Quel risque RGPD crée l’envoi de documents contenant des données personnelles vers des outils IA comme DeepL ou ChatGPT ?

L’envoi transfère des données personnelles vers des serveurs hors UE sans cadre contractuel conforme, violant l’article 28 du RGPD (absence de contrat de sous-traitance) et les articles 44-49 (transferts hors UE sans clause contractuelle type). Le risque inclut sanctions CNIL jusqu’à 20 millions € ou 4 % du CA mondial.

Qu’est-ce qui change avec Klerion pour assurer la conformité RGPD ?

Klerion traite en France (pas de serveur US), ne stocke pas les documents sur cloud tiers, n’utilise jamais les documents pour entraîner un modèle, propose un DPA signé, n’effectue pas de transferts hors UE, et emploie un traducteur assermenté humain tenu à la confidentialité professionnelle.

Quels types de documents sont particulièrement à risque en matière RGPD ?

Les documents contenant données personnelles ou catégories spéciales (santé, contentieux, RH, finance, actes médicaux, casier judiciaire) ne doivent pas transiter par des outils hors UE sans cadre contractuel. Ces documents exigent un prestataire conforme au RGPD.

Traduction IA et RGPD : protéger les données personnelles dans vos documents

Q: Pourquoi l’absence de contrat de sous-traitance (article 28) avec une IA est-elle problématique ?

L’article 28 du RGPD exige un contrat encadreur les instructions du responsable, la confidentialité, la finalité du traitement, et les obligations du sous-traitant. Aucun utilisateur de la version gratuite de DeepL ou ChatGPT n’a signé ce contrat, donc le traitement est non encadré légalement.

Le problème invisibilisé par la simplicité des outils

Un responsable RH reçoit un certificat de travail en anglais d'un prestataire américain. Il colle le texte dans DeepL, traduit en trente secondes, soumet à l'inspection du travail. L'inspection accepte le document. Tout va bien.

Un directeur juridique fait traduire un contrat avec une clause de confidentialité par ChatGPT. Le contrat est signé. Trois mois plus tard, un contentieux révèle que les données du contrat ont été traitées par un modèle hébergé sur des serveurs américains, avec des données conservées 30 jours sur les serveurs d'OpenAI. Le DPO n'a pas été consultedé. Aucun accord de sous-traitance n'a été signé.

Dans le premier cas, le problème n'a pas surfacé. Dans le second, il surfacera — sous forme de sanction CNIL ou de procédure devant le tribunal administratif. La simplicité de l'interface de traduction IA a anesthésié le réflexe de protection des données.

⚠️ Le risque concret

Un document traduit par IA peut contenir : noms, adresses, numéros de Sécurité sociale, données de santé (casier judiciaire, attestation médicale), données financières (contrats de prêt, fiches de paie), données de contentieux. Ce sont des catégories spéciales de données au sens du RGPD — leur transfert non sécurisé est passible d'amendes jusqu'à 20 millions € ou 4 % du CA mondial.

Quels risques RGPD quand vous traduisez avec une IA ?

Les outils de traduction IA (DeepL, Google Translate, ChatGPT, Microsoft Translator) fonctionnent selon le même schéma : votre document est envoyé sur les serveurs du fournisseur, traité par un modèle de langage, et le résultat est retourné. Ce transfert implique plusieurs violations potentielles du RGPD :

Absence de base légale pour le traitement

L'article 6 du RGPD impose une base légale pour tout traitement de données personnelles. Quand un salarié colle un contrat contenant des données de tiers dans ChatGPT pour le faire traduire, sur quelle base légale le traitement repose-t-il ? Le consentement ? Impossible — les tiers mentionnés dans le contrat n'ont jamais consented. L'intérêt légitime ? Contestable pour des données de catégories spéciales (art. 9 RGPD).

Violation de l'article 28 — sous-traitant non déclaré

Quand une entreprise utilise un outil de traduction IA, elle confie des données personnelles à un sous-traitant. Or l'article 28 du RGPD exige un contrat de sous-traitance encadrant : les instructions du responsable, la confidentialité, la finalité du traitement, et les obligations du sous-traitant. Aucun utilisateur de la version gratuite de DeepL ou de ChatGPT n'a signé ce contrat. Le traitement est donc non encadré.

Référence — Article 28 du RGPD

« Le sous-traitant s'engage à fournir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Le traitement est régi par un contrat ou un autre acte juridique. » Sans ce contrat, le traitement est non conforme — quelle que soit la qualité de la plateforme de traduction.

Transferts hors UE — les articles 44 à 49

La majorité des fournisseurs de traduction IA (OpenAI, Google, DeepL dans sa version US) hébergent leurs serveurs hors de l'Union européenne. L'envoi de données personnelles vers ces serveurs constitue un transfert de données hors UE.

Le cadre juridique est strict : les articles 44 à 49 du RGPD n'autorisent un transfert que dans des conditions précises. Les entreprises françaises ont généralement recours aux clauses contractuelles types (SCC — Standard Contractual Clauses) adoptées par la Commission européenne en 2021. Mais ces clauses n'existent pas entre votre entreprise et la version gratuite de ChatGPT. Le transfert est donc non encadré.

