Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Google Gemini et RGPD : guide de conformité 2026

Google Gemini est-il conforme au RGPD ? Analyse du DPA, entraînement des modèles, prompts, AIPD, AI Act GPAI et configuration pour DPO et responsable de traitement.

Google Gemini est devenu l’assistant d’IA générative par défaut de millions d’utilisateurs professionnels français, à travers son intégration native dans Google Workspace (Docs, Gmail, Sheets, Meet, Drive), son application dédiée et son accès via API (Gemini API, Vertex AI). Comme l’ensemble des grands modèles de langage, Gemini traite les prompts, les documents et les contextes que lui soumettent les utilisateurs — autant de contenus contenant fréquemment des données à caractère personnel. Pour le responsable de traitement, le déploiement de Gemini pose des questions distinctes de celles du stockage cloud classique.

Dans ma pratique de conseil auprès de DPO, Gemini soulève des interrogations récurrentes : le statut de Google selon la voie d’accès retenue, l’engagement précis sur l’utilisation ou non des données pour entraîner les modèles, le déclenchement d’une analyse d’impact, et l’articulation avec le AI Act qui encadre désormais les modèles d’IA à usage général. Ce guide propose une analyse opérationnelle pour le DPO et le responsable de traitement.

Pour une vue d’ensemble des enjeux IA et RGPD, voir nos analyses de Mistral AI, de ChatGPT face à la CNIL, de Claude et de Microsoft Copilot, ainsi que notre guide IA générative et données personnelles.

Qualification juridique : un statut qui dépend de la voie d’accès

Gemini dans Google Workspace

Lorsque Gemini est déployé au sein d’une édition Google Workspace payante, Google Ireland Limited agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre organisation détermine les finalités (assistance rédactionnelle, synthèse, analyse de données) et les moyens essentiels (activation de la fonctionnalité, utilisateurs concernés, périmètre de données accessible). Gemini opère alors dans le périmètre contractuel du client, régi par le Cloud Data Processing Addendum.

Gemini via API / Vertex AI

Pour les usages Gemini API et Vertex AI (Google Cloud), Google agit également comme sous-traitant sous le DPA de Google Cloud. Votre organisation intègre Gemini dans ses propres applications et détermine le traitement. C’est la voie qui offre le plus de contrôle sur la configuration (région, journalisation, rétention).

Gemini grand public (compte gratuit)

Pour l’application Gemini grand public accessible via un compte Google personnel gratuit, la qualification est différente : Google peut agir comme responsable de traitement pour certains usages d’amélioration produit, et les conditions relatives à l’utilisation des données diffèrent de l’offre professionnelle. Cette version n’a pas vocation à traiter des données professionnelles de tiers. La distinction entre offre grand public et offre entreprise est le premier point à clarifier dans toute analyse Gemini.

Périmètre des données traitées

Comme tout LLM, Gemini ne traite pas une catégorie de données prédéfinie : il traite ce que les utilisateurs lui soumettent. En pratique :

  • Prompts : les requêtes textuelles, qui peuvent contenir des données personnelles (noms, situations individuelles, coordonnées)
  • Contextes documentaires : dans Workspace, Gemini peut puiser dans les Docs, e-mails et fichiers Drive de l’utilisateur pour générer ses réponses
  • Données métier injectées via API : dans les applications intégrant Gemini, les données transmises au modèle
  • Données sensibles au sens de l’article 9 : lorsque des utilisateurs soumettent, sciemment ou non, des données de santé, des opinions, ou d’autres catégories particulières

Le principe de minimisation est central : il faut limiter les données personnelles soumises aux prompts au strict nécessaire, et proscrire l’injection de données sensibles sans base légale et mesures adaptées. La pseudonymisation des prompts est une mesure de mitigation efficace.

L’engagement sur l’entraînement des modèles

C’est le point de conformité le plus déterminant pour un LLM. Selon la documentation Google consultée en juillet 2026 :

  • Pour les éditions Google Workspace payantes, Google indique que les interactions et les données Workspace ne sont pas utilisées pour entraîner les modèles Gemini en dehors du domaine du client. Les données restent dans le périmètre contractuel du tenant.
  • Pour Vertex AI / Gemini API (offre entreprise Google Cloud), Google indique ne pas utiliser les données des prompts et des réponses des clients pour entraîner ses modèles de fondation.
  • Pour l’application grand public gratuite, les conditions peuvent prévoir une utilisation des interactions à des fins d’amélioration, avec des mécanismes de contrôle par l’utilisateur — d’où l’inadéquation de cette version pour un usage professionnel.

