IA et RGPD : ce que tout freelance doit savoir en 2026

Ce qu’il faut retenir

  • Ne jamais saisir de données clients identifiantes dans ChatGPT ou outils non RGPD-compliant.
  • Les outils IA hébergés en UE (Mistral, Scaleway) sont à privilégier pour les données sensibles.
  • La CNIL a publié des recommandations spécifiques sur l’IA — les connaître est obligatoire.
  • Anonymiser les données avant de les passer à une IA : simple, efficace, protège vos clients.
  • En cas de violation, le freelance peut être tenu responsable solidairement avec son client.

Vous utilisez ChatGPT, Claude ou d’autres outils IA dans vos missions freelance. Avez-vous vérifié que cet usage est conforme au RGPD ? La réponse courte : si vous saisissez des données clients dans des outils hébergés hors UE sans précautions, vous êtes probablement en infraction. Ce guide explique les risques concrets, les outils conformes et les réflexes à adopter pour travailler sereinement.

Pourquoi le RGPD concerne directement les freelances IA

Beaucoup de freelances pensent que le RGPD ne concerne que les grandes entreprises. C’est faux. Dès que vous traitez des données personnelles de clients, prospects ou employés d’un client dans le cadre de vos missions, vous êtes soumis au RGPD — que vous soyez auto-entrepreneur, SASU ou en portage salarial.

Le freelance IA est un « sous-traitant » au sens du RGPD

L’article 28 du RGPD définit le sous-traitant comme toute personne qui traite des données personnelles pour le compte d’un responsable de traitement (votre client). En tant que freelance IA qui utilise les données d’un client pour réaliser sa mission, vous êtes ce sous-traitant. Cette qualification entraîne des obligations précises : traiter uniquement sur instruction du client, garantir la sécurité des données, informer en cas de violation, et ne pas sous-traiter à un tiers (outil IA) sans accord préalable du client.

Ce que dit la CNIL sur l’IA

La CNIL a publié en 2024 plusieurs recommandations sur l’IA générative. Points clés à retenir pour les freelances : les outils IA qui entraînent leurs modèles sur les données saisies sont particulièrement problématiques, les transferts de données vers des serveurs hors UE doivent reposer sur une base juridique adéquate, et la finalité du traitement doit être définie avant tout usage IA. Pour consulter les recommandations officielles : cnil.fr — IA générative : questions-réponses.

Les 5 erreurs RGPD fréquentes avec l’IA

1
Coller un email client dans ChatGPT pour rédiger une réponseRisque CNIL — transfert de données hors UE non autorisé

Vous copiez l’email d’un client (avec son nom, son poste, son entreprise) dans ChatGPT pour générer une réponse. Ces données transitent vers les serveurs d’OpenAI aux États-Unis. Sans accord préalable de votre client et sans base légale, ce transfert viole potentiellement le RGPD.

La bonne pratique
Anonymisez avant de coller : remplacez le nom par « mon client », l’entreprise par « son entreprise », supprimez l’email et le téléphone. Vous gardez le contexte sans transférer de données identifiantes.
  Auto-entrepreneur et IA : le guide complet 2026

2
Analyser un fichier client (CRM, base contacts) avec un outil IA tiersRisque CNIL élevé — données en masse

Uploader un export CRM ou une base de contacts dans ChatGPT, Claude ou un outil d’analyse IA hébergé hors UE revient à transférer potentiellement des milliers de données personnelles vers un pays tiers. C’est l’une des violations RGPD les plus sérieuses dans le contexte IA.

La bonne pratique
Utilisez uniquement des données anonymisées ou agrégées (statistiques sans identifiants). Pour l’analyse de fichiers clients réels, privilégiez des outils hébergés en UE ou une solution auto-hébergée.

3
Utiliser un outil IA qui entraîne ses modèles sur vos donnéesRisque CNIL — finalité incompatible

Certains outils IA (notamment les versions gratuites) utilisent les données saisies pour améliorer leurs modèles. Si ces données incluent des informations clients, cet entraînement constitue un traitement à une finalité incompatible avec celle pour laquelle les données ont été collectées.

La bonne pratique
Sur ChatGPT : désactivez l’option « Improve the model for everyone » dans Paramètres → Contrôle des données. Sur Claude Pro : Anthropic n’utilise pas les conversations pour entraîner les modèles par défaut. Vérifiez toujours les CGU de chaque outil.

4
Ne pas mentionner l’usage d’outils IA tiers dans le contrat clientRisque juridique — sous-traitance non autorisée

L’article 28 du RGPD impose au sous-traitant d’obtenir l’autorisation préalable du responsable de traitement avant de faire appel à un autre sous-traitant. Utiliser ChatGPT avec des données clients sans en informer contractuellement votre client constitue une sous-traitance non autorisée.

La bonne pratique
Ajoutez une clause dans votre contrat mentionnant les outils IA utilisés et leur lieu d’hébergement. Obtenez l’accord écrit du client. Voir notre guide sur les clauses essentielles du contrat freelance IA.

5
Conserver des transcriptions de réunions avec données clients dans un outil IARisque CNIL — conservation excessive

Les outils de transcription IA (Otter.ai, Fireflies, Notion AI Meeting) enregistrent et stockent les conversations — souvent avec des données personnelles (noms, projets, chiffres d’affaires). Ces données ne doivent pas être conservées plus longtemps que nécessaire et ne doivent pas transiter vers des serveurs sans base légale.

