Midjourney et RGPD : guide de conformité 2026
Midjourney est-il conforme au RGPD ? Hébergement US, galerie publique, visages réels, AI Act : ce qu'il faut vérifier avant de l'utiliser en entreprise.
- Midjourney et RGPD : deux niveaux de données à distinguer
- La galerie publique : le piège de confidentialité n°1
- Générer le visage d’une personne réelle : le risque données sensibles
- L’entraînement des modèles et le scraping de données
- Hébergement aux États-Unis : un transfert hors UE
- AI Act : les obligations qui s’ajoutent au RGPD
- Plan d’action conformité avant de déployer Midjourney
- Ce qu’il faut retenir
- FAQ
Vos équipes marketing génèrent des visuels avec Midjourney sans se poser de questions ? Deux problèmes passent sous le radar : sur les forfaits standards, vos prompts et vos images sont publics par défaut, et dès que vous générez le visage d’une personne réelle, vous traitez des données personnelles. Voici ce que change réellement le RGPD — et l’AI Act — quand un générateur d’images entre dans vos process.
Midjourney et RGPD : deux niveaux de données à distinguer
L’erreur classique est de raisonner comme pour un outil SaaS ordinaire. Midjourney soulève en réalité deux traitements distincts.
Le premier concerne vos données d’utilisateur : compte, e-mail, identifiant Discord, historique de prompts, données de facturation. Sur ce point, Midjourney Inc. (société américaine) agit comme responsable de traitement pour ses propres finalités, et non comme votre simple prestataire.
Le second, plus sensible, concerne les données personnelles contenues dans vos prompts et vos images : si vous écrivez « femme de 40 ans, type cadre dirigeante française » ou si vous importez la photo d’un collaborateur pour créer un visuel, vous devenez vous-même responsable de traitement de ces données — et Midjourney les traite pour ses propres finalités, notamment l’entraînement de ses modèles. On n’est donc pas dans un schéma classique de sous-traitance au sens de l’article 28.
C’est cette dualité qui rend Midjourney plus risqué que la plupart des outils de productivité.
La galerie publique : le piège de confidentialité n°1
Point de vigilance souvent ignoré : sur les forfaits standards de Midjourney, vos prompts et vos images générées sont publics par défaut et consultables par les autres utilisateurs dans la galerie de la plateforme. Le « mode furtif » (stealth mode), qui rend vos créations privées, n’est disponible que sur les abonnements supérieurs (Pro et Mega).
Concrètement, si une équipe RH génère le visuel d’une future campagne contenant des éléments identifiants, ou si un prompt révèle des informations sur un client, un projet confidentiel ou une personne nommée, ces contenus sont potentiellement exposés. Cela pose un problème de sécurité au sens de l’Art. 32 RGPD (confidentialité des traitements) et de minimisation (Art. 5(1)©).
Recommandation pratique : pour tout usage professionnel impliquant des données personnelles ou des informations confidentielles, le mode furtif n’est pas une option de confort, c’est un prérequis de conformité. À défaut, interdisez l’usage de Midjourney pour ces contenus.
Générer le visage d’une personne réelle : le risque données sensibles
Demander à Midjourney de produire l’image d’une personne identifiable — un dirigeant connu, un salarié, un client — constitue un traitement de données personnelles. Le visage est une donnée personnelle au sens de l’Art. 4(1), et selon le contexte et la finalité, une représentation faciale peut relever des données sensibles de l’Art. 9 (données biométriques lorsqu’elles permettent d’identifier de manière unique une personne).
S’y ajoutent des risques connexes au RGPD :
- le droit à l’image de la personne représentée (fondement civil distinct du RGPD, mais cumulatif) ;
- la création de deepfakes ou de visuels trompeurs, susceptibles d’engager votre responsabilité ;
- l’absence de base légale valable : sans consentement de la personne, difficile de justifier la génération d’un visuel réaliste la représentant.
Dans mon expérience de conseil, c’est l’usage qui crée le plus de contentieux latents : un visuel « inspiré » d’une personne réelle, diffusé en campagne, sans aucune autorisation. La règle simple : pas de personne réelle identifiable dans les prompts, sauf consentement écrit et finalité maîtrisée.
L’entraînement des modèles et le scraping de données
La politique de confidentialité de Midjourney couvre explicitement les données collectées « dans le cadre de l’entraînement » de ses algorithmes. Deux conséquences.
D’une part, vos contenus peuvent nourrir l’entraînement : sur les forfaits standards, prompts et images alimentent potentiellement l’amélioration des modèles. D’autre part, les modèles eux-mêmes ont été entraînés sur d’immenses corpus d’images collectées en ligne — pratique au cœur des litiges en cours (notamment les actions intentées par Disney et Universal en juin 2025 sur le terrain du droit d’auteur).
Sur le plan RGPD, la CNIL considère que pour la phase de développement d’un système d’IA, l’intérêt légitime (Art. 6(1)(f)) est la base légale la plus adaptée dans la majorité des cas, sous réserve du « triple test » (intérêt légitime, nécessité, mise en balance). Mais cette analyse incombe à Midjourney en tant que développeur. En tant qu’utilisateur professionnel, votre exposition porte surtout sur ce que vous injectez dans l’outil.
