MyrmiaColonie d'agents IA
Réserver une démo
Sécurité

Agent IA et RGPD : la checklist 2026 pour une PME conforme

Hébergement, isolation des données, journalisation, validation humaine, DPA : les 6 points à valider avant de déployer un agent IA en production dans une PME.

2 mai 2026·10 min de lecture·Par Équipe Myrmia·Mis à jour le 12 juin 2026

Confier ses emails, ses devis, ses factures et ses contacts clients à une IA, ça ne se fait pas sans cadre. Entre le RGPD, l'AI Act européen entré en vigueur en 2026, et les obligations sectorielles (santé, finance, juridique), une PME qui déploie un agent IA doit valider 6 points avant la mise en production. Voici la checklist qu'on remet à tous nos clients, validée avec notre DPO et plusieurs cabinets d'avocats spécialisés.

1. Hébergement européen — la base non négociable

Vos données ne doivent jamais quitter l'Union européenne. C'est l'exigence n°1 du RGPD, et c'est aussi la première question d'un DPO d'entreprise cliente.

Sur Myrmia, l'hébergement principal est en France (Scaleway, datacenter Paris) avec une redondance en Irlande pour la continuité. Les modèles d'IA utilisés sont également hébergés en UE (Mistral en France, Azure OpenAI Europe pour les fallback). À aucun moment vos données ne transitent par les États-Unis ou par un sous-traitant non soumis au RGPD.

Le piège classique : certains éditeurs annoncent "hébergement européen" mais sous-traitent l'inférence IA à OpenAI US ou Anthropic US. Demandez systématiquement la liste exhaustive des sous-traitants et leur localisation.

2. Isolation par entreprise (multi-tenant logique)

Chaque client doit avoir son propre espace logique. Aucun agent ne doit pouvoir, par erreur ou par requête malicieuse, accéder aux données d'un autre tenant.

Techniquement, cela passe par :

  • Une séparation des données au niveau base (row-level security ou base dédiée).
  • Des contextes d'inférence cloisonnés : le modèle ne voit jamais le contexte d'un autre client.
  • Une isolation des connecteurs : les tokens OAuth d'un client ne sont jamais accessibles à un autre.
  • Des tests de pénétration réguliers sur la frontière multi-tenant.

3. Journalisation complète et auditable

Toute action déclenchée par un agent doit être tracée : qui (quel agent, quel utilisateur), quand (timestamp), à partir de quelle source (prompt, donnée entrante), avec quel résultat. Cette traçabilité est une exigence du RGPD (article 30), de l'AI Act, et un confort opérationnel énorme en cas d'audit ou de litige.

Sur Myrmia, chaque action est journalisée pendant 12 mois minimum, exportable au format CSV ou via API. Vous pouvez répondre à une demande d'accès RGPD d'un client en moins de 10 minutes.

4. Validation humaine par défaut

L'AI Act 2026 introduit une distinction entre IA à risque faible, limité, élevé et inacceptable. Pour une PME, la zone vraiment encadrée est celle des usages "haut risque" : décisions RH (tri de CV), scoring crédit, accès à des services essentiels.

La règle qu'on applique chez Myrmia, plus stricte que la réglementation : tout agent démarre en mode brouillon (validation explicite). Le passage en automatique n'est possible qu'après calibrage, et reste restreint aux actions à faible risque (envoyer un brouillon de réponse mail, publier un post LinkedIn déjà validé, classer une facture dans un compte habituel).

  • Brouillon : l'agent prépare, vous validez et envoyez vous-même.
  • Semi-auto : l'agent prépare et envoie après validation 1-clic.
  • Auto : l'agent agit seul, vous voyez le résultat en journal. Réservé aux actions réversibles à faible enjeu.

5. Droit à l'effacement et portabilité

Tout traitement de données personnelles doit être effaçable sur simple demande, sous 30 jours maximum. Cette obligation s'étend aux modèles d'IA : aucun client ne doit retrouver ses données utilisées pour entraîner un modèle qui servirait à d'autres.

Sur Myrmia, aucune donnée client n'est utilisée pour entraîner ou affiner les modèles. Les agents personnalisent leur comportement via du contexte (RAG) — pas via du fine-tuning sur vos données. Conséquence : la suppression d'un compte client supprime toute trace exploitable.

6. DPA, registre des traitements, AIPD

Trois documents à mettre en place dès l'onboarding :

  • DPA (Data Processing Agreement) — accord de sous-traitance signé par les deux parties. Fourni d'office par Myrmia, annexé au contrat.
  • Registre des traitements (article 30 RGPD) — vous le tenez en tant que responsable du traitement. Myrmia vous fournit le modèle de fiche.
  • AIPD (Analyse d'Impact relative à la Protection des Données) — obligatoire pour les traitements à risque élevé. Notre équipe vous accompagne sur ce point si nécessaire.

Le cas spécifique de l'AI Act

L'AI Act 2026 ajoute une couche : pour les usages classés "haut risque" (RH, scoring, biométrie, infrastructures critiques), une analyse de risque spécifique est requise. Les usages PME classiques (mail, devis, relances, compta, contenus) sont en risque limité ou minimal — pas d'obligation supplémentaire au-delà du RGPD.

Conclusion

Le RGPD et l'AI Act ne sont pas un obstacle au déploiement d'agents IA en PME — ce sont des garde-fous qui sécurisent l'usage à long terme. Une PME bien accompagnée valide les 6 points de cette checklist en quelques heures, et déploie en toute sérénité. La seule règle d'or : choisir une plateforme qui prend ces obligations au sérieux dès le design, plutôt que de les ajouter après coup. C'est précisément ce qui fait la différence entre un outil grand public et un outil métier prêt pour la production.

Questions fréquentes

Les données de mes clients passent-elles par OpenAI ?+

Non, pas par défaut sur Myrmia. Les modèles utilisés sont hébergés en Europe (Mistral, Azure OpenAI Europe). Les versions américaines ne sont jamais utilisées pour traiter des données client sans accord explicite.

Mon expert-comptable / DPO peut-il auditer la plateforme ?+

Oui — un rapport de conformité, le DPA, la liste des sous-traitants et l'export des journaux sont disponibles sur demande. Pour les très grands comptes, des audits sur site sont possibles.

Que se passe-t-il si un client RGPD demande l'effacement ?+

Vous nous transmettez la demande, et nous procédons à la suppression sous 30 jours maximum (souvent en 48-72h pour les demandes simples). Un certificat d'effacement est généré automatiquement.

L'AI Act m'oblige-t-il à déclarer mes agents IA ?+

Pour les usages PME standards (mail, devis, relances, compta), aucune déclaration spécifique n'est requise. Pour les usages haut risque (tri de CV, scoring crédit, biométrie), oui — une AIPD et parfois une notification CNIL sont nécessaires.

Qui est responsable en cas d'incident ?+

Le responsable du traitement reste votre entreprise (vous décidez ce que l'IA fait). Myrmia est sous-traitant au sens RGPD. Le DPA précise la répartition exacte des responsabilités en cas d'incident.

Discuter avec un expert sécurité

30 minutes pour voir vos agents en action sur vos cas d'usage réels.

Demander une démo

À lire aussi

Métiers
Agent IA comptable PME : ce qu'on peut vraiment automatiser en 2026
Méthode
Déployer une équipe d'agents IA en PME : méthode en 4 semaines