RGPD et images d’IA : pourquoi les fondateurs s’inquiètent

Réglementation

Les questions du RGPD autour des images d’IA commencent généralement par des données personnelles, la base légale, les sous-traitants, la durée de conservation, les droits d’accès, et la question de savoir si le chemin du modèle est explicable.

Date
3 juillet 2026
Author
Unexposed

Un bureau de fondateur avec des cartes de flux de données vierges et une capsule scellée de téléversement d’image d’IA

Ce n’est pas un avis juridique. C’est le moment où les fondateurs cessent de sourire pendant la démo et commencent à demander ce que la base de données stocke.

L’inquiétude RGPD commence généralement par une question simple : l’image est-elle une donnée personnelle ? Si une image identifie une personne ou peut raisonnablement être reliée à une personne, la réponse peut être oui. Les visages sont le cas évident, mais le contexte peut aussi compter : badges, lieux, noms, documents, domiciles et autres indices peuvent transformer une image normale en donnée personnelle.

Vient ensuite la base légale. Pourquoi traitez-vous l’image ? Consentement ? Contrat ? Intérêts légitimes ? Autre chose ? La réponse dépend du produit, de la relation avec l’utilisateur, de la juridiction et du cas d’usage. « Parce que le point d’accès du modèle a accepté le téléversement » n’est pas une base légale du RGPD, ce qui est impoli mais compréhensible.

Les sous-traitants et sous-traitants ultérieurs viennent ensuite. Si votre fonctionnalité d’images d’IA envoie du contenu à un fournisseur tiers, vous devez comprendre cette relation. Quelles données y sont envoyées ? Selon quelles conditions ? Est-ce conservé ? Est-ce utilisé pour l’entraînement ou pour une revue de sécurité ? Peut-on le supprimer ? Qui est responsable de répondre aux demandes des utilisateurs ?

La durée de conservation est là que les fondateurs deviennent vraiment nerveux. Stockez-vous les téléversements ? Les sorties ? Les miniatures ? Les prompts ? Les jobs échoués ? Les journaux ? Les captures d’écran de support ? Si oui, pourquoi et pendant combien de temps ? Si la réponse est « jusqu’à ce que quelqu’un se souvienne de lancer le nettoyage », posez le café et éloignez-vous de la production.

L’Opinion 28/2024 de l’EDPB sur les modèles d’IA n’est pas une checklist produit pour chaque application d’images, mais elle renforce que les principes du RGPD continuent de s’appliquer autour des données personnelles dans des contextes de modèles d’IA. Un produit d’images d’IA ne devient pas exempt de responsabilité parce que sa sortie est impressionnante.

Le bon réflexe pratique du fondateur consiste à tracer le chemin des données. Qu’est-ce qui entre, où cela va, qui le reçoit, qu’est-ce qui est conservé, qu’est-ce qui est supprimé, et qu’est-ce qui reste comme données opérationnelles insensibles au contenu. Cette cartographie révélera le travail de confidentialité plus vite que de débattre abstraitement de « la conformité à l’IA ».

La conversation RGPD fait peur parce qu’elle transforme des ressentis en noms.

Mais c’est utile. Les noms peuvent être conçus.

Pour aller plus loin : Opinion 28/2024 de l’EDPB Opinion 28/2024, Vos données, et La promesse de confidentialité que les utilisateurs comprennent réellement.

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.