← Ressources formation

Guide pratique 2026

Claude & RGPD :
Ce que vous devez savoir en tant que dirigeante

Claude est-il conforme au RGPD ? Quelle version utiliser avec des données sensibles ? Comment signer un DPA ? Ce guide répond à toutes les questions pratiques — sans jargon.

CS Consulting Stratégique · Catherine Selosse · Mai 2026

Sommaire

  1. Les 3 versions de Claude — laquelle utiliser ?
  2. Comparatif RGPD : Claude vs ChatGPT
  3. Le DPA — ce contrat obligatoire que personne ne signe
  4. Quelles données peut-on envoyer à Claude ?
  5. AI Act 2026 — ce qui change pour vous
  6. Les 5 étapes pour utiliser Claude en conformité
  7. Les sanctions si vous ne faites rien
  8. Lexique — les termes à connaître
1

Les 3 versions de Claude — laquelle utiliser ?

La conformité RGPD de Claude dépend entièrement de la version que vous utilisez. La version gratuite est insuffisante pour un usage professionnel avec données clients.

⚠ Usage personnel
Claude Gratuit
  • 🚫 Pas de DPA possible
  • 🚫 Serveurs US (Virginia)
  • ✅ Pas d'entraînement (depuis août 2024)
  • ✅ Conservation 90 jours
  • ✅ Mode "Temporary chat"
0 € — Pour tester uniquement
✅ Recommandé TPE/PME
Claude Pro / for Work
  • ✅ DPA disponible en 48h
  • ✅ Data residency Europe (Frankfurt / Paris)
  • ✅ Zéro entraînement garanti contractuellement
  • ✅ Conservation paramétrable (7 à 365 jours)
  • ✅ Support conformité dédié
20 € / utilisateur / mois
✅ Grandes structures
Claude Enterprise
  • ✅ DPA sur mesure
  • ✅ Déploiement 100% EU possible
  • ✅ Zéro entraînement + audit Ernst & Young
  • ✅ Conservation de 1 jour à 5 ans
  • ✅ Customer Success Manager dédié
Sur devis — ETI / Grands comptes
Bonne nouvelle pour les TPE

Claude for Work à 20€/mois offre le meilleur rapport conformité/prix du marché. C'est moins cher que ChatGPT Business (25€/mois) et plus conforme RGPD natif.

2

Comparatif RGPD : Claude vs ChatGPT

Claude a été conçu avec la conformité RGPD en tête dès le départ. Voici les différences clés avec ChatGPT.

Critère
Claude Gratuit
Claude for Work
ChatGPT Plus
DPA disponible
En 48h
⚠️ 5-10 jours
Serveurs Europe
US seulement
Frankfurt / Paris
⚠️ Option payante
Pas d'entraînement
Depuis août 2024
Garanti contrat
⚠️ À désactiver
Conservation données
90 jours
Paramétrable
Illimitée (gratuit)
Certification ISO 27701
Jan. 2026
Jan. 2026
Satisfaction RGPD
92%
67%
3

Le DPA — ce contrat obligatoire que personne ne signe

Le DPA (Data Processing Addendum) est le contrat qui fait de Claude votre sous-traitant au sens du RGPD. Sans lui, vous n'avez aucune base légale pour traiter des données clients avec Claude.

Obligatoire dès lors que vous traitez des données personnelles avec Claude

Article 28 du RGPD : tout traitement de données personnelles par un sous-traitant doit faire l'objet d'un contrat. Sans DPA, vous êtes en infraction — même si vous utilisez Claude for Work.

Ce que le DPA garantit concrètement

  • Zéro entraînement sur vos données — garanti contractuellement et audité par Ernst & Young (septembre 2025)
  • Localisation des données — vos données restent dans la région EU que vous avez choisie
  • Suppression garantie — à l'expiration, données supprimées définitivement, irrécupérables même par Anthropic
  • Droit d'audit — vous pouvez demander une vérification de conformité
  • Clauses contractuelles types UE — pour tout transfert résiduel vers les États-Unis

Comment obtenir le DPA en 2026 (5 minutes)

1

Connectez-vous à votre dashboard Claude for Work

claude.ai → Settings → Legal & Compliance

2

Téléchargez le DPA pré-signé (PDF)

Depuis janvier 2026, Anthropic propose un DPA en self-service. Plus besoin d'attendre 48h.

3

Contresignez électroniquement

Via la plateforme Anthropic ou par email à support@anthropic.com (objet : "DPA Request - [Nom entreprise]")

4

Conservez une copie dans votre registre RGPD

Le DPA est votre preuve de conformité en cas de contrôle CNIL.

4

Quelles données peut-on envoyer à Claude ?

La réponse dépend de votre version et de la nature des données. Voici la grille de décision claire.

Type de données Claude Gratuit Claude for Work (EU)
Données publiques, marketing, brainstorming Autorisé Autorisé
Données internes non nominatives (procédures, budgets) ⚠️ Avec prudence Autorisé
Données clients identifiables (noms, emails, contrats) Interdit Avec DPA signé
Données RH (salaires, évaluations, dossiers) Interdit ⚠️ AIPD obligatoire
Données de santé / données sensibles art. 9 RGPD Interdit LLM local uniquement
Données financières (IBAN, RIB, numéros de carte) Interdit LLM local uniquement
La règle d'or — Le réflexe DDO

Avant chaque envoi à Claude : Département (qui utilise ?) + Donnée (quelle nature ?) + Outil (où ça part ?). Si Donnée = sensible ET Outil = cloud public → STOP. Solution isolée obligatoire.

5

AI Act 2026 — ce qui change pour vous

Claude est un modèle d'IA à usage général (GPAI). L'AI Act s'applique donc à Anthropic — et à vous en tant qu'utilisatrice.

