Guide éditorial
RGPD et IA pour les entreprises BTP : guide conformité 2026
Adopter des outils d'intelligence artificielle dans le BTP soulève des questions de conformité que la plupart des dirigeants découvrent au moment où un client, un assureur ou un acheteur public les pose. Quelles données partez-vous dans le cloud quand vous dictez un compte rendu de chantier ? Que devient une photo prise sur site avec un visage de compagnon ou de riverain ? Avez-vous le droit d'utiliser ChatGPT avec les coordonnées de vos clients particuliers ? Ces questions ne sont pas des détails juridiques, elles peuvent entraîner des amendes lourdes et surtout des contentieux clients qu'une PME ne peut pas se permettre. Ce guide couvre les obligations RGPD spécifiques aux entreprises du BTP qui utilisent des outils IA, avec un focus pratique : ce que vous devez faire concrètement, dans quel ordre, et comment industrialiser la conformité sans embaucher un DPO à temps plein. Il intègre aussi les dispositions de l'AI Act européen entrées progressivement en application depuis 2025, qui ajoutent une couche de conformité pour les outils IA classés à risque. L'objectif est de vous donner une méthode opérationnelle, pas un manuel juridique exhaustif.
Les 4 types de données sensibles que manipule une entreprise BTP
Avant de parler conformité, il faut cartographier précisément les données que votre entreprise traite. Dans le BTP, on en trouve principalement quatre familles.
1. Données clients particuliers. Nom, adresse du chantier, téléphone, situation familiale parfois (pour les diagnostics), photos de l'intérieur du logement. Ces données sont particulièrement sensibles car l'adresse du chantier est souvent le domicile principal du client. Toute fuite peut générer un préjudice direct.
2. Données salariés et compagnons. Pointages, géolocalisation des équipes, photos sur chantier où on les reconnaît, données médicales liées à la santé au travail. Les outils de Sharing Worker ou Jibble manipulent ces données, qui exigent une base légale claire (typiquement l'exécution du contrat de travail) et des durées de conservation maîtrisées.
3. Données de sous-traitants et fournisseurs. Coordonnées des dirigeants, conditions commerciales, factures. Moins sensibles que les données particuliers mais soumises au même régime RGPD si elles permettent d'identifier des personnes physiques.
4. Données stratégiques d'entreprise. Vos prix d'achat, vos marges, vos références commerciales, vos méthodes. Ce ne sont pas des données personnelles au sens RGPD, mais leur fuite serait catastrophique. Elles méritent le même soin qu'une donnée personnelle dans le choix des outils IA.
La règle de base. Pour chaque outil IA que vous envisagez d'adopter, posez la question : quelles données de ces 4 familles vont y transiter, où sont-elles hébergées, qui peut y accéder. Si la réponse n'est pas claire, ne signez pas.
Les obligations RGPD concrètes pour une PME BTP qui utilise l'IA
Le RGPD prévoit une dizaine d'obligations principales. Voici celles qui s'appliquent concrètement à votre situation, dans leur ordre de priorité opérationnelle.
1. Tenir un registre des traitements. Document obligatoire qui liste toutes vos activités de traitement de données. Chaque outil IA que vous utilisez doit y figurer : finalité, données traitées, sous-traitants impliqués, durée de conservation, mesures de sécurité. Un tableur structuré suffit pour la majorité des PME BTP. Un modèle type CNIL est téléchargeable gratuitement.
3. Informer vos clients et salariés. Une simple mention dans vos CGV et dans le contrat de travail suffit pour informer les personnes concernées des traitements réalisés. Si vous utilisez des outils IA, il faut le mentionner explicitement avec leur finalité.
4. Sécuriser les accès. Authentification forte sur les outils IA, mots de passe robustes, droits d'accès limités à ceux qui en ont besoin. Sur les outils manipulant des données sensibles, l'authentification à deux facteurs est devenue un standard à exiger.
5. Prévoir une procédure en cas de fuite. Si un incident survient, vous avez 72 heures pour notifier la CNIL si la fuite présente un risque pour les personnes. Avoir un protocole écrit (qui appelle qui, quels documents préparer) évite la panique le jour J.
