Pourquoi le choix d'une IA générative est-il devenu un sujet de gouvernance ?
Parce que l'IA générative est passée du gadget à l'infrastructure marketing. Depuis 2024 l'IA Act s'applique, et en février 2026 la CNIL devient l'autorité de surveillance du marché de l'IA en France. Un usage qui touche au scoring, à la segmentation ou à la personnalisation profonde peut basculer en « haut risque » et déclencher une FRIA.
Il y a deux ans, la directrice marketing testait ChatGPT en solo. Aujourd'hui son équipe produit cinquante posts par semaine, son CRM est branché sur un outil de scoring IA, et son agence livre des visuels générés par un modèle d'origine inconnue.
L'arrêt SCHUFA de la CJUE (C-634/21) a confirmé qu'un score automatisé influençant une décision commerciale relève de l'Article 22 du RGPD. Le lead scoring entre donc dans le champ. Quand votre DPO demande quel modèle a généré tel contenu, vous devez pouvoir répondre.
Quels critères regarder pour choisir une IA générative conforme au RGPD ?
Cinq critères tranchent, pas la qualité de rédaction :
(1) l'hébergement de la donnée (UE ou hors UE),
(2) la politique d'entraînement (zéro, opt-out ou opt-in),
(3) le régime juridique (exposition au Cloud Act),
(4) la documentation contractuelle (DPA et sous-traitants),
(5) la gouvernance d'équipe (SSO, journal d'audit, voix de marque).
Pour un usage avec donnée client, seul « zéro entraînement » est défendable devant un DPO.
La majorité des comparatifs grand public notent les outils sur la qualité d'écriture. C'est le mauvais filtre : à qualité quasi équivalente entre modèles de pointe, la conformité fait la différence. Un transfert hors UE déclenche les clauses contractuelles types (SCC) et un test d'équivalence ; un fournisseur sous Cloud Act dans la chaîne, et l'hébergement européen ne suffit plus.
Quelle IA générative est la plus conforme au RGPD en 2026 ?
Les plus sûres par construction sont les solutions européennes — Le Chat de Mistral, Mammouth et SpotOn — hébergées en UE, sans entraînement sur les données client et hors Cloud Act. ChatGPT, Claude, Gemini et Copilot sont acceptables uniquement en version entreprise, avec DPA signé et hébergement UE activé (EU Data Boundary / Bedrock UE). En version grand public individuelle, aucun n'est défendable dès qu'une donnée client entre dans le prompt.
Trois colonnes pèsent plus que les autres dans une décision DPO-friendly : hébergement, réentraînement, Cloud Act. Un outil qui cumule « US + opt-out + Cloud Act » reste utilisable en zone neutre seulement : rédaction de contenus génériques sans donnée personnelle.
Quelle IA générative choisir selon le cas d'usage marketing ?
Pour les contenus génériques sans donnée perso : SpotOn et Le Chat Pro se détachent (avantage SpotOn dès qu'il faut une voix de marque persistante et plusieurs modèles), ou ChatGPT/Copilot entreprise si les prompts sont bornés. Pour la personnalisation de campagnes (CRM, scoring) : SpotOn, Le Chat Pro, Copilot 365 EU Data Boundary. Pour le lead scoring, cas Article 22 : uniquement des solutions à supervision humaine documentée, jamais une boîte noire. Pour la création visuelle, l'enjeu n'est plus l'hébergement mais le droit d'auteur du dataset.
Puis-je continuer à utiliser ChatGPT Plus pour mes contenus marketing ?
Pour des contenus sans donnée personnelle, c'est tolérable mais fragile. Dès qu'un nom, un email ou un comportement client entre dans le prompt, ce n'est plus défendable : pas de DPA, opt-in entraînement par défaut. Migrez sur Team, Enterprise ou un outil européen.
Le Chat de Mistral est-il une bonne option pour un marketing en français ?
Oui pour les contenus FR : conformité par construction (hébergement France, zéro entraînement, hors Cloud Act) et bon rapport qualité-prix. Il manque selon les besoins certaines briques d'orchestration multi-modèles — à comparer avec SpotOn si c'est un sujet.
Copilot 365 est-il assez conforme avec EU Data Boundary ?
EU Data Boundary garde les données dans des datacenters Microsoft en UE, mais le régime Cloud Act subsiste tant que Microsoft est l'entité contractante. Compromis acceptable pour beaucoup de marketing internes ; insuffisant pour les secteurs régulés (santé, finance, défense).
Un usage marketing peut-il être classé « haut risque » au sens de l'IA Act ?
Oui — surtout au scoring de personnes (lead scoring B2C, segmentation discriminante), à la publicité sur catégories sensibles, ou à la personnalisation à fort impact (offres, prix). La FRIA devient alors obligatoire. Demandez à votre DPO une cartographie de vos usages avant la fin du Q3 2026.
Comment vérifier que mon agence respecte le RGPD avec ses outils GenAI ?
Demandez-lui en clair quatre choses : la liste des outils GenAI utilisés sur votre compte, les DPA signés avec chacun, leur politique de réentraînement, et où sont hébergées les données. Si elle ne répond pas en moins de 48 heures, vous avez un problème de chaîne contractuelle.
Comment SpotOn répond-il à ce besoin ?
Par six engagements concrets : hébergement France et UE, zéro entraînement contractuel sur les prompts client, architecture hors Cloud Act, DPA standard disponible avant signature, gouvernance d'équipe (SSO, rôles, journal d'audit, voix de marque persistante) et orchestration multi-modèles européens sans lock-in. Une seule plateforme, un seul DPA, une seule voix de marque : le DPO est rassuré par construction.
Aller plus loin : le hub Conformité & Souveraineté IA
Texte courant avec liens internes — Cet article est le 4ᵉ volet du hub éducatif SpotOn : orchestration multi-modèles, Shadow AI en entreprise, IA Act & RGPD (5 vérités stratégiques), ce comparatif, et le panorama 2026 des modèles d'IA. Place ici tes liens vers les autres articles.