Checklist · 22 points · valable mai 2026
Déployer un LLM en France.
Déployer un LLM en France.
La checklist RGPD.
22 points à valider avant le go-live d'un LLM en entreprise française. Inspirés des recommandations CNIL 2024-2025 et de notre retour terrain Validix sur 12 déploiements.
00 / Comment l'utiliser
Imprimable, validable point par point. Chaque item doit être OK avant le go-live. Si vous cochez 19+ sur 22, votre déploiement est en bonne posture. En dessous, ne mettez rien en prod sans corriger les écarts.
01 / Base légale et finalité
I. Base légale (4 points).
1. Finalité documentée
La finalité du traitement par le LLM est précisément documentée dans le registre RGPD (ex: "assistance à la rédaction de mémos juridiques").
2. Base légale identifiée
Une base légale art. 6 RGPD est identifiée et documentée : intérêt légitime (interne) ou consentement (client-facing).
3. Test d'équilibre
Si intérêt légitime : test d'équilibre documenté entre votre intérêt et les droits/libertés des personnes concernées.
4. Information claire
Les personnes concernées sont informées (mention IA générative, finalité, droits) via une politique de confidentialité accessible.
02 / AIPD
II. Analyse d'Impact (3 points).
5. AIPD réalisée
Une AIPD au titre de l'art. 35 RGPD a été réalisée si le traitement implique : grande échelle, profilage, décision automatisée, ou données sensibles.
6. AIPD à jour
L'AIPD est datée des 12 derniers mois et reflète l'architecture actuelle (modèle, infra, connecteurs).
7. AIPD validée
L'AIPD a été revue par votre DPO et, si nécessaire, soumise à la CNIL pour consultation préalable (art. 36 si risque résiduel élevé).
03 / Sous-traitance
III. Sous-traitants (5 points).
8. Liste documentée
Tous les sous-traitants impliqués sont listés : fournisseur de modèle (OpenAI, Anthropic, Mistral, etc.), hébergeur, fournisseur de RAG, monitoring.
9. DPA signés
Chaque sous-traitant a un Data Processing Agreement (DPA) signé conforme art. 28 RGPD.
10. Clauses spécifiques
Le DPA inclut les clauses Validix recommandées : data residency EU, non-utilisation pour entraînement, audit annuel, breach notification 24h, réversibilité.
11. Audit fournisseur
Un audit (au moins documentaire) du sous-traitant principal est réalisé annuellement.
12. Plan B
Plan de réversibilité documenté : que faire si le sous-traitant cesse, est racheté, ou modifie ses conditions ?
04 / Transferts hors UE
IV. Transferts internationaux (3 points).
13. Localisation données
Vous savez précisément où vos données vivent (pays, datacenter, fournisseur cloud sous-jacent). Documenté dans le registre.
14. CCT si transfert
Si transfert hors UE : Clauses Contractuelles Types CE 2021/914 dans le DPA. Pour les USA : analyse complémentaire CLOUD Act.
15. Posture risque
Si transfert hors UE : analyse de risque documentée avec recommandation de votre conseil juridique. Pour data très sensible : recommandation Validix de rester EU strict.
05 / Droits des personnes
V. Droits des personnes (4 points).
16. Droit d'accès
Procédure documentée pour répondre à une demande d'accès art. 15 (sous 30 jours). Inclut l'extraction des données du LLM (RAG, logs) liées à la personne.
17. Droit à l'effacement
Procédure pour supprimer les données d'une personne sur demande art. 17. Si le modèle est fine-tuné sur des données personnelles : recommandation Validix de ne pas le faire.
18. Droit d'opposition
L'utilisateur peut s'opposer au traitement par le LLM. Pour un agent client-facing : option "refuser l'IA" disponible et opérationnelle.
19. Décision automatisée
Pas de décision art. 22 (effets juridiques ou significatifs) sans intervention humaine, sauf consentement explicite ou obligation légale.
06 / Sécurité technique
VI. Sécurité (3 points).
20. Chiffrement
Données chiffrées au repos (AES-256 ou équivalent) et en transit (TLS 1.3). Gestion des clés sous KMS.
21. Logs et monitoring
Logs structurés, conservés au moins 90 jours, accessibles uniquement RBAC, exploitables en cas d'audit ou breach.
22. Tests sécurité
Pen-tests annuels incluant les vecteurs spécifiques LLM (OWASP LLM Top 10). Voir détail.
07 / FAQ
Combien de temps prend cette checklist en pratique ?
Pour une organisation déjà mature RGPD : 2-4 semaines. Pour une organisation qui démarre sa mise en conformité RGPD : 2-3 mois. À intégrer dans le projet IA dès la phase de cadrage, pas en fin de POC.
Quelle est la marge si on coche 17/22 ?
Vous pouvez démarrer un POC interne sur données non-sensibles, mais pas mettre en prod externe. Les 5 points manquants doivent être couverts en parallèle du POC. Go-live final : 19+/22 minimum, idéalement 22/22.
Y a-t-il des outils pour automatiser cette checklist ?
Partiellement. Des solutions comme Drata, Vanta, ou les modules RGPD de l'OneTrust automatisent le tracking. Validix fournit dans son audit (sur devis) un Excel structuré reprenant les 22 points avec preuves attendues.