6. Désigner un référent. Pour les structures de moins de 250 salariés, le DPO n'est pas obligatoire dans la plupart des cas. Mais désigner un référent interne (souvent le dirigeant ou le DAF) qui centralise les questions RGPD facilite la gestion au quotidien.
Choisir des outils IA conformes : 7 critères à vérifier
Tous les outils ne se valent pas en termes de conformité. Voici la checklist à appliquer avant de signer un abonnement.
1. Hébergement en Union Européenne. Les données doivent être stockées dans un centre de données situé en UE. Les outils français comme Obat, Graneet, VigilAO, BatiStack le précisent dans leur politique de confidentialité.
2. Sous-traitants identifiés. L'éditeur doit publier la liste de ses sous-traitants (hébergeurs, sous-éditeurs IA). Si l'outil utilise OpenAI ou Anthropic en backend, vous devez le savoir et vous assurer que les conditions de ces sous-traitants sont compatibles avec votre niveau d'exigence.
3. Pas de réentraînement sur vos données par défaut. Vérifiez explicitement dans les CGU que vos données ne sont pas utilisées pour entraîner les modèles. Les versions "team" ou "business" des outils grand public comme ChatGPT ou Claude désactivent ce comportement par défaut.
4. Possibilité de supprimer ses données. Vous devez pouvoir exercer votre droit à l'effacement à tout moment. Vérifiez la procédure : automatique via l'interface ou demande par email avec délai.
5. Export des données possible. Sans cela, vous êtes prisonnier de l'éditeur. Exigez un export complet en format exploitable (Excel, JSON, PDF) avant de signer.
6. Conformité affichée au RGPD et à l'AI Act. Une simple mention dans le pied de page ne suffit pas. Cherchez une page dédiée à la conformité ou un livre blanc technique. Les éditeurs sérieux investissent dans cette transparence.
7. Politique de durée de conservation claire. Combien de temps vos données sont gardées après résiliation, dans quel cas elles sont supprimées définitivement. Si c'est flou, c'est probablement parce que c'est mal géré.
L'AI Act européen : ce qui change pour le BTP en 2026
L'AI Act, entré progressivement en application depuis 2025, classe les systèmes d'IA en plusieurs catégories de risque, chacune avec ses obligations propres.
Les systèmes d'IA à risque minimal. La grande majorité des outils utilisés dans le BTP relèvent de cette catégorie : génération de devis, rédaction de comptes rendus, suivi de chantier. Les obligations sont légères : transparence sur l'usage de l'IA et information des utilisateurs.
Les systèmes d'IA à risque limité. Concerne notamment les chatbots clients. Si vous utilisez un chatbot IA sur votre site, vous devez informer explicitement les visiteurs qu'ils dialoguent avec une IA. Une simple mention au début de l'interaction suffit.
Les systèmes d'IA à haut risque. Concernent essentiellement les RH (tri de CV automatisé), la biométrie et certains contrôles d'accès. Si vous utilisez Seeqle ou un outil de recrutement IA, vérifiez la conformité AI Act de l'éditeur : analyse d'impact, traçabilité des décisions, possibilité de recours humain.
Obligations transversales. Tous les outils IA déployés dans l'entreprise doivent faire l'objet d'une information aux salariés. Si vous mettez en place un outil de gestion des heures avec IA pour analyser les pointages, le CSE doit être consulté pour les entreprises concernées.
Formation des utilisateurs. L'AI Act introduit une obligation de "AI literacy" : les salariés qui utilisent des outils IA doivent comprendre leur fonctionnement de base, leurs limites, et savoir détecter les erreurs. Une demi-journée de formation annuelle est généralement suffisante pour une équipe BTP.
Cas pratique : la photo de chantier, plus sensible qu'on le croit
Les photos prises sur chantier sont l'exemple type d'un sujet RGPD trop souvent négligé dans le BTP. Voici comment les traiter correctement.
Le principe. Une photo qui permet d'identifier une personne (visage, plaque d'immatriculation, vue de l'intérieur d'un logement avec des effets personnels) est une donnée personnelle. Sa prise, son stockage et son partage doivent respecter le RGPD.
Les bonnes pratiques sur le terrain.
