Cabinet · Format expert unique · France
CONCEPT SIGNATURE 10 min de lecture

DPA fournisseurs IA
la checklist 2026 RGPD + AI Act

Vous utilisez Claude, ChatGPT, Mistral, ou un autre service IA pour votre entreprise ? Vous DOIS avoir un DPA (Data Processing Agreement) avec chacun. Voici la checklist exacte des clauses à vérifier en 2026, conforme RGPD ET AI Act.

Le DPA : la base souvent oubliée de la conformité

Quand vous utilisez un service IA en SaaS (Claude, ChatGPT, Mistral, mais aussi des dizaines d'outils métiers intégrant de l'IA), vous confiez à ce fournisseur des données - parfois personnelles, parfois sensibles. Cela fait du fournisseur un "sous-traitant" au sens du RGPD.

L'article 28 du RGPD est clair : vous DEVEZ avoir un Data Processing Agreement (DPA) avec ce sous-traitant, sans quoi vous êtes en infraction. Et avec l'AI Act 2026, le DPA doit être enrichi de clauses spécifiques IA.

Voici la checklist exacte des clauses à avoir, et les liens vers les DPA des principaux fournisseurs.

Les 10 clauses minimales obligatoires (RGPD)

Checklist DPA RGPD (article 28)

  1. Objet et durée du traitement défini
  2. Nature et finalité du traitement décrit
  3. Type de données personnelles concernés
  4. Catégories de personnes concernées
  5. Obligations et droits du responsable de traitement (vous)
  6. Obligations du sous-traitant (le fournisseur IA)
  7. Mesures techniques et organisationnelles de sécurité
  8. Recours à des sous-sous-traitants (autorisation spécifique ou générale)
  9. Transferts hors UE éventuels (et garanties applicables)
  10. Modalités de fin de prestation (suppression ou restitution des données)

Les clauses AI Act spécifiques à ajouter

Depuis 2026, les DPA pour les services IA doivent inclure aussi (article 25 AI Act) :

Clauses AI Act additionnelles

  1. Engagement de non-utilisation pour entraînement. Le fournisseur s'engage à ne pas utiliser vos prompts/données pour entraîner ses modèles (sauf consentement explicite).
  2. Documentation technique du système. Le fournisseur fournit la doc AI Act (caractéristiques, données d'entraînement, limites connues).
  3. Informations sur les risques résiduels. Le fournisseur informe sur les biais connus, les limites, les usages à éviter.
  4. Coopération en cas d'enquête. Le fournisseur s'engage à fournir les informations demandées par les autorités.
  5. Notification des incidents. Le fournisseur s'engage à notifier dans les 24h les incidents matériels (failles, dysfonctionnements).
  6. Information sur les changements de modèle. Le fournisseur notifie les changements majeurs (nouveau modèle, nouvelles données d'entraînement).
  7. Droits d'audit. Vous pouvez auditer le respect du DPA + AI Act, sous conditions raisonnables.

Vérification : où trouver les DPA des principaux fournisseurs

La bonne nouvelle : la majorité des fournisseurs IA publient leurs DPA en ligne en 2026. Voici les liens directs :

  • Anthropic (Claude) : DPA + AI Act addendum disponibles via Trust Center, signables électroniquement pour les comptes Team/Enterprise.
  • OpenAI (ChatGPT, OpenAI) : DPA standard via OpenAI Trust Center. Pour les comptes Enterprise, addendum AI Act spécifique.
  • Mistral AI (Le Chat, API) : DPA signable depuis l'admin console. Comme acteur européen, conformité RGPD nativement plus complète.
  • Google (Gemini, Vertex AI) : Google Cloud DPA classique + addendum AI spécifique.
  • Microsoft (Copilot, Azure OpenAI) : DPA Microsoft Online Services + addendum AI.
  • AWS (Bedrock, SageMaker) : AWS DPA classique + addendum AI Bedrock.

Pour les outils métiers intégrant de l'IA (notamment franco-français ou européens), demandez explicitement leur DPA. La majorité l'ont mais ne le mettent pas en avant.

Concrètement, qu'est-ce que vous devez faire ?

  1. Inventaire : listez tous les outils IA en usage dans votre entreprise (officiels et "shadow IT").
  2. Pour chacun, récupérez le DPA via le lien de leur Trust Center ou en écrivant à leur DPO.
  3. Vérification clauses : utilisez la checklist ci-dessus pour valider que toutes les clauses minimales sont présentes.
  4. Vérification AI Act : vérifiez aussi les clauses AI Act spécifiques (sur les outils utilisés pour des usages haut risque, c'est obligatoire).
  5. Signature électronique : la plupart se signent en ligne (un clic) via leur admin console.
  6. Stockage : conservez une copie de chaque DPA signé dans votre dossier conformité (RGPD + AI Act).
  7. Revue annuelle : vérifiez chaque année si les DPA n'ont pas évolué (en particulier si les fournisseurs changent leurs CGU).

Cas particuliers

Comptes gratuits (ChatGPT free, Claude free)

Les comptes gratuits n'ont généralement pas de DPA personnalisé. Vous signez les CGU/CGV qui ne sont PAS un DPA conforme. Conséquence : si vous utilisez un compte gratuit pour traiter des données personnelles client/employé, vous êtes en infraction RGPD. Solution : passer à un compte payant qui inclut le DPA (Plus, Pro, Team, Enterprise).

