Cabinet de stratégie IA · 100 % remote · France & Europe
CONCEPT SIGNATURE 10 min de lecture

DPA fournisseurs IA
la checklist 2026 RGPD + AI Act

Tu utilises Claude, ChatGPT, Mistral, ou un autre service IA pour ton entreprise ? Tu DOIS avoir un DPA (Data Processing Agreement) avec chacun. Voici la checklist exacte des clauses a verifier en 2026, conforme RGPD ET AI Act.

Le DPA : la base souvent oubliee de la conformite

Quand tu utilises un service IA en SaaS (Claude, ChatGPT, Mistral, mais aussi des dizaines d'outils metiers integrant de l'IA), tu confies a ce fournisseur des donnees - parfois personnelles, parfois sensibles. Cela fait du fournisseur un "sous-traitant" au sens du RGPD.

L'article 28 du RGPD est clair : tu DOIS avoir un Data Processing Agreement (DPA) avec ce sous-traitant, sans quoi tu es en infraction. Et avec l'AI Act 2026, le DPA doit etre enrichi de clauses specifiques IA.

Voici la checklist exacte des clauses a avoir, et les liens vers les DPA des principaux fournisseurs.

Les 10 clauses minimales obligatoires (RGPD)

Checklist DPA RGPD (article 28)

  1. Objet et duree du traitement defini
  2. Nature et finalite du traitement decrit
  3. Type de donnees personnelles concernes
  4. Categories de personnes concernees
  5. Obligations et droits du responsable de traitement (toi)
  6. Obligations du sous-traitant (le fournisseur IA)
  7. Mesures techniques et organisationnelles de securite
  8. Recours a des sous-sous-traitants (autorisation specifique ou generale)
  9. Transferts hors UE eventuels (et garanties applicables)
  10. Modalites de fin de prestation (suppression ou restitution des donnees)

Les clauses AI Act specifiques a ajouter

Depuis 2026, les DPA pour les services IA doivent inclure aussi (article 25 AI Act) :

Clauses AI Act additionnelles

  1. Engagement de non-utilisation pour entrainement. Le fournisseur s'engage a ne pas utiliser tes prompts/donnees pour entrainer ses modeles (sauf consentement explicite).
  2. Documentation technique du systeme. Le fournisseur fournit la doc AI Act (caracteristiques, donnees d'entrainement, limites connues).
  3. Informations sur les risques residuels. Le fournisseur informe sur les biais connus, les limites, les usages a eviter.
  4. Cooperation en cas d'enquete. Le fournisseur s'engage a fournir les informations demandees par les autorites.
  5. Notification des incidents. Le fournisseur s'engage a notifier dans les 24h les incidents materiels (failles, dysfonctionnements).
  6. Information sur les changements de modele. Le fournisseur notifie les changements majeurs (nouveau modele, nouveaux donnees d'entrainement).
  7. Droits d'audit. Tu peux auditer le respect du DPA + AI Act, sous conditions raisonnables.

Verification : ou trouver les DPA des principaux fournisseurs

La bonne nouvelle : la majorite des fournisseurs IA publient leurs DPA en ligne en 2026. Voici les liens directs :

  • Anthropic (Claude) : DPA + AI Act addendum disponibles via Trust Center, signables electroniquement pour les comptes Team/Enterprise.
  • OpenAI (ChatGPT, GPT-4) : DPA standard via OpenAI Trust Center. Pour les comptes Enterprise, addendum AI Act specifique.
  • Mistral AI (Le Chat, API) : DPA signable depuis l'admin console. Comme acteur europeen, conformite RGPD nativement plus complete.
  • Google (Gemini, Vertex AI) : Google Cloud DPA classique + addendum AI specifique.
  • Microsoft (Copilot, Azure OpenAI) : DPA Microsoft Online Services + addendum AI.
  • AWS (Bedrock, SageMaker) : AWS DPA classique + addendum AI Bedrock.

Pour les outils metiers integrant de l'IA (notamment franco-francais ou europeens), demande explicitement leur DPA. La majorite l'ont mais ne le mettent pas en avant.

Concretement, qu'est-ce que tu dois faire ?

  1. Inventaire : liste tous les outils IA en usage dans ton entreprise (officiels et "shadow IT").
  2. Pour chacun, recupere le DPA via le lien de leur Trust Center ou en ecrivant a leur DPO.
  3. Verification clauses : utilise la checklist ci-dessus pour valider que toutes les clauses minimales sont presentes.
  4. Verification AI Act : verifie aussi les clauses AI Act specifiques (sur les outils utilises pour des usages haut risque, c'est obligatoire).
  5. Signature electronique : la plupart se signent en ligne (un clic) via leur admin console.
  6. Stockage : conserve une copie de chaque DPA signe dans ton dossier conformite (RGPD + AI Act).
  7. Revue annuelle : verifie chaque annee si les DPA n'ont pas evolue (en particulier si les fournisseurs changent leurs CGU).