Hébergement aux États-Unis : un transfert hors UE
Les données personnelles que vous fournissez sont stockées sur des serveurs situés aux États-Unis. Vous êtes donc dans un transfert de données hors UE encadré par le chapitre V du RGPD (Art. 44 et suivants).
Le mécanisme de référence est le Data Privacy Framework (décision d’adéquation UE-US du 10 juillet 2023) si Midjourney y est certifié, complété le cas échéant par des clauses contractuelles types (CCT). Attention toutefois : le DPF reste fragilisé sur le plan juridique (recours pendants devant la justice de l’UE) et la législation américaine de surveillance (CLOUD Act) demeure un point d’attention. À documenter dans votre registre des activités de traitement (Art. 30) et, si vous vous appuyez sur les CCT, à accompagner d’une analyse des transferts.
AI Act : les obligations qui s’ajoutent au RGPD
Midjourney est un système d’IA générative, donc soumis au règlement européen sur l’IA en plus du RGPD. Deux obligations concernent directement votre usage en 2026.
D’abord, l’Art. 50 de l’AI Act impose une obligation de transparence : les contenus de synthèse (images, audio, vidéo générés par IA) doivent être identifiables comme tels, et les « deepfakes » doivent faire l’objet d’un marquage. Ces obligations de transparence deviennent applicables à compter d’août 2026. Concrètement, si vous diffusez un visuel généré par Midjourney susceptible d’être pris pour une photo réelle, vous devrez l’indiquer.
Ensuite, les fournisseurs de modèles d’IA à usage général (GPAI) doivent publier un résumé du contenu utilisé pour l’entraînement (Art. 53), obligation entrée en application en août 2025. C’est un élément que vous pouvez consulter pour documenter votre propre chaîne de conformité. Pour une vue d’ensemble, voyez notre guide AI Act pour les PME et les recommandations IA de la CNIL.
Plan d’action conformité avant de déployer Midjourney
Pour un usage professionnel maîtrisé, je recommande la séquence suivante :
- Activer le mode furtif (Pro/Mega) pour tout contenu professionnel, ou interdire Midjourney pour les données sensibles/confidentielles.
- Inscrire le traitement au registre (Art. 30), en mentionnant le transfert hors UE et la finalité.
- Encadrer les prompts par une charte interne : aucune donnée personnelle de tiers, aucune donnée sensible (Art. 9), aucune information confidentielle client.
- Interdire la génération de visages de personnes réelles sans consentement écrit.
- Marquer les contenus IA diffusés en externe (anticipation Art. 50 AI Act).
- Informer les personnes concernées (Art. 13) lorsque leurs données alimentent un visuel, et respecter le droit d’accès et le droit à l’effacement.
Cartographier ses outils IA, ses sous-traitants et ses transferts, puis maintenir le registre à jour, est précisément le type de travail que Legiscope automatise.
Ce qu’il faut retenir
- Deux traitements distincts : vos données de compte (Midjourney = responsable) et les données personnelles que vous injectez dans vos prompts/images (vous devenez responsable).
- Galerie publique par défaut sur les forfaits standards : le mode furtif (Pro/Mega) est un prérequis de conformité pour tout usage professionnel, au titre de l’Art. 32 et de la minimisation.
- Générer un visage réel peut constituer un traitement de données sensibles (Art. 9), cumulé au droit à l’image — à proscrire sans consentement.
- Hébergement aux États-Unis : transfert hors UE à encadrer (DPF et/ou CCT) et à documenter au registre.
- AI Act : marquage des contenus de synthèse (Art. 50, applicable août 2026) et résumé d’entraînement GPAI (Art. 53).
FAQ
Midjourney est-il conforme au RGPD ?
Midjourney peut être utilisé en conformité avec le RGPD, mais ce n’est pas automatique. Les principaux points de vigilance sont l’hébergement aux États-Unis (transfert hors UE), la galerie publique par défaut sur les forfaits standards, et le traitement de données personnelles dès qu’un prompt ou une image concerne une personne identifiable.
Peut-on générer l’image d’une personne réelle avec Midjourney ?
C’est fortement déconseillé sans le consentement écrit de la personne. Le visage d’une personne identifiable est une donnée personnelle (Art. 4(1)) qui peut relever des données sensibles (Art. 9), et la diffusion d’un tel visuel met aussi en jeu le droit à l’image et le risque de deepfake.
Faut-il signaler qu’une image a été générée par IA ?
Oui, l’AI Act (Art. 50) impose de marquer les contenus de synthèse, en particulier les deepfakes, ces obligations de transparence devenant applicables à compter d’août 2026. Indiquer qu’un visuel est généré par IA devient donc une bonne pratique à généraliser dès maintenant.
Mes prompts Midjourney sont-ils confidentiels ?
Pas par défaut. Sur les forfaits standards, vos prompts et vos images sont publics et consultables par d’autres utilisateurs. Seul le mode furtif (stealth mode), réservé aux abonnements Pro et Mega, rend vos créations privées.