Déployer l'IA en conformité RGPD : guide pratique 2026

LLMs, agents et systèmes RAG traitent des données personnelles. RGPD et EU AI Act créent un cadre de conformité croisé. Ce guide couvre les obligations concrètes pour les PME belges.

Checklist RGPD × IA en 2026

1

Base légale du traitement

L'utilisation d'un LLM pour traiter des données personnelles requiert une base légale explicite : intérêt légitime (souvent insuffisant), consentement, ou exécution d'un contrat. Documenter dans le registre des traitements.

2

DPA avec le fournisseur LLM

Si vous envoyez des données personnelles à OpenAI, Anthropic ou Google : Data Processing Agreement (DPA) obligatoire. Tous proposent un DPA standard mais les conditions de rétention des données varient.

3

Transferts hors UE

OpenAI (US), Anthropic (US) : vérifier que le DPA inclut les clauses contractuelles types (CCT/SCC) pour les transferts EU-US. Azure OpenAI avec résidence de données EU : solution plus sûre pour les données sensibles.

4

AIPD si nécessaire

Analyse d'Impact sur la Protection des Données (AIPD/DPIA) obligatoire si traitement à grande échelle de catégories spéciales (santé, biométrie) ou profilage systématique.

5

Droits des personnes

Les systèmes IA doivent permettre l'exercice des droits : accès, rectification, effacement, opposition. Prévoir un processus pour tracer et supprimer les données d'un individu dans les embeddings RAG.

6

Décisions automatisées

Art. 22 RGPD : les décisions entièrement automatisées avec effet juridique nécessitent un droit à l'explication et un recours humain. Critique pour le crédit, le recrutement, la santé.

Solutions techniques de conformité

Anonymisation avant LLM

Détecter et remplacer les PII (noms, emails, NISS) avant l'envoi au LLM. Outils : Microsoft Presidio (open-source), AWS Comprehend PII, ou pipeline custom spaCy/GLiNER.

Déploiement on-premise

Llama 4 ou Mistral Large sur serveur belge/européen. Aucun transfert externe. Idéal pour les cabinets médicaux, études juridiques, RH.

Azure OpenAI avec résidence EU

Option "EU Data Boundary" garantit que les données restent dans les data centers européens. SOC2, ISO27001, conformité RGPD contractuellement garantie.

Chiffrement différentiel

Pour les embeddings RAG contenant des données personnelles : chiffrement par client. La clé de chiffrement sert d'effectuer le "droit à l'oubli" sans rebuild de l'index.

Les 3 risques les plus fréquents

Mémorisation LLM : les LLMs fine-tunés peuvent mémoriser des données d'entraînement et les restituer. Ne jamais fine-tuner sur des données personnelles sans anonymisation et vérification de mémorisation.
Logs non sécurisés : les prompts contenant des PII sont souvent loggués par défaut. Désactiver les logs ou les anonymiser dans les environnements de production.
RAG sans contrôle d'accès : si le RAG indexe des documents confidentiels, un utilisateur non autorisé peut extraire des informations sensibles via des prompts habiles. Implémenter le contrôle d'accès au niveau des chunks.

Audit de conformité IA gratuit

Molderez Consult évalue votre conformité EU AI Act et RGPD.

Demander mon audit

AI implementeren conform AVG: praktische gids 2026

LLMs, agents en RAG-systemen verwerken persoonsgegevens. AVG en EU AI Act creëren een gecombineerd compliancekader. Deze gids behandelt de concrete verplichtingen voor Belgische kmo's.

AVG × AI-checklist 2026

1

Rechtsgrond voor verwerking

Het gebruik van een LLM voor de verwerking van persoonsgegevens vereist een expliciete rechtsgrond: gerechtvaardigde belangen, toestemming of uitvoering van een contract. Documenteer in het verwerkingsregister.

2

VBO met de LLM-leverancier

Als u persoonsgegevens stuurt naar OpenAI, Anthropic of Google: een Verwerkersovereenkomst (VBO/DPA) is verplicht.

3

Overdrachten buiten de EU

OpenAI (VS), Anthropic (VS): controleer of de VBO de standaard contractbepalingen (SCC) voor EU-VS-overdrachten bevat. Azure OpenAI met EU-gegevensresidentie is veiliger voor gevoelige gegevens.

4

DPIA indien nodig

Gegevensbeschermingseffectbeoordeling verplicht bij grootschalige verwerking van bijzondere categorieën of systematische profilering.

5

Rechten van betrokkenen

AI-systemen moeten de uitoefening van rechten mogelijk maken: inzage, rectificatie, verwijdering, bezwaar. Plan een proces voor het traceren en verwijderen van individuele gegevens in RAG-embeddings.

Gratis AI-conformiteitsaudit

Molderez Consult evalueert uw EU AI Act en AVG-conformiteit.

Mijn audit aanvragen

Deploying AI in GDPR Compliance: Practical Guide 2026

LLMs, agents and RAG systems process personal data. GDPR and EU AI Act create a cross-compliance framework. This guide covers concrete obligations for Belgian SMEs.

GDPR × AI Checklist 2026

1

Legal basis for processing

Using an LLM to process personal data requires an explicit legal basis: legitimate interest (often insufficient), consent, or contract performance. Document in the processing register.

2

DPA with the LLM provider

If you send personal data to OpenAI, Anthropic or Google: a Data Processing Agreement (DPA) is mandatory. All providers offer a standard DPA, but data retention conditions vary.

3

Transfers outside the EU

OpenAI (US), Anthropic (US): verify the DPA includes Standard Contractual Clauses (SCCs) for EU-US transfers. Azure OpenAI with EU data residency is safer for sensitive data.

4

DPIA if required

Data Protection Impact Assessment mandatory for large-scale processing of special categories or systematic profiling.

5

Data subject rights

AI systems must support rights: access, rectification, erasure, objection. Plan a process for tracing and deleting individual data in RAG embeddings.

6

Automated decisions

GDPR Art. 22: fully automated decisions with legal effect require a right to explanation and human recourse. Critical for credit, recruitment, healthcare.

Technical Compliance Solutions

PII anonymisation before LLM

Detect and replace PII (names, emails, national IDs) before sending to the LLM. Tools: Microsoft Presidio (open-source), AWS Comprehend PII, or custom spaCy/GLiNER pipeline.

On-premise deployment

Llama 4 or Mistral Large on a Belgian/European server. No external transfer. Ideal for medical practices, law firms, HR departments.

Azure OpenAI with EU residency

"EU Data Boundary" option guarantees data stays in European data centres. SOC2, ISO27001, GDPR contractually guaranteed.

Differential encryption

For RAG embeddings containing personal data: per-client encryption. The encryption key serves as the "right to erasure" without rebuilding the index.

Free AI Compliance Audit

Molderez Consult assesses your EU AI Act and GDPR compliance.

Request my audit