Puis-je utiliser ChatGPT ou OpenAI pour traiter des données clients belges ?

Oui, à condition de signer un Data Processing Agreement (DPA) avec OpenAI et de vérifier que les Standard Contractual Clauses (SCC) sont en place pour encadrer le transfert vers les États-Unis. OpenAI propose un DPA standard. Il est cependant conseillé de ne jamais envoyer de données directement identifiantes (nom complet + numéro de téléphone + email simultanément) sans nécessité absolue, et de pseudonymiser les données lorsque c'est possible.

IA et RGPD en Belgique : guide pratique pour PME

Q: Dois-je nommer un DPO (Délégué à la Protection des Données) pour déployer un agent IA dans ma PME ?

La désignation d'un DPO est obligatoire pour les organismes dont l'activité principale nécessite un suivi régulier et systématique de personnes à grande échelle, ou qui traitent des données sensibles à grande échelle. La plupart des PME belges n'ont pas cette obligation. En revanche, documenter vos traitements dans un registre (article 30 RGPD) reste obligatoire, quelle que soit la taille de votre entreprise.

Q: Quelle est la sanction maximale pour une PME belge qui ne respecte pas le RGPD avec son IA ?

L'Autorité de Protection des Données (APD) belge peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. En pratique, pour les PME, les premières sanctions sont souvent des injonctions de mise en conformité assorties d'amendes proportionnées. L'APD publie ses décisions : le risque de réputation est souvent plus dommageable que l'amende elle-même.

      "J'ai peur que l'IA ne soit pas légale avec mes clients." Cette phrase revient dans 7 audits sur 10 que nous réalisons chez Agentia PME.
    

La réalité est plus simple — et plus rassurante — qu'on ne le croit. Le RGPD n'interdit pas l'intelligence artificielle. Il encadre la manière dont vous collectez, traitez et conservez les données personnelles. Et pour la grande majorité des PME wallonnes et bruxelloises, la mise en conformité se résume à une dizaine d'actions concrètes, sans juriste à temps plein ni budget faramineux.

Dans cet article, nous allons démystifier les obligations réelles, identifier les pièges les plus fréquents et vous donner une checklist actionnable pour déployer votre agent IA en toute sérénité légale. Que vous soyez consultant indépendant, cabinet médical, agence immobilière ou société de services B2B, ce guide vous concerne.

Commençons par les bases : de quoi parle-t-on réellement quand on croise RGPD et IA dans la même phrase ?

Le RGPD et l'IA : de quoi parle-t-on vraiment ?

Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, s'applique à toute organisation qui traite des données de résidents européens. Une PME bruxelloise qui utilise un chatbot pour répondre aux demandes de ses clients traite des données personnelles : noms, adresses email, numéros de téléphone, historiques de conversation, comportements d'achat.

Ce que l'IA traite comme données

Un agent IA connecté à votre CRM ou à votre formulaire de contact va inévitablement manipuler :

Données d'identification directe : noms, prénoms, adresses email, numéros de téléphone
Données comportementales : pages visitées, historique de chat, préférences déclarées
Données transactionnelles : devis demandés, produits achetés, fréquence de contact
Données inférées : score de lead, probabilité d'achat calculée par le modèle IA

Toutes ces catégories sont soumises au RGPD dès lors qu'elles permettent d'identifier directement ou indirectement une personne physique.

Les 3 bases légales applicables aux PME

Pour traiter des données personnelles, vous devez obligatoirement vous appuyer sur au moins une des six bases légales définies à l'article 6 du RGPD. Pour les PME belges, trois d'entre elles couvrent la quasi-totalité des cas d'usage IA :

Consentement (Art. 6.1.a) : la personne a explicitement accepté que ses données soient traitées par votre IA. Indispensable pour les newsletters, les campagnes marketing automatisées ou tout traitement non directement lié à une transaction.
Intérêt légitime (Art. 6.1.f) : votre intérêt à utiliser l'IA est raisonnable et ne prime pas sur les droits de la personne. Applicable pour l'analyse interne, la gestion de leads B2B ou la prévention de la fraude.
Exécution d'un contrat (Art. 6.1.b) : le traitement est nécessaire pour exécuter un contrat avec la personne. Votre agent IA qui planifie des rendez-vous ou envoie des confirmations de commande entre dans cette catégorie.

Ce qui n'est PAS soumis au RGPD

Il est tout aussi important de savoir ce qui échappe au champ d'application du règlement pour éviter la sur-conformité :

Données anonymisées : si votre IA travaille sur des statistiques agrégées sans possibilité de ré-identification, le RGPD ne s'applique pas.
Données de personnes morales : les données d'une entreprise (numéro d'entreprise, adresse de siège social) ne sont pas des données personnelles au sens du RGPD — sauf si elles permettent d'identifier une personne physique précise.
Usage strictement personnel : un agenda IA que vous utilisez uniquement pour gérer votre propre agenda sans traiter de données tierces n'est pas concerné.