Cet engagement de non-entraînement, pour les offres professionnelles, est central : il évite que les prompts ou documents soumis n’enrichissent des modèles partagés. Il doit être vérifié pour l’offre exacte souscrite au moment du déploiement, les conditions évoluant régulièrement.

Localisation et transferts

Pour les offres entreprise, Google propose des options de localisation des données : régions de données pour Workspace, choix de la région pour Vertex AI. Ces options permettent, sur les éditions concernées, de restreindre le stockage et une partie du traitement à l’Europe. Le périmètre exact est à vérifier selon l’offre.

Google étant un groupe américain, l’exposition théorique au Cloud Act reste discutée par la doctrine, atténuée par les engagements contractuels de Google. Pour les flux vers les États-Unis, le DPA s’appuie sur les clauses contractuelles types (CCT, décision 2021/914) et, le cas échéant, sur l’adhésion de Google LLC au Data Privacy Framework (DPF). Une analyse d’impact des transferts est recommandée pour les traitements sensibles.

AIPD : quand est-elle obligatoire ?

Le déploiement de Gemini ne déclenche pas automatiquement l’obligation d’analyse d’impact ; elle dépend du contexte d’usage.

Cas où l’AIPD est obligatoire (Art. 35 RGPD)

  • Gemini au support de décisions automatisées affectant les personnes (présélection RH, scoring, tri de dossiers avec effet)
  • Gemini déployé sur des données sensibles (santé, notamment) à grande échelle
  • Gemini utilisé pour du profilage systématique des personnes
  • Gemini dans un dispositif de modération ou de surveillance de contenus

Cas où l’AIPD est fortement recommandée

  • Premier déploiement d’IA générative dans l’organisation (l’AIPD constitue la documentation de référence)
  • Gemini activé pour l’ensemble des salariés avec accès au contenu Drive et Gmail
  • Gemini intégré via API dans une application traitant des données clients

Contenu de l’AIPD pour Gemini

L’AIPD couvre les quatre dimensions de la méthodologie CNIL. Pour Gemini spécifiquement, à documenter :

  • Voie d’accès (Workspace, Vertex AI, API) et ses implications de localisation et de contrôle
  • Engagement de non-entraînement vérifié pour l’offre souscrite
  • Périmètre des données accessibles : prompts, contextes documentaires, données injectées
  • Mesures de minimisation : pseudonymisation, restriction des sources de contexte, exclusion des données sensibles
  • Risques spécifiques IA : hallucinations, biais, fuite de données de contexte entre utilisateurs, injection de prompt
  • Mesures de mitigation : supervision humaine des sorties, journalisation, formation des utilisateurs

Les recommandations de la CNIL sur l’IA constituent la référence méthodologique.

Base légale et information des personnes

Au-delà de l’AIPD, le déploiement de Gemini suppose de clarifier la base légale du traitement sous-jacent. Pour un usage d’assistance productivité interne, l’intérêt légitime de l’organisation est généralement mobilisable, sous réserve d’un test de mise en balance documenté. Lorsque Gemini traite des données de personnes concernées externes (clients, prospects), la base légale du traitement initial doit couvrir cet usage complémentaire, et l’information des personnes doit être mise à jour. Le recours au consentement n’est en général pas la base pertinente pour un outil de productivité interne, mais reste à examiner pour les usages exposant directement les données des personnes concernées. Un audit RGPD préalable au déploiement permet de cartographier ces bases légales et de sécuriser l’activation à l’échelle.

Articulation avec le AI Act

Gemini est un modèle d’IA à usage général (GPAI) au sens du AI Act. À ce titre, Google, en tant que fournisseur, est soumis aux obligations du chapitre V du règlement (documentation technique, transparence, gestion des risques systémiques pour les modèles les plus puissants), applicables depuis le 2 août 2025.

Pour votre organisation en tant que déployeur, les obligations dépendent de l’usage :

  • Usage standard d’assistance productivité : information des personnes sur le recours à l’IA (Art. 50 AI Act), documentation interne, transparence
  • Usage à haut risque au sens de l’annexe III (RH, accès aux services essentiels, etc.) : obligations renforcées — gestion des risques, gouvernance des données, supervision humaine, journalisation, documentation technique

Voir notre guide classification des risques IA pour déterminer la catégorie applicable.

