RGPD et agents IA : tout ce que vous devez savoir en 2025

L'utilisation d'agents IA dans votre entreprise implique inévitablement le traitement de données personnelles. Qu'il s'agisse d'un chatbot qui collecte des adresses email, d'un agent vocal qui enregistre des conversations ou d'un outil d'analyse qui profile vos clients, la conformité réglementaire est une obligation légale. Ce guide vous explique tout ce que vous devez savoir pour utiliser des agents IA en toute légalité en 2025, que vous soyez basé en Suisse ou dans l'Union européenne.

Le cadre juridique en 2025 : RGPD et nLPD

Le RGPD (Règlement Général sur la Protection des Données)

Entré en vigueur en mai 2018, le RGPD reste le texte de référence pour toute entreprise qui traite des données de résidents européens. Même si votre entreprise est basée en Suisse, le RGPD s'applique dès que vous traitez les données d'un client ou prospect situé dans l'UE. Avec un agent IA accessible en ligne, c'est quasiment toujours le cas.

Les principes fondamentaux du RGPD qui s'appliquent aux agents IA sont :

• Licéité, loyauté et transparence : l'utilisateur doit savoir qu'il interagit avec une IA et comment ses données sont utilisées
• Limitation des finalités : les données collectées par l'agent ne peuvent être utilisées que pour les finalités déclarées
• Minimisation des données : l'agent ne doit collecter que les données strictement nécessaires à sa mission
• Exactitude : les données traitées doivent être maintenues à jour et corrigées si nécessaire
• Limitation de la conservation : les données ne peuvent être conservées indéfiniment
• Intégrité et confidentialité : des mesures techniques et organisationnelles appropriées doivent protéger les données

La nLPD (nouvelle Loi fédérale sur la Protection des Données)

Entrée en vigueur le 1er septembre 2023, la nLPD suisse s'aligne largement sur le RGPD tout en conservant des spécificités helvétiques. Pour les entreprises suisses, la nLPD impose des obligations similaires en matière de transparence, de sécurité et de droits des personnes concernées. La principale différence : les sanctions sont pénales et visent les personnes physiques responsables (amendes jusqu'à 250'000 CHF), contrairement au RGPD qui sanctionne les entreprises.

En Suisse, ce n'est pas l'entreprise mais le responsable individuel (dirigeant, DPO, responsable IT) qui risque des sanctions pénales en cas de violation de la nLPD. La responsabilité est personnelle.

Les données personnelles traitées par les agents IA

La première étape de mise en conformité consiste à identifier précisément quelles données personnelles votre agent IA traite. Voici les catégories les plus courantes :

Données collectées directement

• Données d'identification : nom, prénom, adresse email, numéro de téléphone fournis lors d'une conversation
• Données de conversation : le contenu des échanges textuels ou vocaux avec l'agent
• Données transactionnelles : informations de paiement, historique des commandes
• Données de santé (cas spécifique) : pour un agent médical, informations sur les symptômes, les traitements

Données collectées indirectement

• Données techniques : adresse IP, type de navigateur, langue préférée
• Données comportementales : pages visitées avant de lancer le chat, durée de la conversation
• Données de géolocalisation : pays, ville (déduits de l'adresse IP)
• Métadonnées : horodatage des interactions, canal utilisé (web, WhatsApp, téléphone)

Attention particulière aux données sensibles (données de santé, opinions politiques, données biométriques) qui bénéficient d'une protection renforcée et nécessitent un consentement explicite.

L'hébergement des données : un enjeu stratégique

Où sont physiquement stockées les données traitées par votre agent IA ? Cette question est devenue centrale depuis les arrêts Schrems I et II de la Cour de justice de l'UE, qui ont invalidé les mécanismes de transfert de données vers les États-Unis.

Les options d'hébergement et leurs implications

• Hébergement en Suisse : le standard le plus sûr pour les entreprises suisses. La Suisse est reconnue par l'UE comme offrant un niveau de protection adéquat. Privilégiez les data centers certifiés (Infomaniak, Exoscale, Green.ch).
• Hébergement dans l'UE : conforme au RGPD par défaut. Les grands cloud providers proposent des régions européennes (AWS Frankfurt, Azure Amsterdam, Google Zurich).
• Hébergement aux États-Unis : possible uniquement sous le Data Privacy Framework (DPF) adopté en 2023, mais la pérennité de ce mécanisme reste incertaine. Préférez des alternatives européennes quand c'est possible.

Demandez systématiquement à votre fournisseur d'agent IA un document précisant la localisation exacte des serveurs de traitement et de stockage. Un flou sur ce point est un signal d'alarme.

