Qui peut voir les prompts ?

Personne. Veil-it fonctionne entièrement en local sur votre machine. Vos prompts sont analysés et masqués directement dans votre navigateur avant d'être envoyés vers l'IA. Nous transmettons uniquement des métriques (type de données sensibles, nombre de prompts, etc.) pour que vous puissiez ensuite y avoir accès dans le dashboard.

Est-ce conforme au RGPD ?

Oui, totalement. Veil-it a été conçu dès le départ pour être conforme au RGPD. Aucune donnée personnelle n'est stockée ou transmise vers le cloud. Le traitement se fait exclusivement en local, ce qui signifie que vos données ne quittent jamais votre environnement. Cela garantit la conformité avec l'Article 25 (Privacy by Design) et l'Article 32 (Sécurité du traitement) du RGPD.

Combien de temps pour mettre cela en place ?

Dès maintenant. L'installation de Veil-it ne prend que 2 minutes via l'extension Chrome. Aucune infrastructure supplémentaire n'est requise, pas de configuration complexe, et aucune intervention de votre équipe IT. Une fois installée, la protection est immédiate et fonctionne automatiquement sur tous les sites d'IA que vous utilisez.

Où sont hébergées les données ?

Aucune donnée sensible n'est hébergée ou téléchargée. Veil-it analyse et masque tout localement dans votre navigateur. Seules des métadonnées anonymisées (statistiques d'utilisation, types de données détectées) sont envoyées au dashboard pour vous permettre de suivre l'utilisation et former vos équipes.

Protection des données RH et IA : le guide pour sécuriser sans ralentir

L'Article 32 du RGPD impose aux entreprises de mettre en place des mesures techniques appropriées pour protéger les données personnelles. Depuis février 2025, l'Article 4 de l'AI Act ajoute une obligation de "littératie IA" : vos équipes doivent être formées aux risques liés à l'utilisation des outils d'intelligence artificielle. Concrètement, cela signifie qu'un DRH qui laisse ses équipes utiliser ChatGPT pour analyser des CV ou rédiger des évaluations engage la responsabilité de l'entreprise si ces données transitent vers des serveurs tiers.

Les défis de la protection des données avec l'IA pour les RH

Le problème du Shadow AI dans les services RH

J'observe sur le terrain une situation récurrente : un recruteur copie-colle 50 CV dans ChatGPT pour obtenir un tri rapide. Un manager utilise Claude pour reformuler les évaluations annuelles de son équipe. Un assistant RH demande à Gemini de synthétiser des entretiens de sortie.

Ces usages génèrent trois risques juridiques immédiats :

Risque	Article applicable	Sanction potentielle
Transfert de données personnelles vers des serveurs US	RGPD Art. 44-49 (Transferts internationaux)	Jusqu'à 20M EUR ou 4% du CA
Absence de base légale pour le traitement	RGPD Art. 6 (Licéité du traitement)	Jusqu'à 20M EUR ou 4% du CA
Défaut de formation des utilisateurs	AI Act Art. 4 (Littératie IA)	Sanctions en cours de définition

Pourquoi les solutions classiques échouent

Les pare-feux traditionnels ne voient pas le contenu des requêtes HTTPS vers openai.com ou anthropic.com. Ces domaines sont légitimes. Le trafic est chiffré. Votre SIEM enregistre une connexion normale vers un service cloud autorisé.

Le blocage total des outils IA crée un effet inverse : les employés utilisent leurs téléphones personnels ou des VPN pour contourner les restrictions. Le Shadow AI devient alors totalement invisible.

Comment Veil-it assure la conformité RGPD dans vos processus IA

Architecture Privacy-by-Design

L'Article 25 du RGPD exige une protection des données "dès la conception". Veil-it applique ce principe avec une architecture 100% locale :

Analyse sémantique dans le navigateur : Le moteur de détection s'exécute côté client. Aucune donnée ne transite vers nos serveurs.
Masquage avant envoi : Les données sensibles (noms, emails, numéros de sécurité sociale) sont remplacées par des tokens avant d'atteindre l'IA.
Logs en France : Seules les métadonnées d'alertes sont stockées, sur des serveurs hébergés en France, hors portée du Cloud Act.

Formation Just-in-Time (AI Act Art. 4)

L'AI Act impose une obligation de "littératie IA" pour tout déployeur de système d'IA. Veil-it transforme cette obligation en automatisation :

Quand un utilisateur s'apprête à envoyer des données sensibles vers un outil IA, une alerte contextuelle apparaît. Elle explique le risque spécifique et propose une alternative. Cette micro-formation au moment de l'action valide l'obligation légale de sensibilisation.

Mettre en oeuvre une stratégie de protection des données IA efficace en 5 étapes

Étape 1 : Cartographier les usages existants

Avant de protéger, il faut comprendre. Les recommandations de la CNIL sur l'IA en entreprise préconisent un inventaire des traitements. Questions à poser :

Quels outils IA sont utilisés dans le service RH ?
Quels types de données y sont envoyés ?
Existe-t-il des alternatives approuvées ?