Les 5 obligations concrètes quand vous déployez un agent IA

Voici les cinq actions que toute PME belge doit mettre en place avant de déployer un agent IA en contact avec ses clients ou prospects. Ces obligations découlent directement des articles 12 à 17 et 25 du RGPD.

Checklist de déploiement conforme — 5 obligations RGPD

1. Informer vos clients

Mention explicite sur le formulaire de contact + page de politique de confidentialité à jour. L'utilisateur doit savoir qu'une IA traite sa demande.

2. Obtenir le consentement si nécessaire

Case à cocher non pré-cochée, libellé clair et spécifique, possibilité de retrait simple à tout moment. Pas de consentement bundlé avec les CGV.

3. Minimisation des données

Ne collecter que ce dont l'IA a réellement besoin. Si votre chatbot de prise de rendez-vous n'a pas besoin de la date de naissance, ne la demandez pas.

4. Durée de conservation définie

Définir explicitement combien de temps les données restent dans votre CRM et votre outil d'automatisation. Implémenter la suppression automatique.

5. Droit d'accès et droit à l'effacement

Prévoir un processus simple (email dédié ou formulaire) pour que vos clients puissent demander leurs données ou leur suppression. Délai légal : 1 mois.

L'obligation d'information en pratique

La mention d'information RGPD sur votre formulaire de contact doit indiquer : qui collecte les données (votre entreprise), pourquoi (la finalité), combien de temps elles sont conservées, et comment exercer ses droits. Une phrase comme "Vos données sont traitées par [Votre PME] pour répondre à votre demande. Consultez notre politique de confidentialité." suffit pour un formulaire simple.

Si un agent IA prend en charge la conversation initiale, ajoutez une mention visible dans l'interface de chat : "Vous échangez avec un assistant IA. Vos messages sont traités conformément à notre politique de confidentialité."

Ce que l'Autorité de Protection des Données (APD) belge surveille en priorité

L'APD belge (anciennement Commission de la Vie Privée) a publié plusieurs décisions et recommandations qui dessinent clairement ses priorités de contrôle. Connaître ces axes vous permet de concentrer vos efforts sur ce qui compte vraiment.

Les formulaires web sans mention RGPD

C'est le point de contrôle le plus fréquemment relevé dans les décisions de l'APD. Un formulaire de contact qui collecte nom, email et message sans mention légale visible est une violation simple à constater — et à sanctionner. L'APD effectue des contrôles proactifs sur les sites web belges, notamment via des plaintes de particuliers.

Les chatbots sans politique claire

L'APD a spécifiquement mentionné les assistants conversationnels dans ses orientations 2024. Un chatbot IA qui engage des conversations avec des visiteurs sans qu'ils sachent que leurs données sont enregistrées, analysées ou transmises à un tiers constitue une violation du principe de transparence (Art. 5.1.a RGPD). La question n'est pas "est-ce qu'un humain lit mes conversations" mais "est-ce que je sais que cette conversation est conservée et traitée".

Les CRM qui conservent des données indéfiniment

L'absence de politique de rétention est l'une des infractions les plus répandues. Beaucoup de PME utilisent un CRM depuis des années et n'ont jamais supprimé un seul contact. Si vous avez des leads de 2018 qui n'ont jamais répondu, leurs données n'ont probablement plus de base légale pour rester dans votre système. L'APD considère la conservation excessive comme une violation du principe de limitation de la conservation (Art. 5.1.e RGPD).

Les transferts vers des outils US sans clauses contractuelles

GoHighLevel, HubSpot, OpenAI, Make.com, Zapier — beaucoup des outils que les PME utilisent sont hébergés aux États-Unis. Depuis l'invalidation du Privacy Shield en 2020 (arrêt Schrems II), tout transfert vers les USA doit s'appuyer sur des Standard Contractual Clauses (SCC). La bonne nouvelle : la plupart de ces fournisseurs les proposent automatiquement — il suffit de les signer ou de vérifier qu'elles sont incluses dans leurs CGU.

Les outils IA conformes que nous utilisons pour les PME belges

Chez Agentia PME, nous avons évalué et configuré une vingtaine d'outils d'automatisation et d'IA pour des PME wallonnes et bruxelloises. Voici notre retour d'expérience honnête sur les solutions les plus courantes.

GoHighLevel — le CRM tout-en-un

GoHighLevel est hébergé aux États-Unis (AWS us-east). Pour le rendre conforme : signez le DPA disponible dans les paramètres de votre compte, vérifiez que les SCC sont bien en place (elles le sont depuis 2022), et configurez des règles d'automatisation pour supprimer les contacts inactifs après votre durée de conservation définie (ex. 2 ans sans interaction). Mentionnez GHL comme sous-traitant dans votre politique de confidentialité.

