TL;DR. Une donnée stratégique ou personnelle ne se saisit pas dans un outil IA grand public sans vérification des CGU. Une donnée publique ou déjà validée pour diffusion peut généralement y circuler. Entre les deux, la plupart des agences de communication naviguent à vue, sans DPO ni juriste dédié. Ce guide pose le cadre minimal viable : cartographie des données, CGU, clauses clients, politique interne.
---
Que peut-on confier à un outil IA quand on est une agence, et que doit-on protéger ?
Une donnée publique, un brief générique ou un texte déjà validé pour diffusion peuvent généralement passer dans un outil IA. Même en version grand public. Une donnée personnelle, un chiffre confidentiel de client ou une stratégie non publiée exigent plus de précaution. Un outil sous contrat entreprise, hébergé et encadré, devient nécessaire.
Cette distinction ne dépend pas de la taille de l'agence. Elle dépend de la nature de la donnée, et du contrat qui lie l'outil à son éditeur. Une agence indépendante de 15 personnes et un groupe de 300 collaborateurs appliquent la même grille de lecture. Ce qui change, c'est la capacité à la documenter et à la faire respecter au quotidien.
---
Comment cartographier ce qui entre dans vos outils IA ?
Cartographier consiste à lister, par outil utilisé dans l'agence, le type de données qui y transite : briefs clients, comptes rendus, données de campagne, visuels non publiés. Ce travail recoupe ce que le RGPD appelle déjà un registre des traitements (article 30). Il ne demande ni juriste ni logiciel spécialisé pour démarrer : un tableau partagé suffit.
La cartographie commence par une question posée à chaque équipe : quels outils IA utilisez-vous, et avec quelles données ? Dans une agence de communication, la réponse est souvent plus large que ce que la direction imagine. Un chef de projet qui colle un brief client entier dans un outil grand public, pour le reformuler, a parfois fait sortir une donnée du cadre contractuel sans le savoir.
Cette cartographie n'a pas besoin d'être exhaustive dès le premier passage. Elle doit surtout repérer les points de friction : outils sans compte entreprise, données personnelles saisies dans des prompts, documents clients non publiés qui circulent hors contrat. Elle rejoint un chantier plus large, celui des problèmes opérationnels que les COO doivent résoudre avant l'IA.
---
CGU grand public ou offre entreprise : quelle différence pour les données de vos clients ?
Les CGU grand public autorisent souvent, par défaut, la réutilisation des contenus saisis pour l'entraînement des modèles. Sauf désactivation explicite dans les paramètres. Les offres entreprise (Team, Enterprise, Business) excluent contractuellement cette réutilisation et ajoutent un contrat de sous-traitance. Vérifier les CGU précises de chaque outil reste indispensable : elles évoluent régulièrement.
| Critère | Offre grand public | Offre entreprise |
|---|---|---|
| Réutilisation des données pour l'entraînement | Souvent activée par défaut | Généralement exclue par contrat |
| Contrat de sous-traitance (RGPD, article 28) | Absent ou non négociable | Disponible, à demander et vérifier |
| Hébergement des données | Rarement précisé | Souvent documenté par zone géographique |
| Interlocuteur en cas d'incident | Support générique | Compte entreprise dédié |
| Usage recommandé | Contenus publics, tâches génériques | Données clients, informations stratégiques |
Ce tableau ne remplace pas la lecture des CGU de chaque outil. La bascule d'un abonnement individuel vers une offre Team ou Enterprise se décide selon ce qui y transite, pas seulement selon le budget disponible.
---
Que mettre dans vos clauses clients et vos réponses à appel d'offres ?
Une clause IA précise trois choses : quels outils l'agence utilise, sur quel type de tâche, et avec quelles garanties sur les données transmises. Dans un appel d'offres, la même information rassure un client qui redoute de voir ses données de marque circuler dans un outil non maîtrisé. L'absence de clause inquiète souvent plus qu'une clause précise.
Le RGPD est devenu central dans les appels d'offres. De plus en plus de clients demandent une réponse écrite sur l'usage de l'IA avant de signer, en particulier côté institutionnel. Une agence de communication qui n'a pas préparé cette réponse perd du temps au pire moment du processus commercial.
La clause n'a pas besoin d'être longue. Elle liste les outils utilisés en configuration entreprise, précise qu'aucune donnée personnelle ou stratégique n'est saisie dans un outil grand public, et indique qui, en interne, valide les nouveaux usages.
---
À quoi ressemble une politique d'usage interne minimale, sans juriste dédié ?
Une politique d'usage IA minimale tient sur une page : la liste des outils autorisés et leur configuration, les types de données interdits hors outils encadrés, la procédure pour tester un nouvel outil, et le nom de la personne qui valide. Elle s'écrit avec les champions IA internes, pas contre eux.
Cette politique n'a pas vocation à tout bloquer. Elle donne un cadre clair à des équipes qui, sans lui, testent des outils au hasard, chacune avec ses propres réflexes. Les champions IA internes, souvent les premiers à adopter de nouveaux outils, sont les meilleurs relais pour la faire vivre.
