Intelligence Artificielle

RGPD et agents IA : comment rester conforme avec des salariés virtuels

Simon Beros 10 avril 2026 13 min de lecture

Le déploiement d’agents IA autonomes soulève des questions RGPD que beaucoup d’entreprises découvrent trop tard — souvent au moment où le DPO ou la direction juridique s’invite dans une réunion de projet déjà bien avancée. Un agent qui lit des emails, interroge un CRM ou génère des rapports sur des clients traite des données personnelles. C’est un fait, pas une hypothèse.

La bonne nouvelle est que le RGPD n’interdit pas les agents IA. Il les encadre. Et cet encadrement, quand il est anticipé dès la conception du projet, ne ralentit pas le déploiement — il le sécurise. Cet article explique concrètement comment analyser votre exposition RGPD, documenter votre conformité et choisir la voie de déploiement adaptée à vos contraintes réglementaires.

Rappel : ce que le RGPD considère comme un traitement

Le RGPD s’applique à tout traitement de données à caractère personnel. Une donnée est personnelle si elle permet d’identifier directement ou indirectement une personne physique. Un traitement inclut toute opération sur ces données : collecte, lecture, stockage, analyse, transmission, destruction.

Un agent IA est soumis au RGPD dès qu’il touche à des données personnelles dans le cadre de son fonctionnement. Voici des exemples courants dans les projets d’agents d’entreprise :

Action de l’agent	Données personnelles concernées	Soumis au RGPD
Lecture d’emails clients	Noms, emails, contenu de la conversation	Oui
Qualification de prospects	Nom, entreprise, poste, comportement en ligne	Oui
Traitement de factures	Noms des interlocuteurs, coordonnées	Oui
Analyse de dossiers RH	Données salariés (toutes catégories)	Oui + sensibilité accrue
Pré-anamnèse médicale	Données de santé (catégorie spéciale RGPD)	Oui + exigences renforcées
Recherche documentaire interne (sans données clients)	Souvent aucune donnée personnelle	Non
Génération de rapports anonymisés	Données pseudonymisées	Cas par cas

Les trois voies de déploiement et leurs implications RGPD

Le choix de la voie de déploiement est la décision technique qui a le plus d’impact sur votre exposition RGPD.

Voie 1 — Agent Express Claude (infra Anthropic)

Les données traitées par l’agent transitent par les serveurs d’Anthropic, situés aux États-Unis. Cela constitue un transfert de données hors Union européenne, qui est encadré par le RGPD.

Ce que cela implique :

Signature d’un DPA avec Anthropic. Anthropic propose un Data Processing Agreement (DPA) standard, disponible dans leur portail développeur. Ce document vous désigne comme responsable du traitement et Anthropic comme sous-traitant. Vous devez le signer avant de traiter des données personnelles.
Standard Contractual Clauses (SCC). Le transfert vers les États-Unis doit être encadré par les SCC adoptées par la Commission européenne. Anthropic les intègre généralement dans son DPA standard.
Limitation aux données non sensibles. Pour les données sensibles au sens du RGPD (données de santé, données judiciaires, données biométriques, données révélant l’origine raciale, les convictions religieuses, l’orientation sexuelle, les opinions politiques), la Voie 1 n’est pas recommandée. Le niveau de risque d’un transfert hors UE pour ces catégories est trop élevé pour la grande majorité des analyses RGPD.
Information dans la politique de confidentialité. Vos utilisateurs et vos clients dont les données sont traitées doivent être informés du transfert vers Anthropic dans votre politique de confidentialité.

Cas d’usage compatibles Voie 1 : Support client non sensible, qualification de leads B2B, recherche documentaire publique, rédaction et synthèse, back-office interne non médical.

Cas d’usage incompatibles Voie 1 : Tout traitement de données de santé, données RH sensibles, données judiciaires, données financières sous obligation de résidence.

Voie 2 — Agent Souverain Europe (cloud souverain FR)

Toutes les données restent dans l’Union européenne, sur des serveurs de Scaleway ou OVHcloud. Il n’y a pas de transfert hors UE. C’est la voie naturelle pour les données sensibles.

