Confidentialité IA en entreprise : ce que la CNIL impose vraiment en 2025

L'IA générative s'installe dans vos bureaux — et la CNIL aussi

Un collaborateur colle une clause contractuelle dans ChatGPT pour gagner dix minutes. Un autre demande à un assistant IA de résumer les retours RH de la dernière évaluation annuelle. Ces gestes, devenus presque banals dans des milliers d'entreprises françaises, comportent un risque que la majorité des directions n'a pas encore mesuré : celui d'une violation des règles de protection des données personnelles, avec la CNIL en ligne de mire.

En 2025, la Commission nationale de l'informatique et des libertés ne se contente plus d'observer. Elle agit. Après avoir publié un plan d'action stratégique dédié à l'intelligence artificielle et créé un service interne spécialisé, elle multiplie les recommandations, les lignes directrices et — c'est nouveau — les contrôles ciblés. L'IA générative est devenue son terrain d'investigation prioritaire.

La réalité est simple : chaque fois qu'un salarié utilise un outil d'IA en contexte professionnel, l'entreprise engage sa responsabilité juridique en tant que responsable de traitement au sens du RGPD. Ce n'est pas une question de bonne volonté. C'est une obligation légale. Et les règles, en 2025, sont précises.

Cet article vous donne les clés pour comprendre ce que la CNIL attend concrètement des entreprises, quels sont les risques réels, et comment construire une approche conforme sans paralyser vos équipes.

Ce que la CNIL a véritablement publié et pourquoi ça change tout

Un plan d'action qui marque une rupture

Pendant longtemps, la CNIL a été perçue comme une autorité réactive, intervenant après les incidents. Avec son plan d'action stratégique sur l'intelligence artificielle, elle bascule dans une posture proactive. L'institution ne définit plus seulement des sanctions. Elle pose des cadres, accompagne les organisations et fixe des priorités de contrôle pour les mois à venir.

Ce plan s'articule autour de trois axes. Premièrement, accompagner les entreprises dans le déploiement conforme de systèmes d'IA. Deuxièmement, formuler des lignes directrices sectorielles, notamment pour les usages en ressources humaines, en santé et dans le secteur juridique. Troisièmement, renforcer les contrôles sur les outils d'IA générative déjà en production dans les entreprises françaises.

La création d'un service dédié à l'IA au sein même de la CNIL n'est pas un signal anodin. C'est l'équivalent d'ouvrir un commissariat dans un quartier jusqu'ici sans surveillance. Les entreprises qui pensaient que le flou réglementaire jouait en leur faveur doivent revoir leur calcul.

Des recommandations opérationnelles, pas seulement théoriques

Ce qui distingue le positionnement 2025 de la CNIL, c'est la granularité de ses recommandations. Dans son guide sur l'usage de l'IA générative en entreprise, elle ne se contente pas d'invoquer le RGPD en termes abstraits. Elle liste des situations concrètes, des mesures techniques précises et des responsabilités clairement identifiées.

Parmi les points saillants : l'entreprise qui met à disposition un outil d'IA pour ses salariés est automatiquement qualifiée de responsable de traitement. Ce statut implique des obligations directes, indépendamment du fait que l'outil soit hébergé chez un tiers ou que le fournisseur soit situé hors de l'Union européenne. La chaîne de responsabilité ne s'arrête pas à la porte de votre DSI.

Les trois risques concrets que la CNIL identifie pour votre entreprise

Le risque de fuite de données, silencieux mais réel

Imaginez un entrepôt dont les murs seraient en verre. Tout ce que vous y stockez est potentiellement visible de l'extérieur. C'est, dans une certaine mesure, la situation dans laquelle se trouvent les entreprises qui utilisent des outils d'IA générative grand public sans configuration adaptée.

Selon les analyses publiées par Onyri Sanitize sur la confidentialité des données avec l'IA générative, les risques de fuite ou de réutilisation de données sensibles sont systémiques dès lors que les salariés utilisent des outils non paramétrés pour le contexte professionnel. Les données saisies dans certains outils d'IA grand public peuvent, selon les conditions générales d'utilisation du fournisseur, être utilisées pour entraîner les modèles. Ce qui signifie qu'une clause contenant des données personnelles de clients, qu'un DRH colle dans un chatbot, pourrait théoriquement contribuer à l'apprentissage d'un modèle accessible à d'autres utilisateurs.

