Finalité
Décrire l'objectif exact: répondre à un appel, préparer un rendez-vous, trier un mail, créer une synthèse ou notifier une équipe.
RGPD et IA
Checklist RGPD pour agent IA et automatisation IA
Un agent IA peut traiter des informations personnelles. Avant de le brancher à des appels, mails, formulaires, agendas ou CRM, il faut cadrer finalité, données, accès, conservation, transparence et contrôle humain.
Confiance
Les points à verrouiller avant un agent IA en production
Cette checklist est volontairement pratique. Elle aide les TPE, PME, indépendants et professions libérales à poser les bonnes questions avant d'automatiser un échange client ou une tâche qui manipule des données.
Minimisation
Collecter seulement ce qui est nécessaire à la prochaine action, pas tout ce qui pourrait être utile un jour.
Transparence
Informer clairement les personnes lorsque l'IA intervient, surtout pour les appels ou demandes sensibles.
Accès
Limiter les destinataires des synthèses, transcriptions, notifications et fiches de qualification.
Conservation
Fixer une durée proportionnée pour les messages, synthèses, logs et données de test.
Escalade
Prévoir un transfert humain quand la demande est urgente, ambiguë, sensible ou hors périmètre.
Grille de contrôle
Checklist RGPD appliquée aux agents IA
Chaque ligne doit être décidée avant un pilote sérieux. Les réponses dépendent du contexte réel, du métier, des outils connectés et des données traitées.
| Point RGPD | Question à poser | Trace à conserver |
|---|---|---|
| Finalité | Pourquoi l'agent traite-t-il ces données ? | Une description courte du cas d'usage. |
| Base légale | Sur quel fondement le traitement repose-t-il ? | Décision documentée avec le responsable du projet. |
| Données | Quelles informations sont strictement nécessaires ? | Liste des champs collectés et champs exclus. |
| Information | Comment la personne est-elle informée ? | Texte d'information, message d'appel ou notice de confidentialité. |
| Droits | Comment gérer accès, rectification, opposition ou suppression ? | Contact, procédure et délai de réponse interne. |
| Sous-traitants | Quels outils ou prestataires traitent les données ? | Liste, rôle, localisation et garanties demandées. |
| Sécurité | Qui peut consulter ou exporter les résultats ? | Habilitations, journalisation et règles de partage. |
| Conservation | Combien de temps garder les données ? | Durées par type de donnée et règle de suppression. |
Avant déploiement
Questions de sécurité spécifiques aux agents IA
- L'agent apprend-il des conversations réelles ? Si oui, distinguer clairement phase de production et amélioration, puis cadrer consentement, information et minimisation.
- Des données sensibles peuvent-elles apparaître ? Prévoir filtrage, transfert humain, consignes de non-collecte et limitation de conservation.
- L'agent peut-il engager l'entreprise ? Les confirmations, refus, promesses ou décisions sensibles doivent rester encadrés ou validés.
- Les erreurs sont-elles visibles ? Documenter les incompréhensions, transferts, corrections humaines et incidents de qualité.
- Les tests utilisent-ils des données réelles ? Préférer des données fictives ou anonymisées quand le réalisme peut être obtenu sans information personnelle.
- Le client sait-il quoi dire aux utilisateurs ? Préparer un message simple sur l'usage de l'IA, les données collectées et les possibilités de contact humain.
Sources et garde-fous
Ce que cette ressource ne prétend pas faire
Cette page ne constitue pas un conseil juridique. Elle fournit une grille opérationnelle inspirée des principes publics de la CNIL pour mieux préparer un projet. Les obligations exactes doivent être validées selon le périmètre, le secteur et les données réellement traitées.
FAQ
Questions fréquentes
Un agent IA est-il automatiquement soumis au RGPD ?
Il relève du RGPD dès qu'il traite des données personnelles. Le niveau d'obligation dépend du rôle, des données, des outils et du contexte de traitement.
Un agent vocal IA doit-il informer l'appelant ?
Lorsque l'IA intervient dans un échange téléphonique et collecte des informations, l'information doit être claire, compréhensible et adaptée au scénario.
Peut-on utiliser des données sensibles dans un agent IA ?
Il faut l'éviter quand ce n'est pas nécessaire. Si le métier expose des données sensibles, le projet doit prévoir minimisation, accès limités, transfert humain et règles de conservation strictes.
Passer à l'action
Vous voulez automatiser sans exposer inutilement les données ?
Décrivez les données, les outils et les scénarios à automatiser. Ostia peut vous aider à limiter le périmètre et à construire une solution IA plus prudente.