PilotCrew logoPilotCrew
★Vue d’ensembleCAgent vocalRRédac · contenuBBuzz · socialCCompta · financeAAssist · supportÉÉtoile · réputationPProspecto · salesDDevisco · devis▶Visite guidée (2 min)
🟢 En direct
📞 Tester Capi au téléphone
Appel gratuit, Capi vous répond en français en 2 sonneries.
+33 1 89 31 63 23 →
Guides PME7 secteurs · ROI · setupBlogInsights & actualitésBonnes pratiquesPlaybooks IA pour PMECas d’usageBibliothèque de scénariosAvis clientsTrustpilot · témoignagesÀ propos · FondateurCurtys ACCIPE · parcoursAgencesMarque blanche · reventeIntégrationsCal.com · Stripe · Slack…Visite guidée2 min · capi en démo
📘 Guide
EU AI Act : ce que les PME doivent préparer
Gratuit · 12 pages · échéance août 2026.
Lire le guide →
Centre d’assistanceHub support · FAQ · contactDocumentationAPI · setup · intégrationsChangelogNouveautés produitStatut systèmeDisponibilité en directCentre de confianceEU AI Act · RGPD · sécuCommunautéÉchanges & entraide
🟢 24/7
Une question ? Capi répond
Téléphone, chat, e-mail — la voix officielle PilotCrew.
Contacter le support →
🍽️ RestaurantRésa + avis + menus🔧 ArtisanDevis + SEO local + tournées🩺 MédecinRDV 24/7 + rappels SMS🛒 E-commerceFiches + posts + support💇 BeautéInsta + fidélisation💼 FreelanceLinkedIn + devis + factu🏠 ImmobilierAnnonces multi-portail + voice qualif
TarifsComparatifs
Appeler CapiConnexionEssai gratuit
Menu
FonctionnalitésComment ça marcheIntégrationsTarifsComparatifs

Agents IA

Agent vocal · CapiAgent contenu · RédacAgent social · BuzzAgent finance · ComptaAgent support · AssistAgent réputation · ÉtoileAgent prospection · ProspectoAgent devis · Devisco

Ressources

Visite guidée (2 min)BlogBonnes pratiquesCas d’usageAvis clientsAgences (marque blanche)

Assistance

Centre d’assistanceDocumentationChangelogStatut systèmeCentre de confianceEU AI ActCommunauté
ConnexionEssai gratuit
  1. Accueil
  2. /Conformité
  3. /Registre des traitements IA

Registre des traitements IA — Comment l'adapter pour vos agents

Le registre des traitements existe depuis 2018 dans toute organisation soumise au RGPD. Mais quand on y intègre des agents IA — chatbots, agents vocaux, scoring automatisé — il faut ajouter plusieurs champs spécifiques que la majorité des registres tiennent encore mal. Voici comment adapter votre registre en 2026, avec un template prêt à l'emploi.

ParCurtys ACCIPE·23 mai 2026·Dernière revue : 23 mai 2026

1. Rappel : qui doit tenir un registre ?

L'Article 30 du RGPD impose la tenue d'un registre des activités de traitement à toute organisation. Le texte est consultable sur EUR-Lex — Règlement (UE) 2016/679 (RGPD). Il existe une exception théorique pour les entreprises de moins de 250 salariés (Article 30.5), mais cette exception est en pratique inopérante : elle ne s'applique pas si le traitement n'est pas occasionnel, ou s'il comporte des catégories particulières de données (Art 9), ou s'il est susceptible de comporter un risque pour les droits et libertés. Tout agent conversationnel en production coche au moins une de ces trois cases. En clair : si vous avez un chatbot ou un agent vocal, vous devez tenir le registre.

La CNIL fournit un modèle de base et un guide détaillé sur cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement. Mais ce modèle de 2018 n'a pas été conçu pour l'IA générative. Les champs « finalité » et « sous-traitants » tels qu'ils sont ne suffisent plus à décrire un agent qui dialogue, mémorise, infère, recommande.

2. Les champs RGPD obligatoires (rappel rapide)

L'Article 30.1 impose au minimum les éléments suivants pour chaque traitement, quand vous êtes responsable :

  • Nom et coordonnées du responsable, du représentant, du DPO.
  • Finalités du traitement.
  • Catégories de personnes concernées et de données à caractère personnel.
  • Catégories de destinataires (en interne et en externe, y compris vers des pays tiers).
  • Le cas échéant, les transferts hors UE et les garanties applicables.
  • Délais d'effacement prévus pour chaque catégorie de données.
  • Description générale des mesures de sécurité techniques et organisationnelles.