La CNIL insiste sur ce point : le principe de minimisation des données, inscrit dans le RGPD, s'applique pleinement à l'usage de l'IA. Vous ne devez pas saisir plus de données que nécessaire pour la tâche demandée. Cela semble évident. En pratique, c'est rarement respecté.

Le transfert de données hors Union européenne

La géographie des données compte. Lorsqu'un outil d'IA est hébergé par un fournisseur américain — et c'est le cas de la majorité des outils dominants du marché —, les données transmises lors des requêtes peuvent être traitées sur des serveurs situés hors de l'Union européenne.

Ce transfert n'est pas interdit. Mais il est soumis à des conditions strictes : existence de garanties appropriées, cadre juridique reconnu comme offrant un niveau de protection équivalent à celui de l'UE, ou recours à des clauses contractuelles types approuvées par la Commission européenne. La CNIL rappelle que les entreprises doivent vérifier ces conditions avant de déployer un outil, et non après un incident.

Le Data Privacy Framework, qui régit les transferts entre l'UE et les États-Unis depuis 2023, offre un cadre légal pour certains fournisseurs américains. Mais ce cadre reste fragile juridiquement et fait l'objet de recours potentiels. Une entreprise qui s'y appuie sans plan de secours prend un risque de conformité à moyen terme.

L'information des salariés, un oubli fréquent et sanctionnable

La CNIL est explicite : les salariés dont les données sont susceptibles d'être traitées dans le cadre d'un outil d'IA ont un droit à l'information. Ce droit découle de l'article 13 du RGPD. Il oblige l'employeur à informer les personnes concernées de la nature des traitements, de leur finalité, de leur durée de conservation et des droits dont elles disposent.

En pratique, cette obligation est souvent ignorée. Un outil d'IA est déployé par la DSI, parfois sans même passer par les services juridiques, et les salariés l'utilisent sans avoir reçu la moindre information formalisée. Ce scénario, très courant dans les PME et même dans certaines grandes entreprises, constitue une violation directe du RGPD.

La sanction n'est pas automatique. Mais en cas de contrôle — et les contrôles CNIL ciblant l'IA générative sont annoncés pour 2025 —, l'absence de documentation sur l'information des personnes concernées est l'un des premiers éléments vérifiés.

Construire une gouvernance IA conforme : la méthode que la CNIL préconise

Cartographier avant de déployer

La gouvernance des usages IA en entreprise commence par un état des lieux. Quels outils sont utilisés ? Par quels services ? Pour traiter quel type de données ? Cette cartographie, que les professionnels appellent parfois registre des traitements IA, est le point de départ de toute démarche de conformité sérieuse.

La CNIL recommande d'intégrer les systèmes d'IA dans le registre des traitements déjà prévu par le RGPD. Ce registre, obligatoire pour toute organisation traitant des données à grande échelle, doit être mis à jour dès qu'un nouvel outil est déployé. Cela suppose une communication fluide entre la DSI, le DPO (Délégué à la protection des données) et les directions métier — ce qui, dans beaucoup d'entreprises, reste un défi organisationnel avant d'être un défi juridique.

Paramétrer les outils, pas seulement les utiliser

Utiliser un outil d'IA sans le configurer pour le contexte professionnel, c'est comme conduire un véhicule sans régler les rétroviseurs. L'outil fonctionne, mais le risque d'accident est bien plus élevé.

La CNIL précise que les entreprises doivent, dans la mesure du possible, s'assurer que les paramètres de confidentialité des outils sont réglés pour exclure la réutilisation des données à des fins d'entraînement. La plupart des fournisseurs d'IA grand public proposent des options pour désactiver cette fonctionnalité — mais elles ne sont pas activées par défaut. Il appartient à l'entreprise de les configurer explicitement.

Pour les organisations qui souhaitent aller plus loin, des solutions d'IA déployées en environnement privé — sur des serveurs internes ou via des offres cloud souveraines — permettent de traiter des données sensibles sans les exposer à des tiers. Ce type d'architecture, plus coûteux à mettre en place, garantit un niveau de contrôle que les solutions grand public ne peuvent pas offrir.

Les recommandations de la CNIL sur la protection des données dans l'usage des outils d'IA générative soulignent également l'importance des politiques d'usage interne : des règles claires, écrites, communiquées aux salariés, définissant ce qui peut ou ne peut pas être saisi dans un outil d'IA.

Former les équipes : la dimension humaine de la conformité

La meilleure politique de confidentialité du monde ne sert à rien si les collaborateurs ne la comprennent pas ou ne l'appliquent pas. La CNIL insiste sur la sensibilisation des utilisateurs comme composante à part entière de la conformité.