- Informer les compagnons que des photos peuvent être prises (mention dans le règlement intérieur ou note de service).
- Éviter de cadrer les visages quand c'est possible.
- Pour les riverains ou passants accidentellement présents, flouter les visages avant publication externe.
- Stocker les photos dans un outil dédié et sécurisé plutôt que dans des fils WhatsApp dispersés.
Le cas spécifique des outils IA. Quand une photo est envoyée à un outil IA (reconnaissance de pathologie avec Inspekt AI, génération de rapport visuel avec BatiStack, ou analyse 3D avec Altametris Suite), elle quitte votre système. Vérifiez que l'éditeur ne stocke pas les photos au-delà du strict nécessaire et qu'elles ne sont pas utilisées pour entraîner ses modèles.
Pour la communication marketing. Si vous voulez utiliser une photo de chantier sur votre site ou sur LinkedIn, obtenez une autorisation écrite du client (pour son logement) et des compagnons identifiables. Un modèle simple d'autorisation suffit, à intégrer dans le devis ou le contrat.
Durée de conservation. Conservez les photos le temps nécessaire à votre activité (garantie décennale typiquement) puis supprimez. Une politique de conservation écrite vaut mieux qu'un disque dur saturé de 12 ans de photos non triées.
Mettre en place la conformité en 30 jours pour une PME BTP
Pas besoin d'un cabinet d'avocats à 15 000 euros. Voici un plan d'action réaliste sur 30 jours pour atteindre une conformité de base solide.
Semaine 1 : cartographier. Lister tous les outils numériques utilisés dans l'entreprise (pas seulement les outils IA). Pour chacun, noter : quelles données y transitent, qui y a accès, où c'est hébergé, depuis quand vous l'utilisez. Compter une demi-journée. C'est l'étape la plus instructive.
Semaine 2 : régulariser les contrats. Récupérer ou demander les DPA de chaque éditeur. Vérifier que vos contrats de travail et vos CGV mentionnent l'usage des outils. Mettre à jour si nécessaire avec l'aide d'un modèle juridique standard.
Semaine 3 : tenir le registre. Formaliser un registre des traitements simple. Le modèle CNIL en 4 colonnes (finalité, données, base légale, conservation) suffit. Une PME BTP a généralement 10 à 20 traitements à documenter. Compter une journée concentrée.
Semaine 4 : former et désigner. Désigner un référent RGPD interne. Faire une session d'information de 1 heure à l'équipe sur les bonnes pratiques (mots de passe, gestion des emails sensibles, photos chantier, usage des outils IA). Documenter cette formation.
Au-delà des 30 jours. Une revue annuelle suffit pour maintenir la conformité, à condition d'avoir le réflexe d'inscrire chaque nouvel outil au registre. Si votre entreprise dépasse 100 salariés ou manipule des données particulièrement sensibles, un audit externe annuel est un investissement raisonnable.
Sous-traitance et chaîne RGPD : ce que ça change concrètement
Dans le BTP, la sous-traitance est constante. Et la chaîne de sous-traitance crée une chaîne de responsabilité RGPD que beaucoup d'entreprises sous-estiment.
Le principe juridique. Si vous transmettez des données client à un sous-traitant (plombier indépendant qui intervient chez votre client, bureau d'études qui reçoit le DCE, expert qui vient diagnostiquer une pathologie), vous restez responsable de ces données vis-à-vis de votre client final. Le sous-traitant est lui aussi responsable de son côté, mais cela ne vous décharge pas.
Les bonnes pratiques contractuelles. Inclure dans vos contrats de sous-traitance une clause RGPD claire : finalité d'usage des données transmises, durée de conservation, interdiction de réutilisation pour d'autres clients, obligation de vous notifier en cas de fuite. Un paragraphe standard de 10 lignes suffit pour couvrir les cas standards.
La transmission par email ou WhatsApp. Pratique courante mais à encadrer. Une photo de chantier envoyée par WhatsApp à un sous-traitant traverse les serveurs de Meta. Pour des données sensibles, préférer un partage via un outil de gestion documentaire BTP ou un cloud souverain. Pour le quotidien à faible risque, WhatsApp Business est acceptable.