💡 Ce que la CNIL vérifie en pratique

Lors d'un contrôle, la CNIL peut demander : la liste des outils IA utilisés par les salariés, les types de documents qui y transitent, les contrats signés avec les fournisseurs, et les mesures mises en place pour encadrer les transferts. Une entreprise sans réponse à ces questions est en situation de non-conformité démontrée.

Check-list conformité RGPD pour les entreprises

Votre entreprise utilise déjà des outils de traduction IA. Voici les vérifications à faire — et les corrections à apporter — pour mettre votre usage en conformité :

✓
Audit des outils utilisés
Listez tous les outils de traduction IA utilisés dans l'entreprise (DeepL, ChatGPT, Google Translate, etc.). Identifiez lesquels accèdent à des serveurs hors UE.
✓
Classification des documents
Désignez les catégories de documents qui contiennent des données personnelles ou des catégories spéciales (santé, contentieux, RH, finance). Ces documents ne doivent pas transiter par des outils hors UE sans cadre contractuel.
✓
Contrats de sous-traitance (art. 28)
Si vous utilisez la version payante d'un outil de traduction IA, vérifiez que le fournisseur a signé un DPA (Data Processing Agreement). Pour les versions gratuites, assumez qu'aucun cadre contractuel n'existe.
✓
Politique interne IA
Rédigez une politique encadrant l'usage des outils IA par les salariés. Précisez : les outils autorisés, les types de données interdites, la procédure de signalement d'un incident.
✓
Registre des traitements (art. 30)
Intégrez les traitements de traduction IA au registre des activités de traitement. Pour chacun : finalité, base légale, catégorie de données, destinataires, transfers hors UE.
✓
Analyse d'impact (PIA)
Si les documents traduits contiennent régulièrement des catégories spéciales (données de santé, contentieux), une analyse d'impact (PIA) est probablement requise avant de poursuivre.
✓
Alternative conforme
Pour les documents sensibles (RH, médical, juridique), utilisez un prestataire qui garantit un traitement en France ou dans l'UE, sans stockage sur des clouds tiers — comme Klerion.

Comment Klerion garantit la confidentialité de vos documents

Klerion a été conçu autour de la contrainte RGPD, pas malgré elle. Voici ce qui change dans la pratique par rapport à un outil de traduction IA classique :

Aspect	Outil de traduction IA (DeepL, ChatGPT)	Klerion
Traitement des données	✗ Serveurs du fournisseur (US ou Irlande)	✓ France — traitement humain en France
Stockage des documents	✗ Conservés 30 à 90 jours sur les serveurs du fournisseur	✓ Aucun stockage cloud tiers. Document supprimé après livraison.
Utilisation pour l'entraînement IA	✗ Possible selon les conditions d'utilisation	✓ Jamais — vos documents ne sont jamais utilisés pour entraîner un modèle.
Contrat de sous-traitance (art. 28)	✗ Absent pour les versions gratuites	✓ DPA signé disponible sur demande
Transferts hors UE	✗ Oui — serveur US	✓ Non — données en France uniquement
Accès humain aux données	✗ Algorithme uniquement	✓ Traducteur assermenté humain, tenu à la confidentialité professionnelle
Certification assermentation	✗ Aucune	✓ Oui — cachet officiel traducteur agréé Cour d'Appel

📋 Résumé des obligations RGPD

Utiliser un outil de traduction IA pour des documents contenant des données personnelles sans cadre contractuel = non-conformité RGPD. Risque : sanction CNIL, responsabilité civile, réputation. La solution : un prestataire qui traite en France, sans cloud tiers, avec un contrat de sous-traitance signé. Klerion répond à ces critères.

Conclusion : la conformité RGPD commence par le choix du prestataire

Le RGPD n'interdit pas la traduction IA. Il encadre les conditions dans lesquelles les données personnelles peuvent y transiter. En pratique, les entreprises qui utilisent DeepL ou ChatGPT sur des documents RH, médicaux ou juridiques sans contrôle sont en situation de non-conformité — même si personne ne le leur a encore notifié.

La solución n'est pas de renoncer à la traduction IA — c'est de l'intégrer dans un cadre où le traitement reste encadré : prestataire en France, pas de cloud tiers, contrat de sous-traitance, suppression des documents après usage. Klerion a été conçu sur ces principes.

Vos documents contiennent des données personnelles ? Faites-les traduire par un prestataire conforme au RGPD. Traduction IA initiale + relecture humaine + assermentation : rapidité, valeur légale, et conformité — sans compromis.

Documents RGPD-sensibles ?
Traduction conforme, signée en 48h.

Votre document transité par un traducteur humain en France. Pas de cloud tiers, pas d'entraînement IA, pas de storage. Résultat livré par email, conforme au RGPD.

Soumettre votre document →

📋

Besoin d'une check-list complète ?

Téléchargez notre guide gratuit : conformité légale des traductions IA, obligations RGPD, check-list par secteur d'activité.

Télécharger le guide gratuit →