Pourquoi le choix d'une IA générative est-il devenu un sujet de gouvernance ?
Parce que l'IA générative est passée du gadget à l'infrastructure marketing. Depuis 2024 l'IA Act s'applique, et en février 2026 la CNIL devient l'autorité de surveillance du marché de l'IA en France. Un usage qui touche au scoring, à la segmentation ou à la personnalisation profonde peut basculer en « haut risque » et déclencher une FRIA.
Il y a deux ans, la directrice marketing testait ChatGPT en solo. Aujourd'hui son équipe produit cinquante posts par semaine, son CRM est branché sur un outil de scoring IA, et son agence livre des visuels générés par un modèle d'origine inconnue.
L'arrêt SCHUFA de la CJUE (C-634/21) a confirmé qu'un score automatisé influençant une décision commerciale relève de l'Article 22 du RGPD. Le lead scoring entre donc dans le champ. Quand votre DPO demande quel modèle a généré tel contenu, vous devez pouvoir répondre.
Quels critères regarder pour choisir une IA générative conforme au RGPD ?
5 critères tranchent, pas la qualité de rédaction : (1) l'hébergement de la donnée (UE ou hors UE), (2) la politique d'entraînement (zéro, opt-out ou opt-in), (3) le régime juridique (exposition au Cloud Act), (4) la documentation contractuelle (DPA et sous-traitants), (5) la gouvernance d'équipe (SSO, journal d'audit, voix de marque). Pour un usage avec donnée client, seul « zéro entraînement » est défendable devant un DPO.
La majorité des comparatifs grand public notent les outils sur la qualité d'écriture. C'est le mauvais filtre : à qualité quasi équivalente entre modèles de pointe, la conformité fait la différence. Un transfert hors UE déclenche les clauses contractuelles types (SCC) et un test d'équivalence ; un fournisseur sous Cloud Act dans la chaîne, et l'hébergement européen ne suffit plus.
Quelle IA générative est la plus conforme au RGPD en 2026 ?
Les plus sûres par construction sont les solutions européennes — Le Chat de Mistral et Mammouth — hébergées en UE, sans entraînement sur les données client et hors Cloud Act. ChatGPT, Claude, Gemini et Copilot ne sont défendables qu'en version entreprise, avec DPA signé et hébergement UE activé (EU Data Boundary / Bedrock UE), et restent soumis au Cloud Act. En version grand public individuelle, aucun n'est défendable dès qu'une donnée client entre dans le prompt.
Trois colonnes pèsent plus que les autres dans une décision DPO-friendly : hébergement, réentraînement, Cloud Act. Un outil qui cumule « US + opt-out + Cloud Act » reste utilisable en zone neutre seulement : rédaction de contenus génériques sans donnée personnelle.
Quelle checklist suivre avant de choisir un outil d'IA générative ?
Dix points à cocher avant de signer : DPA signé et daté ; hébergement nommé (pays, régions) ; politique d'entraînement écrite noir sur blanc ; liste de sous-traitants accessible ; exposition au Cloud Act évaluée ; SSO d'entreprise actif ; journal d'audit des prompts ; voix de marque persistante ; cas d'usage bornés par équipe ; plan de sortie sans lock-in. Moins de huit cases cochées : le choix est prématuré.
Quelle IA générative choisir selon le cas d'usage marketing ?
Pour le contenu SEO & GEO (sans donnée personnelle) : SpotOn et Le Chat Pro — le choix du modèle est large. Pour la création visuelle et vidéo : SpotOn, l'enjeu principal étant le droit d'auteur du dataset, pas l'hébergement. Pour la personnalisation de campagnes (CRM, données personnelles) : privilégiez un modèle européen (Le Chat Pro, Copilot 365 EU Data Boundary). Pour le lead scoring, cas Article 22 : uniquement des solutions à supervision humaine documentée, jamais une boîte noire.
Puis-je continuer à utiliser ChatGPT Plus pour mes contenus marketing ?
Pour des contenus sans donnée personnelle, c'est tolérable mais fragile. Dès qu'un nom, un email ou un comportement client entre dans le prompt, ce n'est plus défendable : pas de DPA, opt-in entraînement par défaut. Migrez sur Team, Enterprise ou un outil européen.
Le Chat de Mistral est-il une bonne option pour un marketing en français ?
Oui pour les contenus FR : conformité par construction (hébergement France, zéro entraînement, hors Cloud Act) et bon rapport qualité-prix. Il manque selon les besoins certaines briques d'orchestration multi-modèles — à comparer avec Spoton si c'est un sujet.
Copilot 365 est-il assez conforme avec EU Data Boundary ?
EU Data Boundary garde les données dans des datacenters Microsoft en UE, mais le régime Cloud Act subsiste tant que Microsoft est l'entité contractante. Compromis acceptable pour beaucoup de marketing internes ; insuffisant pour les secteurs régulés (santé, finance, défense).
Un usage marketing peut-il être classé « haut risque » au sens de l'IA Act ?
Oui ! Surtout au scoring de personnes (lead scoring B2C, segmentation discriminante), à la publicité sur catégories sensibles, ou à la personnalisation à fort impact (offres, prix). La FRIA devient alors obligatoire. Demandez à votre DPO une cartographie de vos usages dans les prochains mois.
Comment vérifier que mon agence respecte le RGPD avec ses outils GenAI ?
Demandez-lui en clair quatre choses : la liste des outils GenAI utilisés sur votre compte, les DPA signés avec chacun, leur politique de réentraînement, et où sont hébergées les données. Si elle ne répond pas en moins de 48 heures, vous avez un problème de chaîne contractuelle.
Comment SpotOn répond-il à ce besoin ?
SpotOn est une couche d'orchestration, pas un hébergeur souverain : il s'appuie sur des modèles hébergés hors UE. Son intérêt n'est donc pas l'hébergement, mais la simplicité — réunir plusieurs IA dans un seul outil, via un seul abonnement, et conserver le contexte appris d'un modèle à l'autre. Pour les usages sans donnée personnelle — contenu SEO/GEO, création visuelle et vidéo — c'est un terrain idéal ; pour la donnée sensible, le choix d'un modèle européen reste préférable.