Pour les sous-traitants (Article 30.2), la liste est un peu différente : il faut documenter les traitements faits au nom des clients responsables.

3. Les huit champs supplémentaires à ajouter pour l'IA

Pour qu'un registre couvre correctement un agent IA, j'ai identifié huit champs à ajouter au-delà du modèle CNIL standard. Ces champs sont alignés sur la doctrine CNIL en matière d'IA (publications 2023-2025 disponibles sur cnil.fr/fr/intelligence-artificielle) et sur les obligations émergentes de l'EU AI Act.

Champ 1 — Nature exacte du système IA

Type d'agent (chatbot texte, agent vocal, recommandation, scoring), architecture (RAG, fine-tuning, prompting), modèle utilisé (GPT-4o, Claude 4.7, Mistral Large, Gemini), niveau de risque AI Act estimé (inacceptable / haut / limité / minimal).

Champ 2 — Finalité IA précise

La finalité doit être décrite avec un niveau de granularité plus fin qu'une finalité métier classique. Pas seulement « relation client » mais « qualifier un prospect selon le BANT et lui proposer un créneau de rendez-vous dans le calendrier commercial ». Cette précision est essentielle pour justifier la minimisation des données.

Champ 3 — Décision automatisée oui/non (Article 22 RGPD)

L'agent prend-il ou influence-t-il significativement une décision à l'égard de la personne (refus, scoring, recommandation déterminante) ? Si oui, il faut documenter les garanties : information préalable, droit à l'intervention humaine, droit de contester. Si non, le dire explicitement.

Champ 4 — Origine et qualification des données d'entraînement

Pour les modèles de base, indiquez ce que vous savez (ou pas) des données d'entraînement du fournisseur LLM. Pour vos éventuels fine-tunings ou bases RAG : origine des documents, base légale de leur utilisation, niveau de sensibilité.

Champ 5 — Sous-traitants de la chaîne IA

Pas seulement le fournisseur LLM. La liste complète : modèle, transcripteur, synthèse vocale, base vectorielle, hébergement, monitoring. Pour chacun : adresse, DPA, localisation des données, mécanisme de transfert hors UE le cas échéant. Cette chaîne est souvent invisible pour le dirigeant alors que c'est l'essentiel du risque.

Champ 6 — Conservation des conversations et de l'audio

Distinguez : (a) le contenu actif (conversation en cours), (b) les transcriptions archivées, (c) l'audio brut, (d) les métadonnées techniques, (e) les apprentissages dérivés (éventuelles bases d'exemples pour amélioration). Pour chaque catégorie, durée précise et base de calcul.

Champ 7 — Mécanisme d'information AI Act Article 50

Décrire concrètement comment vous informez les personnes qu'elles interagissent avec une IA : phrase d'ouverture du bot, bannière du widget, mention dans l'email signature. Voir Article 50 — Deadline 2 août 2026.

Champ 8 — DPIA réalisée oui/non, référence

Si une DPIA a été conduite, mentionnez-la et indiquez son emplacement (référence interne, date, version). Si elle n'est pas requise, justifiez-le. Voir DPIA agent conversationnel.

4. Exemple concret — Agent vocal de qualification de prospects

Voici à quoi ressemble une fiche registre pour un agent vocal sortant qui qualifie des prospects. Cette fiche est synthétique et serait complétée dans votre outil registre (tableur, ProcessGov, OneTrust, ou le module CNIL).

  • Nom du traitement: Agent vocal sortant de qualification commerciale « Capi ».
  • Responsable : PilotCrew SAS, contact : contact@pilotcrew.io, DPO : Curtys ACCIPE.
  • Finalité IA précise: Appeler des prospects ayant donné leur consentement marketing, leur présenter l'offre PilotCrew, qualifier leur intérêt selon le BANT, fixer un rendez-vous dans Cal.com avec un commercial.
  • Catégories de personnes : Prospects B2B (dirigeants de PME françaises), majeurs uniquement.
  • Catégories de données : Nom, prénom, fonction, email professionnel, téléphone professionnel, société, contenu des conversations, enregistrement audio (avec consentement explicite), score de qualification.
  • Base légale: Intérêt légitime (Art 6.1.f) pour l'appel, consentement (Art 6.1.a) pour l'enregistrement.
  • Décision automatisée : Non, le score est consultatif. Un commercial humain valide tout passage en opportunité.
  • Système IA : Agent vocal VAPI avec Cartesia Sonic 3.5 (TTS), Gladia Solaria-1 (STT), Claude Sonnet 4.7 (raisonnement). Niveau de risque AI Act : limité.
  • Sous-traitants : VAPI Inc. (USA, DPA + CCT), Cartesia Inc. (USA, DPA + CCT), Gladia (France), Anthropic (USA, DPA + CCT + DPF), Telnyx (USA, telco, DPA + CCT), Supabase (UE-irlande), Vercel (USA, DPA + CCT + DPF).
  • Transferts hors UE : Oui, clauses contractuelles types et Data Privacy Framework pour les transferts vers les États-Unis.
  • Durées de conservation : transcriptions actives 90 jours, transcriptions archivées 12 mois, audio brut 30 jours, métadonnées 18 mois.
  • Information Article 50: phrase d'ouverture « Bonjour, je suis Capi, l'assistante IA de PilotCrew. » + possibilité de demander un humain à tout moment.
  • DPIA : oui, version 2026.05, signée par responsable de traitement.
  • Mesures de sécurité : chiffrement en transit (TLS 1.3) et au repos (AES-256), accès restreints par RLS Supabase, MFA obligatoire pour les admins, journalisation des accès, audit de sécurité annuel.

