RGPD et IA : Pourquoi 'on sera conforme bientôt' ne suffit plus

En mai 2023, la Data Protection Commission irlandaise a infligé à Meta une amende de 1,2 milliard d’euros pour avoir transféré des données d’utilisateurs européens vers les États-Unis. Une seule décision. Un seul mécanisme de transfert. Deux ans plus tard, en mai 2025, TikTok a écopé de 530 millions d’euros pour avoir transmis des données de l’EEE vers la Chine. La violation était identique : des données personnelles quittaient l’UE sans protection adéquate.

Ce ne sont plus des coups de semonce. Les coups de semonce datent d’il y a des années.

Si votre entreprise déploie des outils d’IA qui font transiter des données par des serveurs américains, la question n’est pas de savoir si les régulateurs s’y intéresseront. C’est quand ils arriveront à votre dossier.

Les murs réglementaires sont en place

L’AI Act européen est entré en vigueur le 1er août 2024. Il ne s’agit pas d’un projet ou d’une proposition — c’est un texte contraignant avec un calendrier d’application progressif.

Les premières interdictions sont effectives depuis le 2 février 2025 : scoring social, pratiques d’IA manipulatrices et reconnaissance faciale indiscriminée sont désormais illégaux. Les obligations pour les modèles d’IA à usage général — la catégorie qui couvre tous les grands modèles de langage — sont applicables depuis le 2 août 2025. Les exigences de transparence et les règles sur l’IA à haut risque entreront en vigueur le 2 août 2026. Les systèmes à haut risque intégrés dans des produits réglementés suivront le 2 août 2027.

La structure des sanctions est agressive. Les violations impliquant des pratiques d’IA interdites peuvent entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Non-conformité liée à l’IA à usage général : jusqu’à 15 millions ou 3 %. Infractions procédurales : 7,5 millions ou 1 %.

Cela se superpose au RGPD. Deux cadres réglementaires, un même jeu de données. Les entreprises qui déploient des outils d’IA dans l’UE font face à des obligations de conformité parallèles — et les régulateurs des deux côtés sont en action.

La CNIL, fer de lance de l’application du RGPD

Selon l’étude DLA Piper de janvier 2026, les autorités de contrôle européennes ont prononcé environ 1,2 milliard d’euros d’amendes RGPD en 2025, autant qu’en 2024. Le total cumulé depuis l’entrée en vigueur du RGPD en mai 2018 atteint désormais 7,1 milliards d’euros.

La France ne fait pas exception — bien au contraire. La CNIL est l’une des autorités de protection des données les plus actives d’Europe. En 2024, elle a prononcé 87 sanctions totalisant 55,2 millions d’euros, dont 69 dans le cadre de la procédure simplifiée — trois fois plus qu’en 2023. Le nombre de violations de données notifiées a atteint 5 629, soit une hausse de 20 % par rapport à l’année précédente.

Les sanctions de la CNIL touchent tous les secteurs. En janvier 2026, France Travail (ex-Pôle Emploi) a écopé de 5 millions d’euros pour des manquements à la sécurité des données des demandeurs d’emploi. Un éditeur israélien de technologie publicitaire s’est vu infliger 1 million d’euros après des contrôles menés en 2023 et 2024. Les sanctions dans le cadre de la procédure simplifiée couvrent tout, du manque de sécurité des données au non-respect du droit à l’effacement.

Sur le front de l’IA, la CNIL a pris les devants. Dès avril 2024, elle a publié ses premières fiches pratiques sur l’application du RGPD au développement de systèmes d’IA — finalité, base légale, qualification des acteurs, réutilisation des données, analyse d’impact. À l’été 2025, elle a finalisé l’ensemble de ses recommandations, couvrant la sécurité des environnements de développement, l’applicabilité du RGPD aux modèles et les conditions d’annotation des données d’entraînement.

Ce n’est pas de la théorie. La CNIL a explicitement annoncé que l’IA fait partie de ses thèmes prioritaires de contrôle. L’Italie a déjà infligé 15 millions d’euros à OpenAI. Les Pays-Bas ont frappé Clearview AI avec 30,5 millions. La question n’est pas de savoir si les DPA européennes vont sanctionner les outils d’IA — elles le font déjà.

Et n’oublions pas TikTok. L’amende de 530 millions d’euros ne portait pas sur le contenu de la plateforme, mais sur l’endroit où les données étaient traitées. La leçon est amère : « on réglera la résidence des données plus tard » a un prix, et il commence à neuf chiffres.

« Résidence des données prochainement » n’est pas une stratégie de conformité

Microsoft a achevé sa EU Data Boundary en février 2025. Les données clients au repos restent dans l’UE. Cette partie fonctionne.

Mais les données au repos ne représentent que la moitié de l’équation. Quand un collaborateur français tape un prompt dans Microsoft 365 Copilot, ce prompt doit être traité par un grand modèle de langage. L’endroit où ce traitement a lieu compte.