Le cas particulier des modèles de langage

La plupart des agents IA utilisent des modèles de langage (LLM) développés par des entreprises américaines (OpenAI, Anthropic, Google). Les données de vos utilisateurs sont-elles envoyées à ces fournisseurs pour être traitées ? Sont-elles utilisées pour entraîner les modèles ? Ces questions sont essentielles.

Les agents IA conformes au RGPD doivent garantir :

• Un accord de non-utilisation des données pour l'entraînement (opt-out garanti)
• Un traitement des données dans des régions géographiques conformes
• Un chiffrement des données en transit et au repos
• La suppression des données de conversation après traitement (pas de rétention par le fournisseur LLM)

Le consentement : informer et respecter les choix

L'obligation de transparence

Depuis l'entrée en vigueur de l'AI Act européen, l'obligation de transparence est renforcée. Concrètement, votre agent IA doit :

1. S'identifier comme une IA : avant toute interaction, l'utilisateur doit être clairement informé qu'il communique avec un système automatisé, pas un humain
2. Expliquer la finalité : pourquoi l'agent collecte ces données et ce qu'il en fait
3. Indiquer la durée de conservation : combien de temps les données de conversation sont conservées
4. Mentionner les droits : droit d'accès, de rectification, d'effacement, de portabilité et d'opposition

Les bases légales du traitement

Le consentement n'est pas la seule base légale pour traiter des données via un agent IA. Les six bases légales du RGPD sont :

• Consentement : l'utilisateur accepte activement (opt-in) le traitement de ses données
• Exécution d'un contrat : le traitement est nécessaire pour fournir le service demandé (ex: prise de rendez-vous)
• Obligation légale : le traitement est imposé par la loi
• Intérêts vitaux : cas d'urgence médicale par exemple
• Mission d'intérêt public : rarement applicable aux entreprises privées
• Intérêts légitimes : l'entreprise a un intérêt légitime qui ne porte pas atteinte aux droits de la personne

Pour la plupart des agents IA en contexte commercial, la base légale la plus appropriée est l'exécution d'un contrat (quand l'agent traite une commande, un rendez-vous) ou l'intérêt légitime (quand l'agent offre du support client). Le consentement est requis pour les actions de marketing (newsletters, relances commerciales).

Les droits des utilisateurs face aux agents IA

Votre agent IA doit permettre l'exercice effectif des droits des personnes concernées :

• Droit d'accès : un utilisateur peut demander l'ensemble des données que votre agent a collectées à son sujet. Votre système doit pouvoir extraire ces données dans un format lisible.
• Droit de rectification : si l'agent a enregistré des informations incorrectes, l'utilisateur peut demander leur correction.
• Droit à l'effacement : sur demande, toutes les données personnelles d'un utilisateur doivent être supprimées de vos systèmes, y compris des logs et des sauvegardes.
• Droit à la portabilité : l'utilisateur peut demander ses données dans un format structuré et couramment utilisé (JSON, CSV).
• Droit d'opposition au profilage automatisé : si votre agent IA prend des décisions automatisées ayant un impact significatif (scoring, tarification dynamique), l'utilisateur a le droit de demander une intervention humaine.

Checklist de conformité RGPD pour votre agent IA

Les sanctions en cas de non-conformité

Les enjeux financiers et juridiques sont considérables :

• RGPD : amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial (le montant le plus élevé s'applique)
• nLPD suisse : amendes pénales jusqu'à 250'000 CHF visant les personnes physiques responsables
• AI Act : amendes jusqu'à 35 millions d'euros ou 7% du CA pour les violations les plus graves
• Dommage réputationnel : une violation de données peut coûter bien plus cher en perte de confiance client qu'en amendes

En 2024, les autorités de protection des données ont infligé plus de 2 milliards d'euros d'amendes au total dans l'UE. Les PME ne sont pas épargnées : plusieurs entreprises de moins de 50 employés ont été sanctionnées pour des manquements liés à des outils d'IA non conformes.

Conclusion : la conformité comme avantage concurrentiel

Loin d'être une contrainte, la conformité RGPD/nLPD peut devenir un véritable avantage concurrentiel. En 2025, les consommateurs et les entreprises sont de plus en plus sensibles à la protection de leurs données. Afficher clairement votre conformité (certification, badges, documentation accessible) renforce la confiance et peut faire la différence face à un concurrent moins transparent.

Sur Agents-IA.pro, tous les agents référencés sont évalués sur leur conformité RGPD. Un badge "RGPD Conforme" est attribué aux agents qui répondent à l'ensemble des critères de notre grille d'évaluation. Utilisez ce critère dans votre processus de sélection.