5. Outils pour tenir le registre en pratique

Pour une PME, trois options pragmatiques :

  • Le tableur: un Google Sheet ou un Excel structuré comme la fiche ci-dessus. Avantage : zéro coût, facile à partager. Inconvénient : la cohérence inter-fiches dépend de votre rigueur, pas d'historique propre.
  • Le modèle CNIL en ligne : la CNIL propose un modèle Word téléchargeable. Suffisant pour démarrer, à enrichir avec les huit champs IA ci-dessus.
  • Un outil dédié(OneTrust, ProcessGov, GDPRWise, Data Legal Drive) : pertinent dès que vous gérez plus de 15 traitements ou que vous avez un DPO interne. Coût : entre 100 €/mois et plusieurs milliers selon l'échelle.

Côté PilotCrew, nous mettons à disposition de chaque tenant un registre des traitements préchargé avec les agents IA actifs sur la plateforme. Le dirigeant n'a qu'à compléter les informations propres à son activité (finalité précise, base légale, catégories de personnes).

6. Gouvernance et tenue à jour

Un registre n'est utile que s'il est à jour. La règle pratique : revue à chaque mise en production d'un nouvel agent, ou à chaque changement majeur (nouveau fournisseur LLM, nouvelle finalité, ajout d'une intégration CRM). Une revue complète annuelle minimum, planifiée et tracée.

Bonne pratique : nommer un référent registre (souvent le DPO ou le RSSI dans les PME plus structurées, le dirigeant dans les plus petites) qui valide chaque ajout et chaque modification.

7. Contrôle CNIL et grands-comptes : ce qu'on vous demandera

Lors d'un contrôle CNIL, le registre est le premier document demandé. Sa qualité conditionne la suite de l'échange : un registre clair et à jour rassure le contrôleur ; un registre lacunaire ou inexistant déclenche une investigation approfondie.

Côté business, en 2026, vos clients grands-comptes intégreront systématiquement une clause « communication du registre des traitements concernés » dans leurs DPA. Sans registre IA propre, vous serez bloqué dans l'onboarding du client. C'est un blocker contractuel concret, pas seulement un risque théorique.

La CNIL a publié en complément un guide pratique du registre qui détaille la méthodologie de collecte des informations et les bonnes pratiques de mise à jour. Pour les PME qui souhaitent aller plus loin, la Commission européenne propose des fiches d'orientation sur digital-strategy.ec.europa.eu — cadre réglementaire IA, qui aident à articuler le registre RGPD avec les obligations émergentes de l'AI Act. Le texte source de l'AI Act lui-même reste consultable in extenso sur EUR-Lex — Règlement (UE) 2024/1689.

Bpifrance accompagne les PME sur ces sujets via son programme de transition numérique et IA : voir bpifrance.fr — IA. Des diagnostics gratuits sont disponibles pour structurer la gouvernance documentaire. Ces diagnostics couvrent typiquement : cartographie initiale des traitements, qualification des traitements IA en risque, premier squelette de registre. Pour une PME qui démarre, c'est souvent le meilleur point d'entrée — surtout si vous n'avez pas encore de DPO interne ni de référent RGPD identifié.

8. Erreurs fréquentes à éviter

Erreur 1 — Un seul traitement « IA » pour tout

Mauvaise idée : créer une fiche unique « Intelligence artificielle » qui couvrirait votre chatbot, votre agent vocal, votre scoring CRM et votre générateur de visuels. Chaque agent est un traitement distinct avec sa finalité, sa base légale, sa chaîne de sous-traitance. Faites une fiche par agent.

