Premier des deux volets RGPD de la formation. Cette leçon pose les principes essentiels qu'un professionnel doit connaître avant de signer un contrat IA, sans entrer dans les aspects opérationnels. Les six fondements du RGPD, ce qu'est une donnée personnelle, le rôle des trois acteurs (responsable de traitement, sous-traitant, DPO). Suffisant pour avoir des conversations utiles avec votre DPO et votre direction juridique.
Le stagiaire maîtrise les principes essentiels du RGPD applicables à un projet IA en entreprise.
Le RGPD est souvent vécu par les professionnels comme un sujet technique réservé aux DPO et aux juristes. C'est une erreur d'analyse. Le règlement responsabilise au premier chef les professionnels en tant que responsables de traitement — c'est leur signature qui engage l'organisation, pas celle du DPO.
Cette leçon ne fait pas de vous un expert RGPD. Elle vous donne les bases conceptuelles nécessaires pour avoir une conversation utile avec votre DPO sur un projet Claude. Vous saurez quelle question poser, quel risque détecter, quand demander un avis juridique formel. C'est la maturité minimale attendue d'un professionnel qui signe un projet IA en 2026.
Pour un projet Claude, ces six principes se traduisent en questions opérationnelles concrètes. Licéité : sur quelle base légale (consentement, intérêt légitime, contrat) traitez-vous des données personnelles via Claude ? Finalités : quels usages de Claude sont autorisés, lesquels sont interdits ? Minimisation : avez-vous anonymisé les données avant de les charger ?
Exactitude : si Claude génère une information erronée sur une personne, comment la corriger ? Conservation : combien de temps gardez-vous les conversations Claude impliquant des données personnelles ? Intégrité : qui a accès aux Projects partagés, comment révoquez-vous les accès ?
Ces six questions doivent avoir une réponse formalisée dans votre charte d'usage IA (cf. leçon 21). Sans ces réponses, vous êtes en risque RGPD. Avec ces réponses documentées, vous êtes défendable face à un audit.
Toute information relative à une personne physique identifiée ou identifiable. Article 4 RGPD.
Nom, prénom, mail, téléphone, adresse, photo, vidéo, voix, signature, numéro de sécurité sociale.
Fonction + entreprise (« DAF de Société X »). Adresse IP. Identifiant cookie. Métadonnées de fichier.
Santé, biométrie, opinions politiques, syndicales, religieuses. Régime renforcé. Cadrage juridique préalable obligatoire.
Erreur classique : penser qu'une donnée n'est pas personnelle parce qu'elle ne contient pas de nom. C'est faux. Le RGPD prend en compte l'identifiabilité indirecte : si une combinaison de données permet de remonter à une personne, c'est une donnée personnelle.
Exemple concret en entreprise. Vous chargez dans Claude un tableau de pilotage RH avec « Manager équipe Paris », « 12 ans d'ancienneté », « bonus 2025 ». Pas de nom dans le tableau — vous pensez être conforme. En réalité, dans une équipe à effectif réduit, ces trois informations identifient une personne précise. C'est donc une donnée personnelle au sens du RGPD.
Discipline : en cas de doute, considérer la donnée comme personnelle. Anonymiser, pseudonymiser, ou consulter votre DPO. La présomption de non-personnalité est dangereuse — la présomption de personnalité est protectrice.
| Acteur | Responsabilité | Pour Claude |
|---|---|---|
| Responsable de traitementDécide | Détermine les finalités et moyens du traitement. Signe les contrats. Engage l'organisation. | Vous, professionnel, ou la personne morale (entreprise) |
| Sous-traitantExécute | Traite les données pour le compte du responsable. Engagements contractuels DPA. | Anthropic (qui héberge et traite vos données) |
| DPO / DPDConseille | Délégué à la protection des données. Conseille, contrôle, est le contact CNIL. | Votre DPO interne ou externe |
Implication majeure pour un professionnel : le DPO ne décide pas, il conseille. La responsabilité finale de signer un contrat avec Anthropic, d'autoriser un traitement de données via Claude, repose sur vous en tant que responsable de traitement (ou sur la personne morale que vous représentez).
Cela signifie que vous devez comprendre suffisamment les enjeux RGPD pour arbitrer après avis du DPO. Le DPO peut dire « risque modéré, à condition de... » — c'est à vous de décider si vous acceptez le risque résiduel et la condition. Le DPO peut aussi dire « risque élevé, je déconseille » — vous pouvez passer outre, mais vous engagez votre responsabilité personnelle.
Anthropic est votre sous-traitant. Vérifier l'existence d'un DPA signé (Data Processing Addendum) est non négociable avant tout usage professionnel. Sans DPA, votre projet est en risque RGPD structurel.
Confusion fréquente chez les professionnels : « le DPO s'occupe du RGPD, donc c'est sa responsabilité ». Cette lecture est juridiquement fausse, et opérationnellement dangereuse.
Le DPO a un rôle de conseil et de contrôle. Il informe, alerte, audite, conseille. Il est le contact privilégié de la CNIL. Mais il n'est pas le décideur des traitements de données. Le décideur, c'est le responsable de traitement — vous, ou la personne morale que vous représentez.
Conséquence pratique : si la CNIL inflige une sanction à votre organisation pour un traitement Claude non conforme, la responsabilité retombe sur l'entreprise (et donc sur vous), pas sur le DPO. Le DPO peut être tenu responsable s'il a manqué à son devoir de conseil, mais cela reste une responsabilité secondaire.
Discipline : traiter le DPO comme un conseil expert, pas comme un responsable délégué. Demander son avis explicitement avant de signer, documenter ses recommandations, justifier vos choix s'ils diffèrent de ses préconisations. Cette posture vous protège en cas d'audit.
Pour les questions RGPD, la hiérarchie des sources est claire et doit être respectée. La source primaire est la CNIL (www.cnil.fr) qui publie les guides officiels français. Au niveau européen, l'EDPB (edpb.europa.eu) émet les lignes directrices applicables dans toute l'UE. Pour les engagements spécifiques d'Anthropic, leur documentation officielle (anthropic.com) précise les conditions de traitement. Évitez les blogs juridiques tiers qui interprètent le RGPD : ils peuvent être à jour ou non, justes ou non. Pour un sujet aussi sensible que le RGPD, ne consulter que des sources institutionnelles officielles.
La leçon 20 prolonge le sujet RGPD avec une application opérationnelle à Claude. Maintenant que vous maîtrisez les principes, comment se traduisent-ils dans la pratique quotidienne ? Quelles données pouvez-vous mettre dans Claude, lesquelles non, et pourquoi. Comment anonymiser efficacement. Comment lire un DPA Anthropic.
Cette leçon est plus dense que la première, mais directement actionnable. À l'issue, vous saurez prendre des décisions concrètes sur ce qui peut être chargé dans Claude et ce qui doit rester à l'extérieur.