Configuration recommandée

Gouvernance

  • Choisir la voie d’accès adaptée : Workspace pour l’intégration bureautique, Vertex AI pour le contrôle applicatif, jamais la version grand public pour les données professionnelles
  • Restreindre l’activation de Gemini aux périmètres maîtrisés dans un premier temps
  • Documenter le traitement dans le registre
  • Vérifier l’engagement de non-entraînement pour l’offre exacte souscrite

Contrôles techniques

  • Filtrage des données sensibles en amont des prompts
  • Restriction des sources de contexte accessibles à Gemini (limiter les Drive et boîtes accessibles)
  • Journalisation des usages pour l’audit et la détection d’incidents
  • Localisation activée sur les éditions qui le permettent

Documentation et formation

  • Charte d’usage IA intégrée à la charte informatique : données interdites en saisie, vérification obligatoire des sorties
  • Information des personnes et du CSE sur le recours à l’IA
  • AIPD pour les usages à risque

Cas particuliers

Données RH et évaluation

Pour les usages RH (tri de candidatures, aide à l’évaluation), l’AIPD est obligatoire, la supervision humaine doit être effective, et l’usage entre potentiellement dans le périmètre haut risque du AI Act. La décision finale ne doit jamais reposer sur la seule sortie du modèle.

Cabinets et secret professionnel

Pour les structures soumises au secret professionnel, l’usage doit être restreint aux contenus non couverts ou pseudonymisés, via une offre entreprise avec engagement de confidentialité et non-entraînement vérifié. Vertex AI offre le meilleur niveau de contrôle.

Données de santé

Pour les données de santé, la qualification HDS de l’infrastructure concernée doit être vérifiée, et le traitement encadré par une AIPD systématique.

Secteur public

Pour les administrations, le recours à Gemini doit être arbitré au regard des orientations de souveraineté ; une alternative européenne comme Mistral peut être structurellement plus simple à intégrer dans l’analyse de risque.

FAQ : Google Gemini et RGPD

Gemini est-il conforme au RGPD ?

L’architecture contractuelle des offres entreprise de Gemini (Workspace, Vertex AI) est alignée sur les exigences du RGPD : DPA article 28, engagement de non-entraînement, options de localisation. La conformité d’ensemble dépend de votre configuration : finalités documentées, base légale, minimisation des prompts, information des personnes, AIPD pour les usages à risque. La version grand public gratuite ne relève pas de ce cadre.

Gemini utilise-t-il mes données pour entraîner ses modèles ?

Selon la documentation Google consultée en juillet 2026, pour les offres entreprise (Workspace, Vertex AI), les données des clients ne sont pas utilisées pour entraîner les modèles de fondation en dehors du domaine. Pour l’application grand public gratuite, les conditions diffèrent. L’engagement doit être vérifié pour l’offre exacte souscrite.

Faut-il une AIPD pour utiliser Gemini ?

Pas pour un usage exploratoire ou des tâches non sensibles. L’AIPD devient obligatoire dès que l’usage concerne des données sensibles, des décisions affectant les personnes, du profilage, ou un déploiement systématique sur des données clients. Voir notre guide sur l’AIPD.

Gemini est-il soumis au AI Act ?

Oui, en tant que modèle d’IA à usage général (GPAI), Gemini relève du chapitre V du AI Act, avec des obligations pour Google en tant que fournisseur. Pour votre organisation en tant que déployeur, les obligations dépendent de l’usage — renforcées pour les usages à haut risque.

Gemini est-il préférable à ChatGPT pour la conformité RGPD ?

Sur le plan contractuel, les deux disposent d’offres entreprise avec DPA et engagement de non-entraînement. Le choix dépend de l’écosystème (l’intégration Workspace favorise Gemini), du niveau de contrôle requis et de la sensibilité à la souveraineté. Voir notre analyse ChatGPT face à la CNIL.

Comment intégrer Gemini à mon registre des traitements ?

Documenter chaque finalité d’usage : catégories de données soumises, base légale, durée de conservation, Google comme sous-traitant avec ses garanties (DPA, non-entraînement, localisation). Voir notre exemple de registre RGPD rempli.

Pour structurer la conformité des outils IA à l’échelle de l’organisation, documenter les sous-traitants et maintenir l’AIPD à jour, un logiciel RGPD permet de générer le registre et de suivre les engagements des fournisseurs d’IA.