Étape 2 : Classifier les données selon leur sensibilité

Le RGPD distingue les données personnelles "ordinaires" des catégories particulières (Art. 9 - données de santé, opinions politiques, appartenance syndicale). En RH, cette distinction est critique :

Classification	Exemples RH	Usage IA autorisé
Public	Offres d'emploi publiées	Sans restriction
Interne	Organigrammes, statistiques agrégées	Avec anonymisation
Confidentiel	CV, évaluations, bulletins de paie	Local uniquement ou interdit
Sensible (Art. 9)	Arrêts maladie, affiliations syndicales	Interdit

Étape 3 : Déployer une protection technique

L'Article 32 du RGPD exige des "mesures techniques appropriées". Une extension navigateur déployée via MDM (Microsoft Intune, Google Workspace) répond à cette exigence sans infrastructure lourde.

Temps de déploiement observé : 15 minutes pour 500 postes.

Étape 4 : Documenter pour l'audit

Le principe d'accountability (Art. 5.2 RGPD) impose de pouvoir démontrer la conformité. Veil-it génère automatiquement :

Le registre des traitements IA
Les preuves de formation (alertes vues et acquittées)
Les statistiques d'usage par outil et par département

Étape 5 : Réviser trimestriellement

Les outils IA évoluent rapidement. De nouveaux services apparaissent chaque mois. Une revue trimestrielle des politiques permet d'ajuster les règles de blocage et de redirection.

Choisir les bons outils pour sécuriser les données de vos employés

Critères de sélection selon l'ANSSI

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) recommande plusieurs critères pour évaluer une solution de sécurité :

Souveraineté des données : Où sont stockées les données ? Sous quelle juridiction ?
Transparence technique : Le fonctionnement est-il documenté ?
Réversibilité : Peut-on exporter ou supprimer les données facilement ?

Comparatif des approches

Approche	Latence	Souveraineté	Complexité déploiement
Proxy cloud (CASB)	+200-500ms	Variable (souvent US)	Élevée (certificats, routage)
DLP réseau	+50-100ms	On-premise possible	Élevée (appliances)
Extension navigateur locale	0ms	France (logs uniquement)	Faible (MDM standard)

FAQ : Réponses aux questions fréquentes sur l'IA et la protection des données RH

Peut-on utiliser ChatGPT pour le recrutement ?

L'Article 22 du RGPD encadre les décisions automatisées ayant des effets juridiques sur les personnes. Un tri de CV par IA entre dans ce cadre. Si vous utilisez un outil IA pour le recrutement, le candidat doit être informé et peut demander une intervention humaine.

En pratique : utiliser l'IA comme aide à la décision est acceptable. Lui déléguer la décision finale sans contrôle humain ne l'est pas.

Comment former mes équipes RH à l'IA sans y passer des semaines ?

L'AI Act Art. 4 n'impose pas un volume horaire de formation. Il exige que les utilisateurs aient un "niveau suffisant de littératie IA" adapté à leur contexte. Une formation contextuelle au moment de l'usage (alerte + explication) peut suffire si elle est documentée.

Que faire si un employé a déjà envoyé des données sensibles vers un outil IA ?

L'Art. 33 du RGPD impose une notification à la CNIL dans les 72 heures en cas de violation de données présentant un risque pour les droits des personnes. Évaluez d'abord le risque réel :

Quelles données ont été partagées ?
L'outil IA conserve-t-il les données pour entraînement ?
Des personnes identifiables sont-elles concernées ?

Si le risque est élevé, consultez votre DPO pour décider de la notification.

Veil-it ralentit-il les processus RH ?

L'analyse s'exécute localement dans le navigateur. Il n'y a pas de requête réseau supplémentaire, donc pas de latence ajoutée. Le seul "ralentissement" est l'affichage d'une alerte quand une donnée sensible est détectée, ce qui prend 2 secondes à lire.

Ce qu'il faut retenir

La protection des données RH dans un contexte d'utilisation de l'IA repose sur trois piliers techniques :

Détection locale : Identifier les données sensibles avant qu'elles ne quittent le poste de travail
Masquage automatique : Remplacer les informations personnelles par des tokens réversibles
Traçabilité : Documenter les usages pour répondre aux exigences d'accountability du RGPD

L'objectif n'est pas de bloquer l'IA, mais de l'encadrer. Les recommandations de la CNIL sur l'IA générative vont dans ce sens : permettre l'innovation tout en garantissant les droits des personnes.

Références

RGPD - Règlement (UE) 2016/679 - Règlement général sur la protection des données
AI Act - Règlement (UE) 2024/1689 - Règlement européen sur l'intelligence artificielle
CNIL - Intelligence artificielle - Recommandations de la CNIL sur l'IA
ANSSI - Agence Nationale de la Sécurité des Systèmes d'Information
OWASP Top 10 for LLM Applications - Référentiel de sécurité pour les applications LLM

Protection des données RH et IA : Guide pratique pour les DRH