Les sous-traitants "IA" cachés. Quand vous utilisez un outil IA, celui-ci appelle souvent en backend un modèle d'OpenAI, Anthropic ou Mistral. Ces fournisseurs de modèles sont des sous-traitants de bout de chaîne. Vérifiez que votre éditeur les liste et que les conditions appliquées sont compatibles avec votre niveau d'exigence (hébergement européen, non-réentraînement, conservation limitée).
Le cas particulier des particuliers vulnérables. Si vous travaillez sur des logements occupés par des personnes âgées, en situation de handicap ou en précarité (chantiers ANAH, MaPrimeRénov' Sérénité), la sensibilité des données est accrue. Redoublez de précautions sur la transmission des dossiers techniques incluant des éléments de situation personnelle.
Conclusion
La conformité RGPD et AI Act pour une entreprise BTP qui utilise des outils IA n'est pas un sujet technique réservé aux grandes entreprises. C'est une discipline opérationnelle accessible à toute PME, avec un investissement temps modéré une fois la première mise en place faite. Les enjeux dépassent largement la simple amende potentielle de la CNIL : un client mécontent qui découvre que ses photos d'intérieur ont fuité, un appel d'offres public perdu parce qu'on ne sait pas répondre aux questions sécurité du dossier, un salarié qui conteste la géolocalisation, sont autant de situations qui paralysent une entreprise. La bonne nouvelle, c'est qu'une mise à plat sérieuse en 30 jours pose des bases solides pour plusieurs années. Les éditeurs sérieux d'outils IA pour le BTP ont fait le gros du travail en interne et vous fournissent les éléments dont vous avez besoin. Votre job est de cartographier, documenter et former, pas de réinventer un manuel juridique. Et au-delà de la conformité réglementaire, c'est aussi une démarche de professionnalisation qui rassure vos clients particuliers comme vos donneurs d'ordre publics.
Questions fréquentes
- Une PME BTP de moins de 20 salariés doit-elle nommer un DPO ?
- Non, dans la grande majorité des cas. Le DPO est obligatoire pour les organismes publics ou les entreprises dont l'activité principale implique un traitement à grande échelle de données sensibles. Une PME BTP standard peut simplement désigner un référent interne.
- Puis-je utiliser ChatGPT pour traiter des données clients ?
- Avec la version gratuite, c'est déconseillé car les données peuvent être utilisées pour entraîner le modèle. Avec la version ChatGPT Team ou Enterprise, c'est possible : ces versions désactivent le réentraînement et offrent un cadre contractuel conforme.
- Que faire si je découvre qu'un de mes outils n'est pas conforme ?
- Évaluer le risque (volume et sensibilité des données concernées). Si le risque est élevé, basculer vers un outil conforme dans un délai raisonnable et documenter la démarche. Si le risque est faible, négocier une mise en conformité avec l'éditeur ou planifier une migration.
- Les photos de chantier publiées sur LinkedIn sont-elles un risque RGPD ?
- Oui, si on y identifie une personne (visage, intérieur reconnaissable d'un logement). Toujours obtenir l'autorisation écrite du client pour son logement et des personnes identifiables. Flouter les visages des riverains accidentellement présents.
- L'AI Act s'applique-t-il aux artisans solos ?
- Oui, les obligations s'appliquent à toute structure utilisant un système d'IA, quelle que soit sa taille. Pour un artisan solo utilisant des outils à risque minimal (devis IA, suivi vocal), les obligations sont très légères : information transparente et formation de base.
- Quel budget prévoir pour une mise en conformité de base ?
- Si on fait soi-même avec les modèles CNIL gratuits, le budget est essentiellement du temps interne (3 à 5 jours répartis sur un mois). Si on fait appel à un conseil externe spécialisé PME, compter 2000 à 5000 euros pour un accompagnement complet incluant la documentation et une formation.
- En cas de contrôle CNIL, que faut-il pouvoir présenter ?
- Trois documents principaux : le registre des traitements à jour, les DPA des principaux sous-traitants, et les preuves d'information des personnes concernées (CGV, contrats de travail, mentions sur le site). Avec ces trois éléments, vous êtes au niveau attendu d'une PME diligente.