Ce que cela implique RGPD :

DPA avec le provider cloud (Scaleway ou OVHcloud). Vous signez un DPA avec Scaleway ou OVHcloud qui les désigne comme sous-traitants. Ces DPA sont standard et bien rodés pour ces acteurs qui traitent ce sujet depuis des années.
Pas de transfert hors UE. L’obstacle principal de la Voie 1 disparaît. Vous pouvez traiter des données sensibles sans les contraintes liées aux SCC et aux transferts internationaux.
Documentation du registre des traitements. Le registre des activités de traitement doit documenter le traitement d’agent IA comme pour tout autre traitement : finalité, base légale, catégories de données, destinataires, durée de conservation.
AIPD potentiellement requise. Pour les traitements à risque élevé (données de santé à grande échelle, profilage comportemental, décisions automatisées significatives), une Analyse d’Impact sur la Protection des Données est obligatoire.

Cas d’usage compatibles Voie 2 : Santé (avec HDS si applicable), juridique, comptabilité, RH, assurance, tout secteur qui interdit les transferts hors UE.

Voie 3 — Agent Souverain Intégral (on-prem)

Aucune donnée ne quitte le réseau du client. C’est la voie qui offre les garanties RGPD les plus fortes sur le plan technique.

Ce que cela implique RGPD :

La Voie 3 élimine les enjeux de transfert international et de sous-traitance cloud externe. Le responsable du traitement (votre entreprise) contrôle directement l’intégralité de l’infrastructure. VirtuoseWeb intervient comme prestataire de service, mais sans accès permanent aux données traitées par l’agent.

Les obligations RGPD restent : registre des traitements, base légale, droits des personnes, AIPD si applicable. Mais la surface de risque liée à l’infrastructure est minimale.

Cas d’usage spécifiques Voie 3 : Défense, renseignement économique, recherche clinique confidentielle, données soumises au secret défense ou au secret industriel.

Les obligations RGPD pour chaque projet d’agent

Quelle que soit la voie choisie, votre projet d’agent IA doit respecter cinq obligations fondamentales.

1. Identifier la base légale

Tout traitement de données personnelles doit reposer sur une base légale parmi les six prévues par le RGPD. Pour les agents IA d’entreprise, les bases les plus fréquentes sont :

Exécution d’un contrat : l’agent traite les données d’un client pour exécuter la prestation contractuelle (répondre à une demande, traiter une commande, gérer un dossier). C’est la base la plus directe pour les agents de support client et de gestion commerciale.

Intérêt légitime : l’agent traite des données dans un intérêt légitime de l’entreprise, à condition que cet intérêt ne soit pas supplanté par les droits fondamentaux des personnes concernées. Applicable pour les agents de veille, de recherche interne, d’analyse de marché.

Consentement : base adaptée quand les personnes concernées ont explicitement consenti au traitement. Peu pratique pour les agents B2B, plus pertinent pour les agents grand public.

Obligation légale : si le traitement est requis par une obligation réglementaire. Pertinent pour les agents de conformité ou de reporting légal.

2. Mettre à jour le registre des traitements

Le registre des activités de traitement doit inclure votre agent IA comme traitement spécifique. Une fiche minimale comprend :

Nom du traitement : « Agent IA de qualification des leads »
Responsable : votre entreprise
Finalité : « Qualifier automatiquement les prospects entrants et alimenter le CRM »
Base légale : intérêt légitime / exécution du contrat
Catégories de données : noms, emails, données comportementales
Destinataires : Anthropic (Voie 1) ou Scaleway/OVHcloud (Voie 2), ou aucun tiers (Voie 3)
Transfert hors UE : oui (Voie 1, vers USA via SCC) ou non (Voies 2 et 3)
Durée de conservation : logs pendant X jours, données clients selon politique générale
Mesures de sécurité : chiffrement, authentification, logs d’audit

3. Gérer les droits des personnes

Les personnes dont les données sont traitées par votre agent conservent leurs droits RGPD : accès, rectification, effacement, limitation, portabilité, opposition.

