LIVE DEMO → Home Product
Features Use Cases Compare Enterprise
Docs
Documentation Quickstart MCP Server Integrations Benchmark
Pricing Blog DASHBOARD → LOG IN →
GUIDE CONFORMITÉ CNIL

Agents IA et CNIL :
ce que dit la réglementation

Les recommandations CNIL sur l'IA publiées en 2023-2024 imposent des obligations concrètes aux systèmes d'agents à mémoire. Ce guide pratique détaille ce que vous devez mettre en place.

Recommandations CNIL 2023-2024 RGPD Art. 13 · 15 · 17 Exemples concrets
Obtenir une clé démo → Voir la documentation
Cadre réglementaire

Les recommandations CNIL sur l'IA

Entre 2023 et 2024, la CNIL a publié une série de recommandations portant sur l'utilisation de l'intelligence artificielle. Ces textes ne créent pas de nouvelles obligations juridiques en elles-mêmes — ils interprètent le RGPD existant à la lumière des usages IA, et constituent la doctrine de référence que la CNIL utilisera pour instruire des plaintes et prononcer des sanctions.

Les recommandations insistent sur six principes fondamentaux du RGPD appliqués à l'IA :

  • Finalité — les données collectées par un agent doivent servir un objectif déterminé, explicite et légitime, défini avant tout traitement
  • Minimisation — seules les données strictement nécessaires à cet objectif peuvent être mémorisées
  • Exactitude — les mémoires doivent pouvoir être rectifiées sur demande (Art. 16 RGPD)
  • Conservation limitée — les données ne peuvent pas être conservées indéfiniment ; une durée de conservation doit être définie et respectée
  • Sécurité — le responsable de traitement doit garantir la confidentialité et l'intégrité des mémoires
  • Responsabilité — toutes les mesures de conformité doivent être documentées et démontrables (principe d'accountability)

Pour les agents conversationnels à mémoire, la question de la base légale est centrale. Deux bases sont généralement invocables : le consentement (Art. 6.1.a) lorsque l'utilisateur accepte explicitement que ses interactions soient mémorisées, ou l'intérêt légitime (Art. 6.1.f) lorsque la mémorisation est nécessaire à la fourniture du service et que les droits de l'utilisateur ne prévalent pas. Le consentement est souvent la voie la plus sûre pour les cas grand public ; l'intérêt légitime s'applique plus naturellement au B2B.

La question clé que posent les recommandations CNIL : la mémoire persistante est-elle un traitement de données personnelles ? La réponse est sans ambiguïté : oui. Dès que les contenus mémorisés peuvent, directement ou indirectement, identifier un utilisateur — nom, e-mail, comportements, préférences liées à une personne — il s'agit d'un traitement soumis au RGPD.

Risque de sanction : La CNIL a sanctionné plusieurs entreprises pour des traitements IA sans base légale définie. Depuis 2022, une procédure simplifiée permet des condamnations rapides. Les amendes peuvent atteindre 4% du CA mondial (Art. 83 §5 RGPD) — soit plusieurs millions d'euros pour une scale-up.

Ce que vous devez faire

Obligations concrètes pour un agent à mémoire

Voici les sept obligations opérationnelles que tout opérateur d'agent IA à mémoire doit satisfaire selon les recommandations CNIL et le RGPD :

  1. 1. Définir une base légale (Art. 6 RGPD). Avant tout déploiement, documentez si vous vous appuyez sur le consentement (Art. 6.1.a) ou sur l'intérêt légitime (Art. 6.1.f). Sans base légale, tout traitement est illicite, quelle que soit la qualité technique du système.
  2. 2. Informer l'utilisateur (Art. 13 RGPD). L'utilisateur doit être informé de manière explicite que l'agent mémorise ses interactions, quelles données sont stockées, dans quel but et pendant combien de temps. Cette information doit être donnée au moment de la collecte, pas enfouie dans les CGU.
  3. 3. Droit d'accès (Art. 15 RGPD). Sur demande, l'utilisateur doit pouvoir obtenir la liste complète de toutes les mémoires le concernant, avec les métadonnées associées (date, type, agent). Ce droit doit s'exercer dans un délai d'un mois.
  4. 4. Droit à l'effacement (Art. 17 RGPD). L'utilisateur peut exiger la suppression de toutes ses mémoires. Le responsable de traitement dispose de 30 jours pour exécuter cette demande. L'effacement doit être complet, immédiat et irréversible — y compris chez tous les sous-traitants.
  5. 5. Durée de conservation et TTL (Art. 5.1.e RGPD). Les données sensibles ou à forte inférence personnelle doivent avoir une durée de conservation définie et automatiquement appliquée. L'absence de TTL sur des mémoires de profil constitue une violation du principe de limitation de conservation.
  6. 6. Contrat de sous-traitance DPA (Art. 28 RGPD). Chaque fournisseur qui traite des données personnelles pour votre compte — y compris votre fournisseur de mémoire IA — doit impérativement avoir signé un Data Processing Agreement conforme à l'Art. 28. Sans DPA, vous êtes en infraction même si votre code est parfait.
  7. 7. Interdiction des transferts hors UE sans garanties (Art. 46 RGPD). Si votre fournisseur de mémoire héberge des données hors de l'Union Européenne, vous devez mettre en place des Standard Contractual Clauses (SCC) accompagnées d'un Transfer Impact Assessment. L'absence de telles garanties expose à une sanction immédiate depuis l'arrêt Schrems II.
Solution technique