Cas particuliers

Comptes gratuits (ChatGPT free, Claude free)

Les comptes gratuits n'ont generalement pas de DPA personnalise. Tu signes les CGU/CGV qui ne sont PAS un DPA conforme. Consequence : si tu utilises un compte gratuit pour traiter des donnees personnelles client/employe, tu es en infraction RGPD. Solution : passer a un compte payant qui inclut le DPA (Plus, Pro, Team, Enterprise).

Outils integrant l'IA en backend

Beaucoup d'outils (Notion AI, Pennylane, HubSpot, Salesforce) integrent de l'IA en backend. Leur DPA principal couvre generalement l'IA, mais demande explicitement la confirmation : "vos clauses DPA couvrent-elles aussi les fonctionnalites IA integrees ?". Tu dois avoir une trace ecrite de la reponse.

Solutions on-premise / open-source

Si tu utilises un LLM open-source heberge chez toi (Llama 3, Mistral self-hosted), pas de DPA necessaire avec un fournisseur externe puisque tu controles tout. Mais tu dois documenter en interne ta gouvernance, la qualite des donnees d'entrainement utilisees pour fine-tuning, et les mesures de securite. C'est une autre forme de conformite, plus exigeante en interne mais sans tiers a auditer.

Checklist : es-tu en regle ?

5 questions pour savoir si tu es en regle

  1. Tu as un inventaire a jour de tous les outils IA utilises dans ton entreprise ?
  2. Tu as un DPA signe avec chaque fournisseur traitant des donnees personnelles ?
  3. Pour chaque DPA, les 10 clauses RGPD minimales sont presentes ?
  4. Pour les outils utilises a fort risque, les clauses AI Act sont presentes ?
  5. Tes comptes IA gratuits ne traitent jamais de donnees personnelles client/employe ?

Si <5/5 : non-conformite. Plan d'action de mise en regle a faire en priorite (avant de penser a deployer plus d'IA).

Tu veux qu'on fasse l'audit ensemble ? 45 minutes gratuites pour identifier tes manques DPA et te donner un plan de mise en conformite.

Pour aller plus loin : guide AI Act PME et calendrier des obligations.

QUESTIONS FRÉQUENTES

Questions fréquentes.

Le DPA est-il obligatoire meme pour un usage interne sans donnees clients ?

Si tu utilises l'IA sur des donnees personnelles (incluant employes, prospects, donnees RH, donnees salariales), oui le DPA est obligatoire. Le RGPD ne distingue pas client/interne : toute donnee personnelle est concernee. La seule exception : usage purement personnel sur tes propres donnees individuelles. Des que tu es dans un contexte professionnel, DPA obligatoire.

Les CGU/CGV d'un service IA peuvent-elles servir de DPA ?

Non, sauf si elles incluent explicitement les clauses RGPD article 28. La plupart des CGU 'standard' ne sont pas suffisantes - elles couvrent les aspects commerciaux mais pas les obligations sous-traitant. Demande toujours le DPA specifique, qui est un document distinct des CGU. Les fournisseurs serieux ont les deux : CGU + DPA + Trust Center.

Qui doit signer le DPA cote client ? Le DPO, le DG, le service juridique ?

Generalement le representant legal de l'entreprise (DG, gerant, etc.) signe. Le DPO peut signer si delegation expresse. Pour les grandes entreprises, le service achats ou le juridique gere souvent. Important : la personne qui signe doit avoir le mandat formel pour engager l'entreprise. La signature electronique est valide juridiquement (eIDAS) tant que les conditions standard sont respectees.

Mon fournisseur me propose un DPA en anglais uniquement, est-ce ok ?

Oui, le RGPD n'impose pas de langue specifique pour le DPA. L'anglais est tres frequent et legalement valable. Cependant, pour ta tranquillite et pour l'usage interne (information CSE, audit), avoir une version francaise traduite peut etre utile. Tu peux demander au fournisseur ou faire traduire (DeepL Pro suffit pour la comprehension, mais une traduction officielle est preferable pour les documents officiels).

Que faire si mon fournisseur IA ne propose pas de DPA ou refuse de signer ?

Trois options : 1) Insister - 99% des fournisseurs serieux ont un DPA mais ne le proposent pas spontanement. 2) Si vraiment refus apres demande explicite : changer de fournisseur. C'est le signe d'une non-conformite generale qui te met en risque. 3) Si l'outil est strategique et qu'il n'y a pas d'alternative : escalade au niveau direction et faire une analyse risque pondere benefices vs risque legal. Le RGPD considere que utiliser un sous-traitant non conforme est une infraction du responsable de traitement (toi).

PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit