Données clients
Un simple copier-coller d’un email client, d’un historique de commande ou d’un ticket SAV dans une IA externe peut créer un traitement de données personnelles non maîtrisé.
Shadow AI • RGPD • Cloud Act • LLM souverains
Utiliser l’IA sans perdre le contrôle.
Dans beaucoup de PME, les salariés utilisent déjà ChatGPT, Copilot, Gemini, des extensions IA et des comptes personnels. Le problème n’est pas l’IA. Le problème, c’est l’absence de cadre.
J’aide les PME à transformer ces usages invisibles en gouvernance maîtrisée : audit Shadow AI, charte interne, cartographie des flux, alternatives IA souveraines et déploiement de LLM en France.
Approche technique + gouvernance opérationnelle. Je ne remplace pas votre avocat ni votre DPO :
je rends les risques visibles, documentables et actionnables.
Réalité terrain des PME
Vos salariés ont peut-être déjà osé l’IA. Votre gouvernance, elle, n’a pas encore suivi.
Le dirigeant pense souvent “nous n’avons pas encore de projet IA”. En réalité, l’IA est parfois déjà utilisée dans les emails, les devis, les fichiers clients, les comptes rendus, les tableaux Excel ou les documents internes.
Flux et sous-traitants
Le vrai sujet n’est pas seulement l’outil : c’est le flux. Qui reçoit la donnée ? Où est-elle traitée ? Combien de temps est-elle conservée ? Qui peut y accéder ?
Preuve de maîtrise
En matière RGPD, être prudent ne suffit pas. Il faut pouvoir démontrer une démarche : cadre d’usage, information, sécurité, sous-traitance, registre, minimisation.
La note de synthèse
L’IA n’est plus seulement un projet informatique. Elle est devenue un usage salarié. La gouvernance IA devient donc un sujet de direction générale.
“Avant, les données fuyaient par une faille technique. Aujourd’hui, elles peuvent partir par copier-coller.”
La priorité n’est pas d’interdire l’IA. La priorité est de la rendre visible, encadrée et compatible avec les obligations de l’entreprise.Le lien concret IA & RGPD
L’IA devient un sujet RGPD dès qu’elle traite une donnée liée à une personne identifiable.
Le lien IA/RGPD n’est pas théorique : il apparaît dès qu’une IA reçoit, analyse, résume ou génère du contenu à partir d’informations liées à une personne physique.
La donnée entre dans l’outil
Un salarié colle un email, un CV, un devis, un contrat ou un fichier client dans une IA.
Le modèle traite l’information
Résumé, scoring, reformulation, extraction, classement, réponse ou génération.
Un fournisseur devient impliqué
API, cloud, logs, sous-traitants, accès support, conservation et conditions contractuelles.
Le traitement doit être cadré
Finalité, base légale, minimisation, information, sécurité, sous-traitance et transfert éventuel.
L’entreprise doit pouvoir prouver
Le sujet n’est pas “promettre la conformité”, mais mettre en place une démarche documentée et vérifiable.
Positionnement crédible
Je ne suis pas un cabinet d’avocats. Je suis le chaînon opérationnel entre la technique IA et la gouvernance RGPD.
Cette nuance est essentielle. Elle rend la promesse plus solide : je ne délivre pas une “certification juridique”, j’aide l’entreprise à reprendre la maîtrise technique, documentaire et organisationnelle de ses usages IA.
Traduire le risque en actions concrètes
- Identifier les usages IA réellement présents dans l’entreprise.
- Cartographier les données potentiellement exposées.
- Repérer les flux sensibles et les outils non validés.
- Créer une charte IA compréhensible par les salariés.
- Proposer des alternatives techniques souveraines quand c’est nécessaire.
Remplacer votre conseil juridique
- Je ne délivre pas d’avis juridique opposable.
- Je ne certifie pas la conformité RGPD absolue d’une entreprise.
- Je ne me substitue pas à un DPO, un avocat ou un juriste interne.
- Je prépare le terrain technique et documentaire pour faciliter la validation.
- Je peux travailler avec votre DPO ou votre conseil juridique.
La fracture du marché
Les techniciens IA ne lisent pas toujours le RGPD. Les juristes RGPD ne déploient pas de LLM.
Les PME se retrouvent entre deux mondes qui ne se comprennent pas. C’est précisément là que se situe la valeur : traduire le droit en architecture technique, et la technique en risque maîtrisé.
Le monde technique
Il maîtrise les workflows, API, modèles, agents, connecteurs et automatisations.
- Il confond souvent “opérationnel” et “maîtrisé”.
- Il appelle des API externes sans cartographier le flux de données.
- Il livre un outil, mais rarement une gouvernance.
- Il oublie souvent la preuve documentaire et l’encadrement salarié.
Le monde RGPD
Il maîtrise les textes, les bases légales, les sous-traitants, l’information et les analyses d’impact.
- Il ne sait pas toujours ce qu’est un LLM, un RAG, une API ou un endpoint.
- Il rédige un rapport, mais ne sait pas installer d’alternative.
- Il parle d’hébergement souverain sans toujours comprendre le flux réel.
- Il explique le risque, mais laisse souvent l’entreprise sans solution opérationnelle.
Parcours terrain
Six situations courantes, classées dans l’ordre où elles apparaissent le plus souvent dans une PME.
Le dirigeant qui croit ne pas avoir d’IA
Aucun projet IA officiel. Aucun budget. Aucun outil validé. Pourtant, les équipes utilisent déjà des assistants pour les mails, les devis, les comptes rendus et les fichiers.
Le risque existe avant même que la direction décide de “lancer l’IA”.
Le projet n’a pas commencé officiellement. Le risque, lui, a déjà commencé.
Les données qui sortent par copier-coller
Un salarié colle un mail client, un devis ou un document interne dans un assistant IA pour gagner du temps. Le geste est simple, mais le contenu peut être sensible.
Sans consigne claire, le risque vient moins de l’outil que de l’usage quotidien.
Le sujet n’est pas seulement l’outil. C’est le comportement qu’il déclenche.
Le workflow commercial brillant mais exposant
Une PME automatise ses relances. L’outil lit les emails clients, les historiques d’achat et génère des réponses via un modèle externe.
Le ROI est réel, mais personne n’a documenté le traitement, le fournisseur, la conservation ni le transfert éventuel.
Un workflow IA sans gouvernance, c’est une performance qui peut devenir une preuve contre vous.
Le cloud “européen” qui rassure trop vite
L’entreprise pense être protégée parce que l’outil affiche un hébergement en Europe. Mais elle n’a pas regardé les accès support, les logs, les sous-traitants ni les rôles réels.
La localisation compte. Mais sans gouvernance du traitement, elle ne suffit pas.
Un serveur en Europe n’est pas une politique de sécurité.
Le prestataire cloud choisi sans lecture complète
Le contrat est signé, l’outil fonctionne, mais personne n’a vraiment vérifié les conditions, les sous-traitants, les journaux techniques et les responsabilités exactes.
La technique est en place, mais la maîtrise du risque ne l’est pas encore.
Un bon outil mal cadré reste un mauvais choix.
L’audit RGPD qui interdit sans remplacer
Un consultant détecte l’usage de ChatGPT et recommande de l’interdire. Les salariés continuent, mais avec leurs comptes personnels.
Sans alternative technique, l’interdiction crée plus de Shadow IA qu’elle n’en supprime.
Interdire l’IA sans fournir de solution, c’est déplacer le risque dans l’ombre.
Pourquoi agir maintenant
Quand les outils IA ou cloud sont mal cadrés, le risque n’est pas seulement technique. Il peut devenir juridique, financier et réputationnel.
“Dans les cas les plus graves, le RGPD prévoit jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial.”
Le bon objectif n’est pas de faire peur. Le bon objectif est de reprendre le contrôle avant qu’un usage mal cadré ne devienne un vrai problème.Missions proposées
Une méthode simple : révéler, encadrer, sécuriser.