Make.com vs n8n auto-hébergé

Make.com (ex-Integromat) est hébergé en Europe (Prague, République tchèque) — c'est un avantage RGPD direct. Leur DPA est disponible sur demande. n8n auto-hébergé sur un VPS européen (OVH, Scaleway, Hetzner) est l'option la plus souveraine : vos données ne quittent pas vos serveurs. Pour les PME avec des données sensibles (secteur médical, juridique, financier), nous recommandons n8n auto-hébergé.

Les modèles IA — OpenAI API vs alternatives EU

L'API OpenAI est la plus performante mais les données transitent par les USA. OpenAI propose un DPA et des SCC, et s'engage à ne pas utiliser les données API pour entraîner ses modèles. Pour les cas d'usage très sensibles, des alternatives européennes existent : Mistral AI (France), Aleph Alpha (Allemagne), ou des modèles open-source déployés en local.

Outil	Hébergement	Conformité RGPD	Action requise
GoHighLevel	🇺🇸 USA (AWS)	Moyen	Signer DPA + vérifier SCC + rétention
Make.com	🇪🇺 UE (Prague)	Bon	Signer DPA sur demande
n8n auto-hébergé	🇪🇺 Votre VPS EU	Excellent	Choisir un hébergeur EU, sécuriser l'accès
OpenAI API	🇺🇸 USA	Moyen	Signer DPA + SCC + pseudonymiser les données
Mistral AI API	🇫🇷 France (UE)	Très bon	DPA inclus dans CGU — vérifier rétention
HubSpot	🇺🇸 USA	Moyen	Activer RGPD mode dans paramètres + DPA
Calendly / Cal.com	USA / Votre VPS	Variable	Cal.com auto-hébergé = option EU souveraine

Cas pratique — comment on configure un agent IA conforme pour un cabinet d'avocats bruxellois

Pour illustrer concrètement la démarche, voici comment nous avons procédé pour un cabinet d'avocats de 4 associés à Bruxelles qui souhaitait automatiser la qualification de ses demandes de consultation.

1. Audit des données traitées

Première étape : cartographier précisément ce que l'agent IA allait traiter. Dans ce cas : nom, prénom, email, numéro de téléphone, description du litige juridique (potentiellement sensible), disponibilités. La description du litige pouvant contenir des données sensibles (santé, situation familiale), nous avons recommandé de ne pas l'inclure dans le formulaire automatisé mais de la collecter lors du premier échange téléphonique.

2. Choix des outils EU-first

Pour ce cabinet, nous avons opté pour : Cal.com auto-hébergé sur un VPS OVH (Roubaix, France) pour la prise de rendez-vous, n8n auto-hébergé pour les automatisations, et Mistral AI pour le traitement du langage. Aucun transfert hors UE.

3. Mentions légales sur le formulaire

Nous avons rédigé une mention conforme sous le formulaire de contact : nom du responsable de traitement, finalité (qualification de la demande de consultation), durée de conservation (12 mois après le dernier contact), droits des personnes et lien vers la politique de confidentialité complète. L'IA est mentionnée explicitement.

4. Politique de confidentialité adaptée

La politique de confidentialité générique du site a été remplacée par un document spécifique au cabinet, mentionnant chaque traitement (formulaire de contact, agent IA, agenda en ligne, newsletter), chaque base légale et chaque sous-traitant. Consultez notre modèle de politique de confidentialité pour PME.

5. Formation de l'assistante sur les demandes d'accès

L'assistante du cabinet a été formée en 45 minutes sur la procédure à suivre quand un client fait une demande d'accès ou d'effacement : accusé de réception dans les 72h, traitement dans le mois, que chercher dans Cal.com et n8n, comment documenter la réponse. Un document simple de 2 pages suffit comme procédure interne.

Résultat : le cabinet a réduit ses délais de réponse initiale de 48h à moins de 2h, tout en étant pleinement conforme. Le tout déployé en 3 semaines. Découvrez nos services d'automatisation IA pour les professions libérales.

Les 3 erreurs RGPD les plus fréquentes que font les PME avec l'IA

Après avoir accompagné une cinquantaine de PME belges dans leur démarche IA, ces trois erreurs reviennent systématiquement. Les identifier vous permettra de les éviter d'emblée.

Erreur 1 — "On est une petite entreprise, personne ne regardera"

C'est statistiquement faux. L'APD belge reçoit des milliers de plaintes par an, dont une majorité provient de particuliers mécontents de la gestion de leurs données par des entreprises locales. Une PME de 5 personnes a déjà reçu une mise en demeure après qu'un ancien client a constaté que ses données n'avaient pas été effacées malgré sa demande. La taille n'est pas un bouclier — c'est une illusion dangereuse.