Comment Kronvex répond à chaque obligation

Kronvex a été conçu comme une API de mémoire nativement conforme RGPD et aux recommandations CNIL. Voici comment chaque obligation est satisfaite par défaut :

  • Art. 17 — Droit à l'effacement : Un seul appel API efface toutes les mémoires d'un utilisateur — DELETE /api/v1/agents/{id}/memories/user/{user_id}. Suppression immédiate, permanente, sans fenêtre de rétention. Documentable dans votre politique de confidentialité.
  • Art. 15 — Droit d'accès : Listez toutes les mémoires d'un utilisateur avec GET /api/v1/agents/{id}/recall?user_id={user_id}. Retourne l'ensemble des mémoires avec métadonnées (timestamps, scores de confiance, type) — prêt à être transmis à l'utilisateur.
  • TTL configurable : Chaque mémoire accepte un paramètre expires_at qui automatise l'effacement à la date définie. Aucune tâche cron à écrire, aucun risque d'oubli — la limitation de conservation est enforced au niveau de la base de données.
  • Données Frankfurt uniquement : Toutes les mémoires sont hébergées dans le cluster Supabase Frankfurt (UE). Zéro réplication aux États-Unis, zéro transfert hors UE. Aucune SCC requise, aucun risque Schrems II — la conformité géographique est structurelle, pas contractuelle.
  • DPA Art. 28 disponible : Kronvex signe des Data Processing Agreements conformes à l'Art. 28 RGPD avec tous ses clients. Contactez [email protected] ou consultez la page sécurité pour accéder au DPA type.
  • Pas de LLM au moment du recall : Lors du rappel (/recall), les mémoires sont récupérées par similarité vectorielle sans transiter par OpenAI. Les données personnelles ne quittent jamais l'infrastructure EU au moment de la consultation — seule l'étape /remember (création de l'embedding) utilise l'API OpenAI.
Comparaison

Kronvex vs solutions US : conformité CNIL

Lorsqu'un DPO évalue les solutions de mémoire IA, la question de l'hébergement et des garanties contractuelles est déterminante. Voici comment Kronvex se compare aux alternatives américaines les plus connues.

Critère RGPD / CNIL Kronvex Mem0 / Zep / Memstate (US)
Hébergement des données Frankfurt (UE) États-Unis (hors UE)
Transfert hors UE Aucun Oui — à chaque appel API
DPA Art. 28 RGPD Inclus, disponible sur demande À négocier / souvent indisponible
Droit à l'effacement (Art. 17) DELETE /memories/user/{id} Selon implémentation client
TTL mémoires Configurable par mémoire Variable selon solution
Conformité Schrems II Native — aucun transfert Risque — SCC + TIA requis
Questions fréquentes

FAQ — Agents IA et conformité CNIL

Oui, dès que les mémoires peuvent être reliées à une personne identifiable — nom, adresse e-mail, identifiant technique, comportements, préférences — il s'agit d'un traitement de données personnelles au sens de l'Art. 4 RGPD. La CNIL l'a explicitement confirmé dans ses recommandations de 2023 sur les systèmes d'IA : les contenus mémorisés par un agent conversationnel constituent des données personnelles et sont soumis à l'ensemble des obligations du RGPD. Même des vecteurs d'embedding, s'ils permettent indirectement de ré-identifier un individu, tombent dans cette catégorie.

Le risque est triple. D'abord, une amende administrative pouvant atteindre 4% du chiffre d'affaires mondial (Art. 83 §5 RGPD) — un montant potentiellement très significatif même pour une start-up. Ensuite, une injonction de cesser immédiatement le traitement, ce qui peut paralyser votre produit du jour au lendemain. Enfin, une atteinte réputationnelle difficile à effacer, notamment auprès de clients enterprise qui exigent des preuves de conformité. Depuis 2022, la CNIL dispose d'une procédure simplifiée — la formation restreinte — qui lui permet de sanctionner en quelques semaines les cas de traitement sans base légale manifeste.

Techniquement oui — un fournisseur US peut signer un DPA conforme à l'Art. 28 RGPD. Mais un DPA seul ne suffit pas si les données sont physiquement hébergées aux États-Unis. Dans ce cas, vous devez obligatoirement mettre en place des Standard Contractual Clauses (SCC, version 2021 de la Commission européenne) accompagnées d'un Transfer Impact Assessment (TIA) documentant que la législation américaine (FISA 702, Executive Order 12333) ne vide pas les SCC de leur substance. Depuis l'arrêt Schrems II (CJEU, juillet 2020), ce risque résiduel — souvent désigné "Schrems III" — n'est pas nul. L'infrastructure EU-native élimine ce problème structurellement : zéro transfert = zéro obligation de SCC = zéro risque de requalification par la CNIL.

Mémoire IA conforme CNIL

Commencez avec une mémoire IA 100% conforme CNIL

Kronvex est hébergé à Frankfurt, signe des DPAs Art. 28, et vous donne le droit à l'effacement en un seul appel API. Aucune configuration de conformité requise de votre côté.

Obtenir une clé démo gratuite → Télécharger la checklist RGPD

Questions RGPD ? [email protected] · DPA disponible · Hébergement Frankfurt, UE