Une agence créative qui pose cette politique en une page évite deux écueils. L'interdiction totale, qui pousse les équipes vers un usage caché. Et l'absence de règle, qui expose l'agence sans qu'elle le sache.
---
Faut-il un DPO pour utiliser l'IA en agence ?
Non, dans la majorité des cas. Le RGPD (article 37) impose un DPO pour les traitements à grande échelle de données sensibles, ou de suivi systématique des personnes. Une agence de communication de 10 à 100 personnes n'entre généralement pas dans ce cadre. Elle a en revanche besoin d'un référent interne qui pilote la politique IA au quotidien.
L'absence d'obligation légale ne dispense pas de responsabilité. Le responsable de traitement reste le dirigeant de l'agence, DPO ou non. Dans une agence indépendante sans service juridique, ce rôle revient souvent au COO, au directeur conseil ou à un champion IA désigné, en lien avec la direction.
Ce référent n'a pas besoin d'une expertise juridique complète pour commencer. Il a besoin d'un mandat clair : faire vivre la cartographie, trancher les cas limites, et remonter vers un avocat ou un conseil externe les questions qui dépassent le cadre opérationnel. Pour situer où en est votre agence avant de désigner ce rôle, notre audit de maturité IA donne un premier repère.
---
Comment répondre à un client qui exige une IA souveraine ou l'absence d'IA ?
Certains clients institutionnels posent une exigence binaire : aucun usage d'IA sur leur compte, ou une IA hébergée en Europe avec des garanties de souveraineté. Une agence qui a déjà cartographié ses usages et choisi des outils encadrés répond plus vite qu'une agence qui découvre la question pendant l'appel d'offres.
Cette exigence progresse avec la maturité IA des donneurs d'ordre. Elle vient d'abord du secteur public et des marques régulées, mais elle s'étend. Deux réponses reviennent le plus souvent. La première : une IA dite souveraine, hébergée en Europe, à l'image de Mistral. La seconde : une plateforme multi-modèle elle-même hébergée en Europe, comme Dust, qui permet de choisir entre plusieurs modèles sans faire sortir la donnée du territoire européen.
C'est la logique de l'approche Fleet Forward. Une montée en compétences progressive, sur une plateforme interne avec des données hébergées en Europe. Construite avec les champions de l'agence, avant tout export vers l'environnement définitif choisi par le client. La gouvernance IA fait partie des briques travaillées dans le cadre d'un Agency OS, au même titre que les agents et les workflows.
---
Cadrer l'usage de l'IA n'est pas un chantier réservé aux agences qui ont un service juridique. C'est un chantier de gouvernance opérationnelle, au même titre que la trésorerie ou le pilotage de projet. Il rejoint la logique plus large de notre guide stratégie IA pour agences créatives : poser des fondations avant d'accélérer.
> Checklist : cadrer l'usage IA de votre agence > Cartographie des données par outil, grille CGU grand public vs entreprise, modèle de clause client, trame de politique interne en une page. Cette checklist est en préparation : contactez-nous pour être prévenu de sa sortie ou en parler directement.
Fleet Forward accompagne les agences créatives et les agences de communication dans la construction de cette politique, de la montée en compétences des équipes jusqu'à l'atelier de gouvernance IA qui pose les règles avec vos champions. Si vous préparez une réponse à appel d'offres, ou si vous voulez simplement remettre à plat vos usages, échangeons-en.
---
FAQ
Peut-on saisir un brief client dans un outil IA grand public ? Mieux vaut l'éviter si le brief contient des données personnelles ou des informations stratégiques non publiques. Les versions grand public réutilisent souvent le contenu saisi pour l'entraînement, sauf désactivation explicite. Une version entreprise écarte contractuellement ce risque.
Une agence de 15 personnes doit-elle nommer un DPO pour utiliser l'IA ? Non, dans la grande majorité des cas. Le RGPD réserve cette obligation aux traitements à grande échelle de données sensibles ou de suivi systématique. Un référent interne, sans titre de DPO, suffit pour piloter la politique d'usage.
Que répondre à un client qui demande une IA souveraine ? Présentez les outils utilisés, leur lieu d'hébergement, et les alternatives européennes disponibles : Mistral pour le modèle, Dust pour la plateforme. Une réponse précise et documentée rassure davantage qu'un refus ou qu'une promesse vague.
Qui doit valider l'ajout d'un nouvel outil IA dans l'agence ? La politique d'usage interne doit nommer cette personne : DG, COO ou référent IA désigné. Sans validateur identifié, chaque équipe teste de son côté, et l'agence perd la visibilité sur ce qui circule réellement dans ses outils.
Faut-il un contrat spécifique avec les éditeurs d'outils IA ? Oui, dès que des données personnelles transitent par l'outil. Ce contrat s'appelle un accord de sous-traitance, au sens de l'article 28 du RGPD. Les offres entreprise le proposent en standard, les offres grand public rarement.
---
*Cet article a un objectif informatif. Il ne constitue pas un conseil juridique et ne remplace pas l'avis d'un avocat ou d'un délégué à la protection des données sur votre situation spécifique. Article publié le 13 juillet 2026 par Fleet Forward.*