Erreur 2 — Copier-coller une politique de confidentialité générique

La politique de confidentialité est un contrat entre votre entreprise et vos clients. Une politique générique trouvée en ligne ou générée par un outil automatique sans adaptation ne mentionne ni vos outils spécifiques (votre CRM, votre chatbot IA, vos intégrations), ni vos vraies durées de conservation, ni vos sous-traitants réels. L'APD considère une politique incomplète ou inexacte comme une violation du principe de transparence. Prenez 2 heures pour l'adapter — ou contactez-nous pour le faire avec vous.

Erreur 3 — Ne pas former ses équipes

Le RGPD n'est pas qu'une affaire de techniciens ou de juristes. Si votre assistante commerciale ne sait pas quoi répondre quand un client lui envoie un email demandant ses données, si votre développeur ne sait pas qu'il ne doit pas stocker des mots de passe en clair, si votre équipe marketing ne sait pas que les adresses email achetées sont illégales — vous êtes en infraction, même si votre politique de confidentialité est parfaitement rédigée. Une session de formation de 2 heures par an suffit pour les PME.

En résumé — votre checklist RGPD avant de déployer un agent IA

Avant de lancer votre premier agent IA en production, vérifiez ces 8 points. Si vous pouvez cocher les 8, vous êtes dans une position défendable vis-à-vis de l'APD belge.

Checklist RGPD pré-déploiement IA — 8 points

Registre des traitements mis à jour

Art. 30 RGPD — obligatoire pour toute organisation, quelle que soit sa taille

Base légale identifiée pour chaque traitement IA

Consentement, intérêt légitime ou contrat — documenté par écrit

Mentions d'information visibles sur tous les formulaires

Responsable de traitement, finalité, droits, lien politique de confidentialité

Politique de confidentialité adaptée et à jour

Mentionnant explicitement l'IA, les outils utilisés, les sous-traitants

DPA et SCC signés avec vos fournisseurs US

OpenAI, GHL, HubSpot, Make — vérifier les contrats sous-traitants

Durées de conservation définies et implémentées

Règle de suppression automatique activée dans votre CRM et vos outils IA

Procédure de réponse aux demandes d'accès/effacement

Email dédié ou formulaire, délai de réponse de 1 mois, documentation

Équipes formées aux bonnes pratiques RGPD

Une session de 2h par an — documentée pour en garder la preuve

Le RGPD n'est pas un obstacle à l'IA ; c'est un cadre qui renforce la confiance de vos clients dans vos outils numériques. Une PME qui peut dire "nous utilisons l'IA et nous protégeons vos données" dispose d'un avantage concurrentiel réel, particulièrement dans des secteurs comme le droit, la santé, les finances ou l'immobilier.

Prêt à déployer votre agent IA en conformité avec le RGPD ?

Chez Agentia PME, nous configurons vos automatisations IA en intégrant la conformité RGPD dès la conception — pas en rattrapage. Audit, choix des outils, mentions légales, politique de confidentialité : nous gérons l'ensemble pour que vous puissiez vous concentrer sur votre activité.

Obtenir un audit RGPD IA gratuit → Voir nos services IA

Questions fréquentes — IA & RGPD

Oui, dès que votre agent IA traite des données de personnes identifiables — y compris des employés, des prospects ou des contacts enregistrés dans votre CRM — le RGPD s'applique. L'usage interne ne vous exempte pas ; il change seulement la base légale applicable (intérêt légitime ou contrat de travail plutôt que consentement client). Pensez aussi aux données de vos collaborateurs : un outil IA de gestion RH traite des données personnelles au sens du RGPD.

La désignation d'un DPO (Délégué à la Protection des Données) est obligatoire pour les organismes dont l'activité principale nécessite un suivi régulier et systématique de personnes à grande échelle, ou qui traitent des données sensibles à grande échelle. La plupart des PME belges n'ont pas cette obligation. En revanche, documenter vos traitements dans un registre (article 30 RGPD) reste obligatoire, quelle que soit la taille de votre entreprise.

Oui, à condition de signer un Data Processing Agreement (DPA) avec OpenAI et de vérifier que les Standard Contractual Clauses (SCC) sont en place pour encadrer le transfert vers les États-Unis. OpenAI propose un DPA standard accessible depuis votre espace client. Il est cependant conseillé de ne jamais envoyer de données directement identifiantes sans nécessité absolue, et de pseudonymiser les données lorsque c'est possible. Pour les secteurs sensibles (médical, juridique), préférez des alternatives hébergées en Europe.

L'APD belge peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. En pratique, pour les PME, les premières sanctions sont souvent des injonctions de mise en conformité assorties d'amendes proportionnées. Mais l'APD publie ses décisions en ligne : le risque de réputation — clients, partenaires, médias locaux — est souvent plus dommageable que l'amende elle-même pour une PME de proximité.