L’objectif n’est pas de “vendre de l’IA”. L’objectif est de reprendre le contrôle des usages déjà présents, puis de déployer des alternatives maîtrisées là où le risque est trop élevé.
Audit Shadow AI
Cartographie des usages invisibles et score d’exposition.
950€ HT à partir de
- Questionnaire dirigeants / équipes.
- Identification des outils IA utilisés.
- Analyse des données potentiellement exposées.
- Score de risque IA & RGPD.
- Plan d’action priorisé.
Gouvernance IA & RGPD
Le cadre opérationnel pour oser l’IA sans perdre le contrôle.
2 500€ HT à partir de
- Audit Shadow AI inclus.
- Charte IA interne.
- Règles salariés : autorisé / interdit.
- Formation courte des équipes.
- Dossier de cadrage à faire valider par votre DPO / conseil juridique.
LLM souverain
Alternative technique pour les usages sensibles et récurrents.
5 000€ HT à partir de
- Automatisation des flux métier.
- Modèle open source ou endpoint souverain.
- Hébergement sur votre propre compte OVH / Scaleway / prestataire UE.
- Documentation technique et gouvernance associée.
- Formation administrateur.
Qui intervient ?
Yannick SANS
J’interviens auprès d’entreprises et de professions réglementées, avec une vraie pratique terrain.
J’ai travaillé pour des avocats, des commissaires de justice, une clinique de cardiologie et des acteurs de la grande distribution.
Côté technique, je m’appuie sur Cloudflare, AWS, OVH, VPS, DNS, n8n, automatisations, agents IA et infrastructures cloud.
Mon rôle est simple : rendre les usages IA visibles, gouvernés et techniquement maîtrisés, sans confusion avec un avis juridique.
TechniqueCloudflare, AWS, OVH, VPS, DNS, n8n, automatisations.
GouvernanceCharte IA, cartographie d’usages, documentation, formation.
SouverainetéAlternatives open source, hébergement France/UE, réduction des flux externes.
Repères utiles
Des repères simples pour prendre de bonnes décisions sur l’IA.
Ces références servent à cadrer l’approche, à éviter les mauvaises décisions et à passer plus vite à l’action.
Un point de départ utile pour adopter l’IA dans une petite structure. Voir la ressource
Des repères clairs pour utiliser l’IA sans négliger les données et la conformité. Voir la ressource
À connaître quand on travaille avec certains fournisseurs et des données sensibles. Voir la ressource
Ce qu’il faut savoir
Pourquoi vos outils IA américains posent une vraie question de données.
Le 3 septembre 2025, le Tribunal de l’Union européenne a rejeté la demande d’annulation dans l’affaire Latombe v. Commission (T-553/23). Le cadre EU-US Data Privacy Framework reste donc en vigueur, mais pour une PME, la vraie question reste la même : quels outils envoient vos données, lesquelles, et avec quelles garanties.
Le cadre existe, mais il peut évoluer
Aujourd’hui, certains transferts vers des entreprises américaines sont possibles dans un cadre précis. Mais ce cadre reste surveillé, révisable et dépendant des décisions européennes et américaines.
Le vrai risque, c’est l’usage invisible
Beaucoup d’entreprises utilisent déjà des outils IA ou cloud sans savoir précisément où passent les données, qui y accède, ni si le choix du fournisseur est cohérent avec leurs contraintes internes.
Le bon réflexe pour une PME
Cartographier les flux, choisir les bons outils, limiter ce qui sort de l’entreprise et documenter les décisions importantes plutôt que subir le sujet.
Osez l’IA, mais pas le risque.
Entre l’ambition nationale et la réalité terrain des PME, il manque un pont : gouvernance, RGPD opérationnel, Cloud Act, formation et alternatives souveraines.
Demander un diagnostic confidentiel
Les informations transmises servent uniquement à traiter votre demande. Aucun diagnostic juridique ne sera délivré sans cadrage spécifique.