlement général) et ne peut être traitée qu'avec une base légale spécifique et explicite. C'est exactement ce que Clearview AI n'avait pas, ce qui a fondé la sanction de la Commission nationale de l'informatique et des libertés.

Que risque concrètement un responsable du traitement non conforme ?

Les risques sont multiples : amendes jusqu'à 20 M€ ou 4 % du CA mondial (le plus élevé retenu), injonctions de cesser le traitement, suppression forcée des données conservées, recours civils des personnes physiques lésées. L'AI Act ajoute ses propres sanctions pour les usages à haut risque, appliquées par les autorités de contrôle nationales et le Bureau européen de l'IA.

 

⚠️ Disclaimer CTRLZed

Cet article est rédigé à titre informatif et  pédagogique uniquement. CTRLZed n'est pas un cabinet d'avocats et ne fournit pas de conseil juridique. Les informations présentées ne sauraient se substituer à une consultation auprès d'un professionnel du droit qualifié. Pour toute question relative à vos données personnelles, rapprochez-vous d'un avocat spécialisé ou de la CNIL (cnil.fr).