Cette formation ne doit pas se limiter à une session annuelle de e-learning sur le RGPD. Elle doit aborder des cas concrets liés aux outils d'IA effectivement utilisés dans l'entreprise, expliquer pourquoi certaines pratiques sont risquées, et donner des alternatives pratiques. Une approche pédagogique, ancrée dans le quotidien des équipes, est infiniment plus efficace qu'une liste d'interdictions affichée sur l'intranet.

Pour les PME qui ne disposent pas de DPO interne, des ressources comme les analyses publiées sur les enjeux de confidentialité de l'IA générative en entreprise offrent un point d'entrée accessible pour structurer une démarche de gouvernance sans nécessairement mobiliser des ressources juridiques importantes.

Ce que le cadre réglementaire européen ajoute au tableau

L'AI Act européen entre en jeu

La CNIL n'agit pas seule. Le règlement européen sur l'intelligence artificielle — l'AI Act — est entré progressivement en application depuis 2024, avec des obligations qui montent en puissance en 2025 et 2026. Ce règlement introduit une classification des systèmes d'IA par niveau de risque, avec des exigences proportionnelles : transparence, documentation, supervision humaine, robustesse technique.

Pour les entreprises françaises, cela signifie une double obligation : respecter le RGPD sur le volet données personnelles, et se conformer à l'AI Act sur le volet systèmes d'IA eux-mêmes. Ces deux cadres se complètent mais ne se substituent pas l'un à l'autre. Une entreprise conforme au RGPD peut tout à fait être en infraction avec l'AI Act, et vice versa.

La CNIL, en tant qu'autorité nationale de contrôle, est l'un des acteurs français impliqués dans la mise en œuvre de l'AI Act. Son plan d'action IA intègre explicitement cette dimension européenne, en anticipant les articulations entre RGPD et AI Act pour les organisations qui doivent naviguer dans les deux cadres simultanément.

Les secteurs sous surveillance renforcée

Certains secteurs font l'objet d'une attention particulière de la CNIL en matière d'IA. Les ressources humaines arrivent en tête : les outils d'IA utilisés pour recruter, évaluer ou gérer les collaborateurs traitent des données sensibles et peuvent, sans garde-fous appropriés, introduire des biais discriminatoires. La santé, le secteur financier et les services juridiques sont également dans le collimateur de l'autorité.

Pour ces secteurs, les recommandations de la CNIL vont au-delà des obligations générales : elles préconisent des analyses d'impact sur la protection des données (AIPD) systématiques avant tout déploiement d'IA, ainsi que des audits réguliers des biais et de la qualité des décisions produites par les systèmes automatisés.

Une décision prise par un algorithme — ou fortement influencée par lui — sans possibilité de recours humain peut constituer une violation du droit à ne pas faire l'objet d'une décision entièrement automatisée, garanti par l'article 22 du RGPD. Ce point, souvent oublié dans les discussions sur l'IA en entreprise, est pourtant au cœur de plusieurs contentieux en cours en Europe.

Conclusion : la conformité IA n'est pas une contrainte, c'est un avantage compétitif

Les entreprises qui abordent la conformité IA comme une case à cocher passent à côté de l'essentiel. Celles qui la traitent comme un investissement dans la confiance — celle de leurs clients, de leurs partenaires, de leurs salariés — en font un différenciateur réel.

En 2025, la CNIL dispose des outils, des ressources humaines et du mandat pour contrôler les pratiques des entreprises en matière d'IA. Les contrôles annoncés ne sont pas des menaces rhétoriques. Ils sont le signe que le régulateur a rattrapé la technologie, au moins sur le plan des intentions.

La bonne nouvelle, c'est que les recommandations de la CNIL ne sont pas inapplicables. Elles supposent de la méthode, de la rigueur et une volonté d'impliquer les bonnes personnes — DPO, DSI, directions métier — dans une démarche coordonnée. Elles supposent aussi de choisir des outils dont l'architecture technique est compatible avec des exigences de confidentialité sérieuses.

L'IA va continuer à s'intégrer dans les processus des entreprises françaises. Cette tendance est irréversible. Ce qui est encore possible, c'est de décider comment elle s'intègre : de façon réfléchie, encadrée, conforme — ou de façon précipitée, en espérant que le régulateur ne frappe pas à la porte trop tôt. Le choix appartient à chaque organisation, et les implications de ce choix se mesurent désormais en euros d'amende autant qu'en réputation perdue.