Erreur 2 — Omettre les sous-traitants de la chaîne LLM

Vous mentionnez OpenAI mais oubliez qu'OpenAI tourne sur Azure (Microsoft) et que vous utilisez un orchestrateur (LangChain managé, Pinecone, Vercel). Chaque maillon doit figurer.

Erreur 3 — Durée de conservation « durée de la relation client »

Trop vague. Précisez : 30 jours, 12 mois, 36 mois, et le point de départ (dernier contact, fin de contrat, dernière connexion). La CNIL traque les formulations molles.

Erreur 4 — Ne pas mentionner les enregistrements vocaux

Pour les agents vocaux, l'audio brut est une donnée à part entière, distincte de la transcription. Mentionnez les deux séparément avec leurs durées propres.

Erreur 5 — Oublier le lien DPIA

La fiche registre doit pointer vers la DPIA si une a été conduite. C'est le chaînage qui fait la robustesse documentaire en cas de contrôle.

Questions fréquentes

Le registre des traitements est-il public ?

Non. C'est un document interne, tenu à disposition de la CNIL. Vous pouvez en communiquer des extraits à vos clients B2B qui le demandent, mais il n'a pas vocation à être publié sur votre site.

Combien de fiches dois-je avoir pour mon activité ?

Pour une PME type, comptez 10 à 30 fiches : gestion RH, gestion clients, prospection, support, comptabilité, contrôle d'accès, vidéosurveillance, sauvegarde, plus une fiche par agent IA actif. Les très petites entreprises tournent autour de 8 fiches.

Faut-il une fiche distincte si j'utilise simplement ChatGPT pour rédiger ?

Pas nécessairement si l'usage est ad hoc et que vous n'y envoyez aucune donnée personnelle. En revanche, si vous y collez des emails clients, vous créez un traitement qui mérite sa fiche.

Le registre du sous-traitant (Art 30.2) est-il le même que celui du responsable ?

Non. Le sous-traitant tient son propre registre, qui décrit les traitements qu'il effectue pour le compte de ses clients. Les champs sont différents (Article 30.2 vs 30.1) et l'optique aussi. PilotCrew, en tant qu'éditeur SaaS, tient les deux registres.

Quel format pour le registre : Word, Excel, outil dédié ?

Le RGPD impose un format écrit, papier ou électronique. Le tableur convient parfaitement pour démarrer. Au-delà de 15-20 fiches ou si vous avez plusieurs contributeurs, un outil dédié (CNIL, OneTrust, GDPRWise) facilite la gouvernance.

Brouillon assisté par IA, revu et signé par Curtys ACCIPE, fondateur PilotCrew. Dernière revue : 23 mai 2026.

Besoin d’aide pour être conforme avant le 2 août 2026 ?

On déploie votre lab IA — agents gouvernés (Art. 14), traçables (Art. 12) et transparents (Art. 50) — dans votre environnement Azure / Azure DevOps.

Découvrir l’accompagnement Lab IA →

Pour aller plus loin

  • Registre filé de PilotCrew (exemple opposable)
  • DPIA agent conversationnel
  • Liste sous-traitants UE
  • Securite & confiance

Recevez les nouveautés PilotCrew

Une lettre par mois, sans spam. Roadmap produit, retours clients, playbooks éprouvés. Désinscription en un clic.

Produit

  • Vue d’ensemble
  • Fonctionnalités
  • Tarifs
  • Intégrations
  • Comparatifs
  • Changelog

Agents IA

  • Agent vocal
  • Agent contenu
  • Agent social
  • Agent support
  • Agent réputation
  • Agent finance
  • Agent prospection
  • Agent devis
  • Cas d’usage par métier

Ressources

  • Visite guidée (2 min)
  • Centre d’aide
  • Blog
  • Cas d’usage
  • Bonnes pratiques
  • Avis clients
  • Presse
  • À propos · Fondateur

Légal & confiance

  • Centre de confiance
  • EU AI Act Ready
  • Guides conformité
  • Accompagnement Lab IA
  • CGV
  • Confidentialité
  • DPA (RGPD art. 28)
  • Sous-traitants
  • Divulgation responsable
  • CAIQ-Lite (questionnaire sécurité)
  • Accessibilité (RGAA)
  • Mentions légales
  • Agences (marque blanche)

Demander des informations ou planifier une démo

Démarrer 14 jours gratuitsNous contacter+33 1 89 31 63 23
PilotCrew logoPilotCrew·Votre équipe IA pour PME. 8 agents. Zéro friction.
🇪🇺 EU AI Act compliant

© 2026 KEY FOR AI SAS · PilotCrew · SIRET 994 487 775 00011