Outils intégrant l'IA en backend

Beaucoup d'outils (Notion AI, Pennylane, HubSpot, Salesforce) intègrent de l'IA en backend. Leur DPA principal couvre généralement l'IA, mais demande explicitement la confirmation : "vos clauses DPA couvrent-elles aussi les fonctionnalités IA intégrées ?". Vous devez avoir une trace écrite de la réponse.

Solutions on-premise / open-source

Si vous utilisez un LLM open-source hébergé chez vous (Meta Llama (open-source), Mistral self-hosted), pas de DPA nécessaire avec un fournisseur externe puisque vous contrôlez tout. Mais vous devez documenter en interne votre gouvernance, la qualité des données d'entraînement utilisées pour fine-tuning, et les mesures de sécurité. C'est une autre forme de conformité, plus exigeante en interne mais sans tiers à auditer.

Checklist : êtes-vous en règle ?

5 questions pour savoir si vous êtes en règle

  1. Vous avez un inventaire à jour de tous les outils IA utilisés dans votre entreprise ?
  2. Vous avez un DPA signé avec chaque fournisseur traitant des données personnelles ?
  3. Pour chaque DPA, les 10 clauses RGPD minimales sont présentes ?
  4. Pour les outils utilisés à fort risque, les clauses AI Act sont présentes ?
  5. Vos comptes IA gratuits ne traitent jamais de données personnelles client/employé ?

Si <5/5 : non-conformité. Plan d'action de mise en règle à faire en priorité (avant de penser à déployer plus d'IA).

Vous voulez qu'on fasse l'audit ensemble ? 45 minutes gratuites pour identifier vos manques DPA et vous donner un plan de mise en conformité.

Pour aller plus loin : guide AI Act PME et calendrier des obligations.

QUESTIONS FRÉQUENTES

Questions fréquentes.

Le DPA est-il obligatoire même pour un usage interne sans données clients ?

Si vous utilisez l'IA sur des données personnelles (incluant employés, prospects, données RH, données salariales), oui le DPA est obligatoire. Le RGPD ne distingue pas client/interne : toute donnée personnelle est concernée. La seule exception : usage purement personnel sur vos propres données individuelles. Dès que vous êtes dans un contexte professionnel, DPA obligatoire.

Les CGU/CGV d'un service IA peuvent-elles servir de DPA ?

Non, sauf si elles incluent explicitement les clauses RGPD article 28. La plupart des CGU 'standard' ne sont pas suffisantes - elles couvrent les aspects commerciaux mais pas les obligations sous-traitant. Demande toujours le DPA spécifique, qui est un document distinct des CGU. Les fournisseurs sérieux ont les deux : CGU + DPA + Trust Center.

Qui doit signer le DPA côté client ? Le DPO, le DG, le service juridique ?

Généralement le représentant légal de l'entreprise (DG, gérant, etc.) signe. Le DPO peut signer si délégation expresse. Pour les grandes entreprises, le service achats ou le juridique gère souvent. Important : la personne qui signe doit avoir le mandat formel pour engager l'entreprise. La signature électronique est valide juridiquement (eIDAS) tant que les conditions standard sont respectées.

Mon fournisseur me propose un DPA en anglais uniquement, est-ce ok ?

Oui, le RGPD n'impose pas de langue spécifique pour le DPA. L'anglais est très fréquent et légalement valable. Cependant, pour votre tranquillité et pour l'usage interne (information CSE, audit), avoir une version française traduite peut être utile. Vous pouvez demander au fournisseur ou faire traduire (DeepL Pro suffit pour la compréhension, mais une traduction officielle est préférable pour les documents officiels).

Que faire si mon fournisseur IA ne propose pas de DPA ou refuse de signer ?

Trois options : 1) Insister - 99% des fournisseurs sérieux ont un DPA mais ne le proposent pas spontanément. 2) Si vraiment refus après demande explicite : changer de fournisseur. C'est le signe d'une non-conformité générale qui vous met en risque. 3) Si l'outil est stratégique et qu'il n'y a pas d'alternative : escalade au niveau direction et faire une analyse risque pondéré bénéfices vs risque légal. Le RGPD considère que utiliser un sous-traitant non conforme est une infraction du responsable de traitement (vous).

🛠️ Outils gratuits pour passer à l'action

Avant d'attaquer un audit payant, évaluez-vous gratuitement avec ces outils interactifs sans email-gate.

AI ACT · 5 MIN

Calculateur risque AI Act

10 questions, score sur 100 + classification (minimal / limité / haut risque). Sans email.

 CHECKLIST · 15 MIN

Checklist IA Act 35 points

Cases à cocher persistantes : auto-évaluation, registre, transparence, sous-traitants. Imprimable.

 TEMPLATE

Template registre AI Act

Mini-éditeur interactif, 13 champs par système. Export JSON, Markdown, PDF.

📚 POUR APPROFONDIR · COURS GRATUIT · 8 chapitres

IA Act 2026 pour TPE-PME

4 classes de risque, calendrier, registre, sanctions, bonnes pratiques. Conformité opérationnelle.

Suivre le cours →
POUR ALLER PLUS LOIN

Conformité IA Act + RGPD : nos ressources dédiées

HUB COMPLET

Hub conformité IA Act + RGPD

Articles, méthodologie, ressources gratuites (registre, calculateur, checklist), forfaits.

AUDIT PROFESSIONNEL

Audit conformité IA Act

3 forfaits publics : 1 500 € (1j), 6 000 € (4j), 10 500 € (7j). Inventaire + classification + plan d'action.

FORMATION 1 JOUR

Formation IA Act 2026

1 jour pour comprendre le cadre, classifier vos systèmes, monter votre conformité en interne.
PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit