Agents IA et RGPD : la checklist avant de lancer un pilote

En 2026, monter un pilote d'agent IA prend quelques jours. Un cas d'usage, un outil, deux personnes motivées, et c'est parti. La technique n'est plus le frein.

Le frein devrait être ailleurs. Avant de brancher cet agent sur de vrais appels, de vrais CV, de vrais dossiers clients ou de vraies photos d'atelier, une seule question compte : quelles données personnelles cet agent va-t-il traiter, et qui en est responsable ?

Le RGPD n'interdit pas l'IA. Il demande quatre choses : comprendre les données que vous traitez, les limiter au strict nécessaire, les sécuriser, et savoir expliquer comment elles sont utilisées. Aucune de ces quatre exigences n'est exotique. Toutes les quatre se règlent avant le pilote — pas après.

Pourquoi le RGPD passe avant le pilote, pas après

Il y a un malentendu confortable : « C'est juste un pilote, on verra la conformité quand on passera en production. » Faux.

Un pilote n'utilise pas des données fictives. Il utilise des données opérationnelles réelles, parce que c'est tout l'intérêt : noms et numéros de téléphone de clients, enregistrements ou transcriptions d'appels, CV de candidats, données RH de salariés, photos d'environnement de travail. Le RGPD s'applique dès le premier jeu de données. Pas à partir d'un certain volume. Pas à partir de la mise en production.

Et il n'est pas seul. L'AI Act européen encadre les usages dits à haut risque — notamment l'emploi et la sécurité au travail, deux terrains directement concernés par les agents IA. Il est entré en vigueur en août 2024, et l'essentiel de ses obligations s'applique à partir d'août 2026. Autrement dit : le calendrier réglementaire vous a déjà rattrapé.

La bonne nouvelle : régler ces questions en amont ne ralentit pas un pilote. Ça l'empêche de devenir un cul-de-sac — celui où la démo fonctionne mais où le déploiement est juridiquement impossible.

La checklist avant de lancer

Voici les questions à poser — dans cet ordre — avant d'écrire la première ligne de configuration.

• 1. Quel est le but exact de l'agent ? Un workflow précis, pas « tester l'IA ». « Répondre aux appels manqués hors horaires et envoyer un résumé au commercial » est une finalité. « Voir ce que l'IA peut faire » n'en est pas une. Le RGPD parle de finalité déterminée : sans elle, rien d'autre ne tient.
• 2. Quelles données personnelles seront traitées ? Soyez littéral. Une photo d'atelier contient des personnes identifiables. Un CV est une donnée personnelle dense — parcours, âge implicite, parfois santé ou origine. Listez chaque champ, pas chaque « catégorie ».
• 3. Le pilote peut-il utiliser MOINS de données ? C'est la minimisation, et c'est souvent l'étape la plus rentable. Floutez les visages. Conservez des résumés plutôt que des enregistrements. Testez sur des données anonymisées ou synthétiques. Supprimez les données du pilote à la fin. Restreignez les accès. Si une donnée n'est pas nécessaire pour prouver la valeur, elle ne devrait pas entrer dans le pilote.
• 4. Où les données sont-elles stockées et traitées ? Dans l'UE ? Quels fournisseurs de modèles tiers interviennent ? Les données servent-elles à entraîner un modèle ? Que contiennent les logs, et combien de temps sont-ils conservés ? Une réponse vague ici est une réponse non.
• 5. Qui est responsable de traitement, qui est sous-traitant ? Vous restez généralement responsable de traitement. Le prestataire est sous-traitant. Cela exige un contrat de sous-traitance (DPA) et une vision claire des sous-traitants ultérieurs — le fournisseur du modèle, l'hébergeur, l'outil de transcription.
• 6. L'agent DÉCIDE-t-il, ou se contente-t-il d'assister ? Un agent qui rejette seul un candidat ou clôture seul une non-conformité, c'est une décision automatisée — un terrain sensible du RGPD comme de l'AI Act. La conception la plus sûre reste « l'IA recommande, l'humain décide ».
• 7. Comment les personnes sont-elles informées ? La transparence n'est pas une politique de 20 pages que personne ne lit. C'est une mention claire, en langage simple : voici qu'un agent IA traite cet appel, ce CV, cette photo, et pourquoi.
• 8. Une AIPD est-elle nécessaire ? Une analyse d'impact s'impose quand le traitement est sensible ou à grande échelle — données RH, surveillance, profilage. Posez la question tôt : la réponse oriente toute la conception du pilote.
• 9. Comment gère-t-on les erreurs et les hallucinations ? Un agent IA se trompe. Prévoyez la correction, l'escalade vers un humain, et la possibilité de mettre le pilote en pause immédiatement. Un pilote qu'on ne peut pas arrêter n'est pas un pilote.
• 10. Que se passe-t-il après le pilote ? Suppression des données de test, durées de conservation définies, accès retirés. Un pilote a une date de fin — et cette date doit être prévue avant la date de début.

Dix questions. Aucune n'exige un juriste à temps plein. Toutes exigent une réponse écrite avant de connecter la première donnée réelle.

Un pilote rapide peut rester un pilote responsable

L'opposition entre « aller vite » et « être conforme » est un faux dilemme. La minimisation des données rend souvent le pilote plus rapide : moins de données à intégrer, moins de surface de risque, moins de discussions de dernière minute. Une finalité claire accélère la configuration. Un plan de sortie évite le nettoyage chaotique.

Le meilleur pilote IA n'est pas celui qui impressionne en démo. C'est celui que vous pouvez déployer dans le monde réel sans rien réécrire.

C'est exactement là que BeLogic commence chaque projet : pas par la question « quel agent voulez-vous ? », mais par « quelles données entrent en jeu, et comment les traiter proprement ? ». Sentinel, Nova et Aria sont conçus dans cet ordre — la conformité d'abord, la démo ensuite.

Un agent IA bien conçu n'est pas celui qui en fait le plus. C'est celui dont vous pouvez expliquer, calmement, ce qu'il fait de chaque donnée. Cochez les dix cases. Ensuite, lancez le pilote.