Ce qu'Anthropic doit faire (ce n'est pas votre problème)

Documentation technique exhaustive, politique droits d'auteur, résumé des données d'entraînement, watermarking des contenus générés. Anthropic s'y conforme. Vous n'avez rien à faire sur ce point.

Ce que vous devez faire en tant que "déployeur"

1

Former vos équipes OBLIGATOIRE depuis fév. 2025

L'AI Literacy est en vigueur. Une session d'1h sur les bons usages et les risques suffit pour une TPE. C'est ce qu'on fait ce soir.

2

Cartographier vos outils IA OBLIGATOIRE

Listez tous les outils IA utilisés dans votre structure. C'est votre registre AI Act + RGPD en un seul document.

3

AIPD si usage à haut risque OBLIGATOIRE si concerné

Usage haut risque : recrutement automatisé, scoring clients, évaluation salariés. Si Claude aide à prendre une décision impactant des droits → AIPD obligatoire.

4

Supervision humaine systématique OBLIGATOIRE

Aucun contenu produit par Claude (email, document, contrat) ne peut être envoyé ou signé sans relecture humaine. Human in the loop = obligation légale.

5

Transparence clients OBLIGATOIRE

Mentionner dans vos CGV si vous utilisez l'IA dans vos prestations. Une phrase suffit.

Digital Omnibus — accord du 7 mai 2026

Les obligations pour les systèmes à haut risque ont été repoussées du 2 août 2026 au 2 décembre 2027. Ce n'est pas une raison de reporter — c'est une fenêtre d'avance à saisir maintenant.

6

Les 5 étapes pour utiliser Claude en conformité

Ce que vous faites cette semaine pour être conforme. Dans l'ordre.

1

Passez à Claude for Work Aujourd'hui

claude.ai → Upgrade → Claude for Work (20€/mois). Activez Data Residency Europe (Frankfurt ou Paris) dans Settings → Data Residency.

2

Signez le DPA Cette semaine

Dashboard → Settings → Legal & Compliance → Télécharger et signer. Conservez-le avec votre registre RGPD.

3

Activez votre prompt Secure Guard Immédiat

Collez le prompt Secure Guard au début de chaque nouvelle conversation. Votre pare-feu est actif. Il bloque les injections et alerte sur les données sensibles.

4

Complétez le template de gouvernance Ce mois-ci

Cartographiez vos outils, rédigez vos 3 règles d'or, formez votre équipe en 1h. Document dans votre pack ce soir.

5

Mettez à jour vos CGV Ce trimestre

Ajoutez une clause IA dans vos contrats clients. Une phrase : "Dans le cadre de nos prestations, nous utilisons des outils d'IA conformes au RGPD avec données hébergées en Europe."

7

Les sanctions si vous ne faites rien

Les amendes s'appliquent en pourcentage du chiffre d'affaires pour les TPE/PME — pas en montant fixe. C'est ce qui vous concerne.

35 M€ ou 7% AI Act — Pratiques interdites (notation sociale, surveillance biométrique masse)
15 M€ ou 3% AI Act — Systèmes haut risque non conformes (RH, scoring, santé)
20 M€ ou 4% RGPD — Violations graves (pas de DPA, transfert hors UE non encadré)
La réalité pour une TPE

Vous ne serez pas la première cible des régulateurs. Mais un incident client, une plainte, une fuite de données — et la CNIL peut être saisie. La conformité protège aussi votre réputation et votre relation client.

8

Lexique — les termes à connaître

Les définitions que vous entendrez et que vous devez pouvoir expliquer à vos clients.

AIPD
Analyse d'Impact sur la Protection des Données. Document obligatoire avant de déployer une IA traitant des données sensibles. Prouve que vous avez évalué les risques.
DPA
Data Processing Addendum. Contrat entre vous (responsable de traitement) et Claude/Anthropic (sous-traitant). Obligatoire dès que vous traitez des données personnelles.
GPAI
General Purpose AI — IA à usage général. Claude, ChatGPT, Gemini sont des GPAI. Les fournisseurs ont des obligations spécifiques AI Act depuis août 2025.
Data residency
Localisation géographique du stockage de vos données. Avec Claude for Work, vous pouvez forcer l'hébergement en Europe (Frankfurt ou Paris).
Training vs Inférence
Training = l'IA apprend avec vos données (risque). Inférence = l'IA traite votre requête et oublie (sûr). Les offres Pro et Enterprise = inférence uniquement.
Shadow AI
Utilisation d'outils IA par vos collaborateurs sans cadre défini par la direction. C'est un risque RGPD — et votre argument commercial pour proposer un cadre.
Prompt injection
Instructions cachées dans un document envoyé à une IA pour la manipuler à l'insu de l'utilisateur. Le prompt Secure Guard vous protège de ce type d'attaque.
Human in the loop
Principe AI Act : un humain doit rester en mesure de contrôler et valider les décisions ou contenus produits par une IA. Obligation légale pour les usages à impact.
LLM local (Ollama)
Modèle de langage installé directement sur votre ordinateur. Aucune donnée ne sort. Gratuit, fonctionne hors-ligne. Idéal pour données ultra-sensibles.
Watermarking
Obligation AI Act : tout contenu généré par IA doit pouvoir être identifié comme tel (tatouage numérique). S'applique aux textes, images, vidéos générés.

CS Consulting Stratégique · Catherine Selosse

Vous accompagner pour reprendre le contrôle du digital dans votre entreprise.

Sources : Anthropic Privacy Policy 2026 · CNIL · AI Act Regulation UE 2024/1689 · Leto.legal