Cadre légal, protection des données
Le Cockpit face au RGPD
Le RGPD ne se joue pas dans un classeur de politiques : il se joue à la seconde où quelqu'un colle une donnée dans une IA. Voici ce qu'il exige, et comment la méthode du Cockpit CadrIA insère le point de contrôle qui manque, au bon endroit.
Mis à jour le 6 juin 2026
En une phrase. Le Cockpit n'est pas un avis juridique et ne remplace ni votre DPO ni l'analyse d'impact. C'est une méthode qui place un contrôle des données et des droits juste avant l'usage de l'IA, garde un humain dans la décision, et en laisse la trace.
1Ce qu'exige le RGPD avec l'IA
L'IA ne crée pas un droit à part : le RGPD s'applique pleinement dès qu'une donnée personnelle entre dans un prompt ou en sort. Les points sensibles sont connus : minimiser les données, protéger les données sensibles, garder un humain dans les décisions, et pouvoir tout justifier.
Règlement UE 2016/679
Le RGPD. Protection des données personnelles dans l'Union européenne, en vigueur depuis le 25 mai 2018. Il s'applique dès qu'un traitement porte sur des données personnelles, y compris lorsqu'elles transitent par une IA.
Article 5
Les principes. Licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; et responsabilité (accountability) : pouvoir démontrer sa conformité.
Article 22
Décision automatisée. Une personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé qui produit des effets juridiques ou l'affecte de manière significative, sauf garanties, dont l'intervention humaine.
Articles 25, 32, 35
Conception, sécurité, analyse d'impact. Protection des données dès la conception et par défaut (25), sécurité du traitement (32), et analyse d'impact relative à la protection des données, l'AIPD, pour les traitements à risque élevé (35).
Guidance IA
Avis EDPB 28/2024 et CNIL. L'avis du Comité européen de la protection des données de décembre 2024 précise l'application du RGPD aux modèles d'IA : base de l'intérêt légitime, anonymat des modèles, conséquences d'un traitement illicite, transparence des décisions automatisées. En France, les recommandations de la CNIL sur l'IA.
2Comment le Cockpit y répond
Chaque exigence trouve un point d'ancrage dans le déroulé d'une séance. Le Cockpit ne tranche jamais le droit : il met le bon contrôle au bon moment et renvoie au DPO ou au service juridique ce qui relève de leur décision.
| Exigence RGPD | Ce qu'elle demande | Réponse du Cockpit |
|---|---|---|
| Articles 5 et 9. Minimisation et données sensibles | Ne traiter que les données nécessaires et protéger les données sensibles. | Le Protecteur veille sur les données et le droit ; la carte 16 pose la protection des données sensibles avant de construire le prompt, avec la consigne de ne coller dans l'IA aucune donnée personnelle non nécessaire. |
| Article 22. Décision automatisée | Pas de décision exclusivement automatisée à effet significatif sans garanties. | La carte 16 repère les décisions portant sur une personne ; le Décideur tranche et assume ; une validation humaine est obligatoire. La décision n'est jamais exclusivement automatique. |
| Article 35. Analyse d'impact (AIPD) | Évaluer l'impact d'un traitement susceptible d'engendrer un risque élevé. | La carte 25 ouvre une trame en 7 sections (finalité, données et biais, supervision humaine, contrôles, risques résiduels, instructions, surveillance) qui prépare l'AIPD. L'analyse formelle relève de votre DPO. |
| Article 25. Protection dès la conception | Intégrer la protection des données en amont, par défaut. | Faire la revue des données et du droit avant de construire le prompt, c'est précisément la protection des données dès la conception, ramenée au moment de l'usage. |
| Articles 5.2 et 30. Responsabilité et registre | Pouvoir démontrer la conformité et tenir une trace des traitements. | Le registre de séance consigne la finalité, les données mobilisées, le modèle d'IA, la décision et les participants : un élément de preuve d'accountability, lisible dans trois ans. |
| Articles 12 à 14. Transparence | Informer et donner une information utile sur la logique en jeu. | Le registre documente le modèle d'IA et la décision ; la méthode impose d'expliciter l'objectif en une phrase et de juger le résultat avant de l'utiliser. |
| Hébergement et transferts | Maîtriser où et comment les données sont traitées. | Le Cockpit s'utilise avec l'IA validée de l'entreprise ; ses propres données sont hébergées dans l'Union, sans entraînement sur vos contenus. Tout transfert hors UE est à vérifier avec votre DPO. |
| Article 32. Sécurité du traitement | Garantir un niveau de sécurité adapté au risque. | La confiance dans le fournisseur d'IA est posée en question dédiée, avec un acquittement obligatoire avant la clôture de la séance. |
3Avec ou sans le Cockpit
La faille RGPD la plus banale n'est pas un piratage : c'est une donnée personnelle collée dans un outil d'IA, sans réflexe ni trace. C'est exactement ce trou que le Cockpit referme.
Sans le Cockpit
- Des données personnelles ou sensibles sont collées dans l'IA sans aucun point de contrôle.
- Des décisions concernant des personnes se prennent sans intervention humaine tracée.
- Aucune trace de la finalité ni des données mobilisées.
- L'analyse d'impact, quand elle existe, arrive trop tard.
Avec le Cockpit
- Un point de contrôle données et droit juste avant le prompt (Protecteur, carte 16).
- Validation humaine obligatoire sur les décisions concernant des personnes (article 22).
- Un registre qui documente finalité, données, modèle et décision.
- Une trame d'analyse d'impact prête à transmettre au DPO (carte 25).
4Pourquoi c'est utile
Le risque, en protection des données, naît au moment de l'usage, pas dans la rédaction des politiques. Le Cockpit déplace le contrôle à cet endroit précis : il impose la minimisation et la protection des données sensibles avant le prompt, garantit l'intervention humaine sur les décisions qui touchent des personnes, et produit la trace que réclame le principe de responsabilité.
L'intérêt, en clair. Le Cockpit fait de la protection des données un geste d'équipe au moment de l'usage, et non une formalité a posteriori. Il fournit au DPO une matière prête à l'emploi plutôt qu'une zone d'ombre.
5Périmètre et limites
Le Cockpit ne délivre aucun conseil juridique et ne remplace ni votre DPO ni l'analyse d'impact formelle. La licéité d'un traitement, le choix de la base légale, la gestion des transferts hors UE et les droits des personnes relèvent du DPO et du service juridique. Chaque point de droit est renvoyé au service compétent et signalé comme à vérifier.
La trame d'analyse d'impact produite en séance prépare l'AIPD, elle ne s'y substitue pas. C'est un point de départ à compléter et valider par votre délégué à la protection des données.
Voir aussi : ISO/IEC 42001 · EU AI Act · Rapport de robustesse
Cockpit CadrIA, méthode de gouvernance de l'IA en équipe. Aligné RGPD, EU AI Act et ISO 42001. cadria.fr
Document mis en ligne le 6 juin 2026.