RGPD12 avril 2026· 10 min de lecture

RGPD et IA en cabinet comptable : le guide de conformite 2026

Le RGPD et l'AI Act imposent des regles precises sur l'utilisation de l'intelligence artificielle avec des donnees personnelles. Ce guide detaille les obligations specifiques aux cabinets d'expertise comptable.

Les donnees traitees par un cabinet comptable : toutes sensibles

Un cabinet d'expertise comptable manipule quotidiennement des donnees personnelles au sens du RGPD : noms et coordonnees des clients et de leurs salaries, numeros de securite sociale, releves bancaires, declarations fiscales, bulletins de paie, historiques de transactions.

Ces donnees relevent de categories protegees. Leur traitement par un outil d'intelligence artificielle est soumis a des obligations specifiques que beaucoup de cabinets ignorent ou sous-estiment.

Les 5 obligations RGPD pour l'utilisation de l'IA en cabinet

1. Base legale du traitement

Avant d'utiliser un outil d'IA avec des donnees client, vous devez identifier votre base legale. Pour un cabinet comptable, c'est generalement l'interet legitime (article 6.1.f du RGPD) ou l'execution du contrat de mission (article 6.1.b). Mais attention : l'interet legitime exige une mise en balance avec les droits des personnes concernees.

2. Information des personnes

Les clients dont les donnees sont traitees par un outil d'IA doivent en etre informes. Cette information doit figurer dans votre lettre de mission ou dans un avenant specifique. Elle doit preciser : la nature du traitement, les donnees concernees, la finalite, les destinataires, et la duree de conservation.

3. Analyse d'impact (AIPD)

L'utilisation de l'IA pour traiter des donnees financieres a grande echelle peut necessiter une Analyse d'Impact relative a la Protection des Donnees. C'est le cas si le traitement implique un profilage, un traitement a grande echelle de donnees sensibles, ou une surveillance systematique.

4. Encadrement des sous-traitants

L'editeur de votre outil d'IA est un sous-traitant au sens du RGPD. Vous devez verifier : ou sont heberges les serveurs, si les donnees sont transferees hors UE, quelles mesures de securite sont en place, et si un contrat de sous-traitance (article 28) est signe.

Point critique : les outils grand public (ChatGPT, Google Gemini) ne signent generalement pas de contrat de sous-traitance avec leurs utilisateurs individuels. Leur utilisation avec des donnees client constitue donc une violation du RGPD.

5. Transferts hors UE

Depuis l'arret Schrems II (2020), le transfert de donnees personnelles vers les Etats-Unis est encadre par le Data Privacy Framework. Mais ce cadre est conteste et pourrait etre invalide. Pour un cabinet comptable, le risque juridique est donc reel : utiliser un outil americain avec des donnees personnelles de clients europeens vous expose a une non-conformite.

L'AI Act : ce qui change en 2025-2026

L'AI Act europeen ajoute une couche supplementaire d'obligations. Depuis fevrier 2025, l'article 4 impose une obligation de formation a l'IA pour tous les professionnels qui utilisent des systemes d'intelligence artificielle.

Pour les cabinets comptables, cela signifie :

  • Former les collaborateurs aux risques de l'IA (biais, hallucinations, confidentialite)
  • Documenter les outils d'IA utilises dans le cabinet
  • Mettre en place des procedures de verification des resultats de l'IA
  • Designner un responsable de la conformite IA

Les sanctions : jusqu'a 20 millions d'euros

Les sanctions RGPD peuvent atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus eleve). En 2025, la CNIL a prononce plusieurs sanctions contre des entreprises utilisant des outils d'IA sans cadre de conformite.

Pour un cabinet comptable, les risques vont au-dela des sanctions financieres : perte de confiance des clients, sanctions disciplinaires de l'Ordre, et responsabilite civile en cas de fuite de donnees.

Checklist de conformite : 10 points a verifier

  1. 1Base legale identifiee pour le traitement IA
  2. 2Information des clients (lettre de mission ou avenant)
  3. 3Contrat de sous-traitance avec l'editeur de l'IA (article 28)
  4. 4Hebergement des donnees en France ou en UE
  5. 5Politique de zero retention des donnees par l'IA
  6. 6Pas de transfert hors UE non encadre
  7. 7Charte d'usage de l'IA diffusee aux collaborateurs
  8. 8Formation des collaborateurs (obligation AI Act)
  9. 9Registre des traitements mis a jour
  10. 10Analyse d'impact realisee si necessaire

La solution : une IA souveraine et conforme

La facon la plus simple de respecter le RGPD avec l'IA est de choisir un outil qui elimine les risques a la source : hebergement en France, zero retention, pas de transfert hors UE, contrat de sous-traitance clair.

Un serveur dedie par cabinet ajoute une couche supplementaire : l'isolation complete. Vos donnees ne cohabitent avec celles d'aucun autre client. C'est l'equivalent numerique du coffre-fort individuel.

Articles lies

Secret professionnel et IA : pourquoi les experts-comptables ne peuvent pas utiliser ChatGPT

Cloud Act, secret professionnel et risques concrets pour les cabinets.

5 alternatives souveraines a ChatGPT pour les professions reglementees

Comparatif des outils conformes pour experts-comptables et avocats.

Lokia : conforme RGPD par conception

Lokia utilise l'API Mistral avec une politique contractuelle de zero retention. Hebergement OVH en France. Serveur dedie par cabinet. Anonymisation Presidio integree. Aucune donnee ne quitte le territoire francais.

Decouvrir Lokia
← Retour au blog