Pour les agents IA, cela soulève des questions concrètes. Si un client demande la suppression de ses données, vous devez être capable de supprimer les données qui ont transité par votre agent — y compris les logs d’audit qui pourraient contenir des références à ses données. Votre architecture doit prévoir cette possibilité dès la conception.

Chez VirtuoseWeb, nous intégrons systématiquement une stratégie de gestion des logs qui distingue les logs techniques (nécessaires à la supervision de l’agent) des logs contenant des données personnelles (soumis aux droits des personnes). Les logs techniques peuvent être conservés longtemps ; les logs personnalisés doivent avoir une durée de rétention conforme à votre politique générale.

4. Décision automatisée et obligation d’explication

L’article 22 du RGPD donne aux personnes concernées le droit de ne pas faire l’objet d’une décision prise uniquement sur la base d’un traitement automatisé, y compris le profilage, lorsque cette décision produit des effets juridiques significatifs ou les affecte de manière similaire.

Pour les agents IA, ce point est important si votre agent prend des décisions plutôt que de les préparer pour un humain. Un agent qui pré-qualifie des leads et propose une notation n’est pas problématique : la décision finale est humaine. Un agent qui décide automatiquement d’accepter ou refuser une demande de crédit, de résilier un contrat ou de bloquer un compte tombe sous ce régime.

Si votre agent prend des décisions automatisées significatives, vous devez :

Informer les personnes concernées
Leur permettre de demander une intervention humaine
Permettre de contester la décision

La meilleure façon d’éviter ce problème est architecturale : concevoir l’agent pour qu’il prépare des décisions pour un humain plutôt que pour qu’il décide seul sur des cas à enjeux élevés.

5. Réaliser une AIPD si nécessaire

Une Analyse d’Impact sur la Protection des Données est obligatoire quand votre traitement présente un risque élevé pour les droits des personnes. La CNIL a publié des critères précis pour déterminer si une AIPD est nécessaire. Si votre traitement remplit au moins deux de ces critères, elle est obligatoire :

Traitement de données sensibles (santé, biométrie, opinions politiques, etc.)
Traitement à grande échelle
Décision automatisée avec effets significatifs
Profilage comportemental des personnes
Surveillance systématique
Données de personnes vulnérables (enfants, patients)
Traitement à des fins innovantes avec risques difficiles à évaluer

Un agent IA médical qui pré-trie des dossiers patients est le cas typique où une AIPD est obligatoire. Un agent de back-office qui gère des factures entre professionnels n’y est généralement pas soumis.

Liste de contrôle RGPD pour votre projet d’agent IA

Avant de mettre en production votre agent, vérifiez chaque point :

Étape	Action	Statut
Base légale	Identifier et documenter la base légale du traitement	☐
DPA	Signer le DPA avec Anthropic (V1) ou Scaleway/OVHcloud (V2)	☐
SCC	Vérifier les SCC pour les transferts hors UE (V1 uniquement)	☐
Registre	Ajouter le traitement d’agent IA au registre des traitements	☐
Politique de confidentialité	Mettre à jour pour mentionner les traitements IA et sous-traitants	☐
Droits des personnes	Vérifier la procédure d’exercice des droits couvre les données IA	☐
Logs personnels	Définir la durée de rétention et la procédure d’effacement	☐
Décision automatisée	S’assurer que les décisions significatives incluent un contrôle humain	☐
AIPD	Évaluer si une AIPD est obligatoire selon les critères CNIL	☐
Formation	Informer les équipes qui supervisent l’agent de leurs obligations	☐

La conformité RGPD comme avantage concurrentiel

Une vue pessimiste de la conformité RGPD la voit comme une charge administrative sans valeur ajoutée. Une vue plus stratégique la voit différemment.

Vos clients — en particulier dans les secteurs B2B — vous demandent de plus en plus souvent un questionnaire de conformité avant de vous confier leurs données. Si vous pouvez répondre que votre agent IA est déployé sur cloud souverain français, qu’il a fait l’objet d’une AIPD, que les DPA sont signés et que les logs sont gérés conformément au RGPD, vous éliminez un obstacle commercial qui ralentit ou bloque souvent les projets.