Microsoft a annoncé en novembre 2025 que le traitement des données en local (in-country) pour les interactions Copilot serait déployé par phases. (Nous avons détaillé la comparaison complète du Copilot — prix, mémoire et architecture — dans un article séparé.) La première vague — Australie, Royaume-Uni, Inde et Japon — était prévue pour fin 2025. La France, aux côtés de l’Allemagne, du Canada, de l’Italie et de la Pologne, a été repoussée à 2026. En attendant, les prompts Copilot français sont traités là où Microsoft dispose de capacité LLM disponible — au sein de la EU Data Boundary, mais pas nécessairement en France.

Pour une entreprise soumise à des exigences strictes de protection des données — banque, santé, secteur public — « traitement dans la région UE » et « traitement en France » sont deux affirmations fondamentalement différentes.

Et c’est le meilleur des cas : un éditeur qui travaille activement à la conformité. Beaucoup d’outils d’IA offrent moins. Nombre d’entre eux traitent les données européennes aux États-Unis, en s’appuyant sur des clauses contractuelles types ou le EU-US Data Privacy Framework.

Le DPF a survécu à une contestation juridique en septembre 2025, lorsque le Tribunal de l’UE a rejeté l’affaire Latombe. C’est rassurant en surface. Mais Max Schrems et NOYB — ceux qui ont fait annuler le Safe Harbor et le Privacy Shield — ont publiquement déclaré qu’ils étudiaient les options pour une contestation plus large. L’arrêt a validé le DPF face à un ensemble restreint de griefs ; la tension fondamentale entre le droit de surveillance américain et les droits fondamentaux européens en matière de vie privée n’est pas résolue.

Construire votre infrastructure IA sur un mécanisme de transfert à l’avenir juridique contesté, c’est jouer aux dés. Et si vous perdez, il n’y a pas de période de grâce.

Ce qu’exige réellement une IA conforme

La conformité des outils d’IA dans l’UE se résume à une liste courte.

Résidence des données, pas simple frontière. Vos prompts, réponses et mémoire d’IA doivent être traités et stockés dans une juridiction que vous maîtrisez. Pour les entreprises européennes, cela signifie l’UE — pas « la région UE en général », pas « on y arrivera en 2026 ».

Aucune dépendance à des mécanismes de transfert contestés. Si votre fournisseur d’IA fait transiter les données par une infrastructure américaine, votre posture de conformité dépend de la validité continue du DPF. C’est une question politique, pas technique. L’hébergement dans l’UE élimine la question.

Transparence conforme au RGPD et à l’AI Act. Sous le RGPD, vos collaborateurs et clients ont le droit de savoir comment leurs données sont traitées. Sous l’AI Act, les déployeurs de systèmes d’IA à haut risque font face à des obligations supplémentaires de documentation, de gestion des risques et de supervision humaine. Votre fournisseur doit rendre cela simple — pas quelque chose qu’on reconstitue à partir d’un livre blanc de 200 pages.

Responsabilité aujourd’hui, pas de promesses sur une roadmap. Une feuille de route de conformité n’est pas la conformité. Si la résidence des données de votre fournisseur est programmée pour l’année prochaine, vous portez le risque jusque-là. Les régulateurs ne vous sanctionnent pas sur la base de la roadmap de votre fournisseur. Ils sanctionnent sur la base de ce qui se passe avec vos données maintenant.

Ce n’est pas hypothétique. L’amende de 1,2 milliard d’euros de Meta portait sur des transferts effectués alors qu’un mécanisme de transfert était encore techniquement en vigueur. Les 530 millions de TikTok correspondaient à des transferts que l’entreprise croyait conformes. Les bonnes intentions ne compensent pas une mauvaise architecture.

Choisir ses outils d’IA en tant qu’entreprise européenne

Si vous évaluez des plateformes d’IA, posez trois questions à votre fournisseur : Où sont traités les prompts ? Où est stocké le contenu généré par l’IA ? Sur quels mécanismes de transfert vous appuyez-vous pour les données transfrontalières ?

Si les réponses incluent « data centers américains », « clauses contractuelles types » ou « nous travaillons sur la résidence des données dans l’UE » — vous connaissez l’écart de conformité que vous acceptez.

L’alternative existe. Des outils d’IA conçus en Europe, hébergés en Europe, traités en Europe. Pas de décisions d’adéquation à surveiller. Pas de transferts de données à justifier. Pas de points de roadmap 2026 susceptibles de glisser à 2027.

amaiko a été construit ainsi dès le premier jour. Ingénierie allemande, hébergement européen, natif dans Teams. Vos données restent en Europe — pas un jour, pas sur une roadmap, mais aujourd’hui. Pour les entreprises qui prennent la protection des données au sérieux, ce n’est pas une fonctionnalité. C’est le minimum.