Volet pratique du RGPD pour Claude. Cette leçon répond aux questions concrètes que vous posez à votre DPO : quelles données mettre dans Claude, lesquelles ne pas mettre, comment anonymiser, comment lire un DPA Anthropic. À l'issue, vous saurez arbitrer en autonomie sur 90% des situations courantes — et identifier les 10% qui nécessitent un avis juridique formel.
Le stagiaire arbitre quelles données peuvent être chargées dans Claude et applique les techniques d'anonymisation.
Le passage de la théorie RGPD à la pratique Claude est l'endroit où la plupart des projets IA dérapent. Soit l'organisation est trop prudente — interdiction totale, perte du bénéfice de l'outil. Soit elle est trop laxiste — chargement de données nominatives sans cadre, risque d'incident.
Cette leçon vous donne le juste milieu opérationnel : une typologie de données avec les règles d'usage, les techniques d'anonymisation à appliquer en pratique, et la lecture du DPA Anthropic en 5 points. Vous repartez avec la capacité d'arbitrer rapidement sur les cas courants.
| Famille | Exemples | Règle Claude |
|---|---|---|
| ★ Non sensiblesPublic, anonyme | Documents publics, études sectorielles, communiqués, données chiffrées agrégées sans identification | Chargement libre, tous plans |
| ★★ PersonnellesIdentifiables | Tableaux RH, mails clients, comptes rendus avec noms, données financières individuelles | Plan Team minimum + DPA. Anonymisation préférable |
| ★★★ SpécialesCatégories spéciales | Données santé, biométriques, judiciaires, opinions, syndicales | Cadrage DPO obligatoire. Souvent à exclure |
Avant de charger n'importe quel document dans Claude, posez-vous trois questions, dans cet ordre. Premièrement : ce document contient-il des informations sur des personnes physiques identifiables (directement ou indirectement) ? Si oui, c'est de la donnée personnelle.
Deuxièmement : ces informations relèvent-elles d'une catégorie spéciale (santé, biométrie, opinions politiques/religieuses/syndicales, orientation sexuelle, données judiciaires) ? Si oui, ne pas charger sans avis formel du DPO.
Troisièmement : votre plan Claude inclut-il un DPA signé ? Si non (Free, Pro individuel), ne pas charger de données personnelles. Si oui (Team, Enterprise), vous pouvez charger en respectant la charte d'usage interne.
Ces trois questions prennent 30 secondes et vous protègent dans 95% des cas. Pour les 5% restants, demandez l'avis du DPO.
Pour les noms, mails, téléphones : remplacer par [Anonymisé] ou [Personne A]. Find-and-replace en 1 minute.
Remplacer par alias cohérents : "Pierre Dupont" → "P.D." ou "Manager 1". Gardez la table de correspondance ailleurs.
Remplacer les données individuelles par des statistiques. "Salaire moyen équipe" plutôt que "Salaire de chacun".
Ne charger que la partie utile du document. Si une note de 10 pages contient 1 paragraphe nominatif, supprimer ce paragraphe avant chargement.
Important : une anonymisation n'est jamais parfaite. Sur un tableau RH d'équipe à 8 personnes, remplacer les noms par « Personne A à H » ne suffit pas si le contexte (poste, ancienneté, fourchette de salaire) reste identifiable.
Test pratique : un tiers qui connaîtrait l'organisation pourrait-il identifier les personnes à partir des données anonymisées ? Si oui, l'anonymisation est insuffisante. Pour les cas sensibles, agrégation ou exclusion sont plus prudentes que pseudonymisation.
Discipline YOAT : en cas de doute sur l'efficacité de l'anonymisation, remonter à l'agrégation. Travailler sur des moyennes, des fourchettes, des distributions plutôt que sur des cas individuels. Le bénéfice analytique reste largement préservé, le risque RGPD chute drastiquement.
Information opérationnelle clé : le DPA Anthropic est inclus à partir du plan Team. Sur Free et Pro individuel, il n'y a pas de DPA — donc pas de cadre contractuel adapté pour traiter des données personnelles d'entreprise. C'est un argument supplémentaire en faveur du Team dès qu'on est plusieurs utilisateurs (cf. leçon 3).
Pour les plans Enterprise, le DPA peut être négocié sur mesure avec Anthropic : ajout de clauses spécifiques, engagements renforcés sur la localisation des données, audits indépendants. Pour les organisations à fortes contraintes (santé, défense, secteur public), c'est l'option à privilégier.
Demander le DPA Anthropic en amont d'une signature est la première action de votre direction juridique. Ne pas signer sans avoir lu et fait valider ce document. Votre DPO et votre juriste savent quoi y chercher — vous, vous comprenez maintenant les 5 points clés.
Erreur d'anonymisation la plus répandue : remplacer uniquement les noms et prénoms, en pensant que cela suffit. « Je remplace Pierre Dupont par X et c'est anonymisé. »
Ce raisonnement ignore l'identifiabilité indirecte vue en leçon 19. Dans un tableau RH d'équipe restreinte, le poste, l'ancienneté, et le salaire suffisent souvent à identifier une personne — même sans nom. Vous n'avez pas anonymisé, vous avez juste retiré une information évidente.
Discipline plus rigoureuse : après avoir anonymisé, demander à une personne tierce qui connaît l'organisation si elle peut identifier les individus à partir des données restantes. Si oui, anonymisation insuffisante — passer à l'agrégation ou au retrait pur et simple des informations contextuelles.
Pour les organisations à effectif réduit, l'anonymisation efficace est structurellement difficile. Privilégier l'agrégation systématique ou ne pas charger ces données dans Claude sont souvent les options les plus prudentes.
La CNIL publie depuis 2024 des recommandations spécifiques sur l'IA générative qui complètent les principes RGPD généraux. Ces recommandations couvrent notamment la formation des modèles, les bases légales applicables, les droits des personnes face à des décisions automatisées. Elles évoluent régulièrement à mesure que la doctrine se construit. Pour un professionnel qui signe un projet Claude en 2026, consulter la dernière version (cnil.fr/fr/intelligence-artificielle) avant la signature est une discipline minimale. Votre DPO devrait également être à jour sur ces recommandations — sinon, c'est un signal sur la maturité de votre fonction RGPD interne.
La leçon 21 transforme les principes RGPD en document opérationnel : la charte d'usage IA. Quels éléments doit-elle contenir, comment la rédiger, comment la communiquer à votre équipe. Une bonne charte tient en 2 pages et change radicalement le risque opérationnel d'un déploiement Claude.
Cette leçon vous donne un canevas de charte YOAT directement utilisable pour votre organisation, à adapter en quelques heures avec votre DPO et votre direction juridique.