La conformité coûte du temps en amont. Elle évite des crises en aval. Et elle génère une confiance qui se traduit en contrats.

Chez VirtuoseWeb, la conformité RGPD est intégrée dans notre méthode SOP → Code dès l’étape de diagnostic. Nous identifions systématiquement les catégories de données traitées par l’agent, la voie de déploiement correspondant au niveau de sensibilité, et les documents à produire avant la mise en production.

Si votre projet d’agent IA touche des données personnelles et que vous n’avez pas encore analysé votre exposition RGPD, notre guide sur le cloud souverain français explique comment choisir l’infrastructure en fonction de vos contraintes légales. Et si vous voulez une évaluation sur votre situation spécifique, notre audit SOP gratuit de 30 minutes inclut un point RGPD pour identifier rapidement les points d’attention avant que votre DPO ne soit impliqué en urgence.

Appel gratuit

Une question sur ce sujet ?

Échangeons 30 minutes — audit de votre situation + recommandations personnalisées offertes.

Réserver un créneau →

FAQ

Questions fréquentes

Vos questions sur l'intelligence artificielle appliquée au business.

Un agent IA qui traite des emails de clients est-il soumis au RGPD ?

Oui. Les emails de clients contiennent des données personnelles (nom, adresse email, contenu du message). Dès qu'un agent IA lit ces emails pour les traiter — qualification de demande, réponse automatique, transfert interne — il effectue un traitement de données personnelles au sens du RGPD. Ce traitement doit avoir une base légale, figurer dans le registre des traitements, et respecter les droits des personnes concernées.

Le RGPD interdit-il d'utiliser un agent IA ?

Non. Le RGPD encadre les traitements de données personnelles, il ne les interdit pas. Vous pouvez parfaitement déployer un agent IA qui traite des données personnelles, à condition d'avoir une base légale valide, de documenter le traitement dans votre registre, d'informer les personnes concernées et de respecter leurs droits (accès, rectification, effacement). La conformité RGPD est une contrainte de conception, pas une contrainte d'interdiction.

Claude Managed Agents (Voie 1) est-il conforme RGPD ?

Pour les données non sensibles, oui — sous conditions. Anthropic propose un Data Processing Agreement (DPA) standard et ses serveurs sont aux États-Unis, ce qui constitue un transfert de données hors UE. Ce transfert doit être encadré par les Standard Contractual Clauses (SCC) signées avec Anthropic. Pour les données sensibles au sens du RGPD (santé, données judiciaires, orientation sexuelle, religion), la Voie 1 n'est pas recommandée : utilisez la Voie 2 ou Voie 3.

Faut-il une AIPD (analyse d'impact) pour déployer un agent IA ?

Pas systématiquement. Une AIPD est obligatoire quand le traitement présente un risque élevé pour les droits des personnes. Critères de la CNIL : traitement à grande échelle de données sensibles, profilage à grande échelle, décision automatisée avec effets juridiques significatifs, surveillance systématique. Si votre agent IA traite des données sensibles ou prend des décisions automatisées importantes, l'AIPD est probable. Pour un agent de back-office sur des données internes non sensibles, elle n'est généralement pas requise.

Comment informer les clients qu'un agent IA traite leurs données ?

Via votre politique de confidentialité, qui doit mentionner les traitements automatisés, la finalité, la base légale, et les transferts éventuels vers des sous-traitants comme Anthropic ou les providers cloud. Si l'agent prend des décisions automatisées avec effets significatifs (refus de crédit, qualification de lead qui déclenche un traitement différencié), une information spécifique doit être fournie à la personne concernée.

Services associés

Offre gratuite

Besoin d'un regard expert ?

Audit digital gratuit — analyse de votre site, SEO et potentiel de conversion. Livré en 48 h.

Prêt à passer à l'action ?

Réservez votre appel découverte gratuit — audit offert à l'issue de l'échange.

Réservez

Choisir mon créneau → Voir nos services