La bonne pratique
Informez les participants avant toute transcription automatisée. Vérifiez la politique de conservation de l’outil. Supprimez les transcriptions dès que le compte-rendu est rédigé.
  ChatGPT pour freelances : 20 cas d’usage concrets (+ prompts)

Outils IA conformes RGPD en 2026 : nos recommandations

La conformité RGPD d’un outil IA dépend principalement de son lieu d’hébergement, de sa politique de conservation des données et de la possibilité de désactiver l’entraînement sur vos données.

Outil Hébergement Entraînement sur vos données Conformité RGPD Usage recommandé
Mistral (Le Chat) France (UE) Non par défaut Recommandé Toutes données, y compris sensibles
ChatGPT Pro (paramétré) États-Unis Désactivable dans les paramètres Avec précautions Données anonymisées uniquement
Claude Pro États-Unis Non par défaut (Claude Pro) Avec précautions Données anonymisées uniquement
Scaleway AI France (UE) Non Recommandé API, données sensibles
OVHcloud AI France (UE) Non Recommandé Déploiement modèles, données sensibles
ChatGPT Gratuit États-Unis Oui (par défaut) Déconseillé Usage personnel uniquement, sans données clients
Gemini Google États-Unis / UE partiel Selon les paramètres Avec précautions Vérifier les paramètres Workspace
Le cas des outils américains

OpenAI, Anthropic et Google participent au EU-US Data Privacy Framework (depuis juillet 2023), ce qui autorise les transferts de données UE-US sous conditions. Ce cadre ne dispense pas d’anonymiser les données sensibles ni d’informer vos clients, mais il légalise le transfert en lui-même.

Comment anonymiser les données avant de les utiliser avec l’IA

L’anonymisation est le réflexe le plus simple et le plus efficace pour travailler avec des outils IA sans risque RGPD. Voici le processus en 4 étapes :

1
Identifier les données identifiantesAvant de coller un texte dans un outil IA, repassez en revue les éléments qui permettraient d’identifier une personne : nom, prénom, email, téléphone, adresse, SIRET, numéro de contrat, identifiant interne.

2
Remplacer par des pseudonymes génériquesPrénom → Client A, email → email@exemple.com, entreprise → Entreprise X, montant sensible → [montant]. Le contexte fonctionnel reste intact, les identifiants directs disparaissent.

3
Vérifier la réidentificationRelisez le texte anonymisé : est-ce qu’une personne externe pourrait identifier les individus concernés à partir des informations restantes ? Si oui, anonymisez davantage. Une combinaison poste + ville + secteur peut suffire à réidentifier.

4
Documenter la procédureGardez une note interne de votre procédure d’anonymisation. En cas de contrôle CNIL, cette documentation démontre que vous avez pris des mesures adéquates — même si elles étaient imparfaites.

Checklist RGPD + IA pour freelances

Cochez chaque point validé. La barre de progression indique votre niveau de conformité actuel.

Checklist conformité RGPD & IA 0 / 10

0 %

  Portage salarial et IA : la solution pour consultants ?

FAQ — RGPD et IA pour freelances

Un freelance IA est-il soumis au RGPD ?
Oui, dès qu’il traite des données personnelles dans le cadre de ses missions. En tant que sous-traitant au sens du RGPD (article 28), le freelance a des obligations spécifiques : traiter les données uniquement sur instruction du client, garantir la sécurité, informer en cas de violation, et ne pas faire appel à un outil IA tiers sans accord préalable.
Peut-on utiliser ChatGPT avec des données clients ?
Pas sans précautions. ChatGPT (OpenAI) héberge ses serveurs aux États-Unis. Saisir des données clients identifiantes constitue potentiellement un transfert hors UE sans base légale adéquate. La solution : anonymiser les données avant de les passer à ChatGPT, désactiver l’entraînement dans les paramètres, et obtenir l’accord contractuel de votre client.
Quels outils IA sont conformes RGPD en France ?
Les outils hébergés en France ou en UE offrent les meilleures garanties : Mistral AI (Le Chat) est hébergé en France et ne s’entraîne pas sur vos données par défaut. Scaleway AI et OVHcloud AI sont également des options souveraines. Pour ChatGPT et Claude, la conformité partielle est possible avec anonymisation et paramétrage correct.
La CNIL peut-elle sanctionner un freelance pour un usage non conforme de l’IA ?
Oui. En tant que sous-traitant, le freelance peut être mis en cause solidairement avec son client en cas de plainte. Les sanctions CNIL peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial. Pour un freelance, les risques concrets sont des sanctions administratives et des dommages à la réputation professionnelle.
Comment anonymiser des données avant de les utiliser avec une IA ?
Remplacez les données identifiantes par des pseudonymes génériques : prénom par « Client A », email par « email@exemple.com », entreprise par « Entreprise X ». Supprimez numéros de téléphone, adresses et numéros de contrat. Vérifiez que le texte résultant ne permet pas la réidentification.
Faut-il informer ses clients qu’on utilise l’IA avec leurs données ?
Oui, c’est une obligation dès que les données clients transitent par des outils IA tiers. Le client (responsable de traitement) doit autoriser explicitement ce sous-traitement. Cette mention doit figurer dans votre contrat de prestation ou dans une annexe de traitement des données. Voir notre guide sur les clauses essentielles du contrat freelance IA.
Partagez votre amour

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publications similaires