[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/agent-ia-rgpd-dpo\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/agent-ia-rgpd-dpo\/","headline":"DPO face \u00e0 l’IA agentique : quand l’agent IA de votre prestataire traite des donn\u00e9es personnelles","name":"DPO face \u00e0 l’IA agentique : quand l’agent IA de votre prestataire traite des donn\u00e9es personnelles","description":"Adecco a trait\u00e9 220 000 conversations candidats via un agent IA d\u00e9ploy\u00e9 sur 900 agences, dont 60% hors heures de bureau. Pour le DPO, la question n\u2019est pas technique : l\u2019agent est-il sous-traitant ou co-responsable ? Quelle est la base l\u00e9gale ? Comment documenter dans le registre ?","datePublished":"2026-06-15","dateModified":"2026-06-17","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/06\/agent_ia_rgpd_dpo_prestataire_donnees_personnelles.jpg","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/06\/agent_ia_rgpd_dpo_prestataire_donnees_personnelles.jpg","height":1080,"width":1920},"url":"https:\/\/mdp-data.com\/agent-ia-rgpd-dpo\/","about":["DPO"],"wordCount":1505,"keywords":["Agent IA","Donn\u00e9es personnelles","DPO","IA agentique","RGPD"],"articleBody":"Les agents IA traitant des donn\u00e9es personnelles de vos candidats, clients ou salari\u00e9s sont d\u00e9sormais une r\u00e9alit\u00e9 op\u00e9rationnelle. Selon les chiffres partag\u00e9s par Pierre Matuchet, SVP IT Digital Transformation chez Adecco, lors de l’AgentForce World Tour Paris le 5 juin 2026, la soci\u00e9t\u00e9 a d\u00e9ploy\u00e9 AgentForce sur ses 900 agences fran\u00e7aises : 220 000 conversations termin\u00e9es avec des candidats, 60% en dehors des heures de bureau. Pour le DPO, la question centrale n’est pas de savoir si l’IA fonctionne,  c’est de qualifier ce traitement pour le RGPD.SommaireToggleCe que fait concr\u00e8tement un agent IA dans les processus RHAgent IA RGPD : sous-traitant ou co-responsable ?Quelle base l\u00e9gale pour les \u00e9changes de l’agent IA avec vos candidats ?Comment documenter dans le registre des traitementsCe que MDP Data protection proposeFAQ – Agent IA et donn\u00e9es personnelles RGPDEn r\u00e9sum\u00e9SourcesPour aller plus loinLes solutions MDP Data ProtectionNotre M\u00e9thode : le Continuous Compliance Operating System – CCOS\u00c0 propos de l’auteurCe que fait concr\u00e8tement un agent IA dans les processus RHContrairement \u00e0 un chatbot classique, un agent IA agentique prend des d\u00e9cisions et d\u00e9clenche des actions : Pour une analyse compl\u00e9mentaire, lisez comprendre la pseudonymisation dans le RGPD.Contacter les candidats par SMS ou messagerie, recueillir leurs disponibilit\u00e9s, poser des questions de pr\u00e9-s\u00e9lectionAnalyser les r\u00e9ponses et scorer les candidats par rapport au profil recherch\u00e9Planifier des entretiens ou transmettre les dossiers aux recruteursOp\u00e9rer hors heures ouvr\u00e9es : des d\u00e9cisions automatis\u00e9es peuvent donc affecter des candidats sans intervention humaine en temps r\u00e9elChacune de ces actions implique un traitement de donn\u00e9es personnelles : identit\u00e9, coordonn\u00e9es, contenu des \u00e9changes, profilage, qualification.Agent IA RGPD : sous-traitant ou co-responsable ?C’est la premi\u00e8re question juridique \u00e0 r\u00e9soudre. La r\u00e9ponse d\u00e9pend de la marge de d\u00e9cision laiss\u00e9e au prestataire IA.Le prestataire est sous-traitant si…Il d\u00e9ploie l’agent IA selon vos instructions et finalit\u00e9s. Vous d\u00e9finissez les crit\u00e8res de s\u00e9lection, le script de conversation, les r\u00e8gles de qualification. Le prestataire n’a aucune autonomie sur la finalit\u00e9. Un accord de sous-traitance conforme \u00e0 l’article 28 RGPD est alors obligatoire.Le prestataire est co-responsable si…Il d\u00e9termine conjointement avec vous les finalit\u00e9s et moyens du traitement \u2014 par exemple s’il applique ses propres algorithmes de scoring ou r\u00e9utilise les donn\u00e9es pour am\u00e9liorer son mod\u00e8le. Un accord de co-responsabilit\u00e9 transparent selon l’article 26 RGPD est requis.En pratique, la fronti\u00e8re est souvent floue. Documentez cette analyse dans votre registre des traitements.Quelle base l\u00e9gale pour les \u00e9changes de l’agent IA avec vos candidats ?L’ex\u00e9cution de mesures pr\u00e9contractuelles (article 6(1)(b)) : si la conversation s’inscrit directement dans un processus de recrutement auquel le candidat a postul\u00e9. Ne couvre pas les contacts non sollicit\u00e9s.Le consentement (article 6(1)(a)) : plus solide pour les \u00e9changes initi\u00e9s envers des contacts qui n’ont pas express\u00e9ment postul\u00e9. Doit \u00eatre explicite, inform\u00e9 et r\u00e9vocable.L’int\u00e9r\u00eat l\u00e9gitime (article 6(1)(f)) : possible mais \u00e0 documenter rigoureusement via un test de mise en balance.Point d’attention : si l’agent IA prend des d\u00e9cisions significatives pour le candidat (s\u00e9lection, rejet, transmission ou non \u00e0 un recruteur), l’article 22 RGPD sur la prise de d\u00e9cision automatis\u00e9e entre en jeu. Le candidat doit \u00eatre inform\u00e9, et une intervention humaine doit \u00eatre possible sur demande. Par ailleurs, le recrutement figure parmi les th\u00e9matiques prioritaires de contr\u00f4le CNIL 2026, un signal fort pour les DPO.Voir \u00e9galement l’article : Programme CNIL 2026 pour les DPO : ce qui vous attend concr\u00e8tementComment documenter dans le registre des traitementsIntitul\u00e9 du traitement : ex. \u00ab\u00a0Pr\u00e9-s\u00e9lection candidats via agent IA\u00a0\u00bbFinalit\u00e9 pr\u00e9cise : recrutement, qualification initiale, planification d’entretiensBase l\u00e9gale retenue et justificationCat\u00e9gories de donn\u00e9es trait\u00e9es : identit\u00e9, coordonn\u00e9es, contenu des \u00e9changes, scoringDestinataires : recruteurs, \u00e9quipes RH, prestataire IADur\u00e9e de conservation des \u00e9changes et du scoringQualification du prestataire : sous-traitant ou co-responsable (avec r\u00e9f\u00e9rence au contrat)D\u00e9cision automatis\u00e9e : oui\/non, et si oui, m\u00e9canisme de recours humainAIPD : r\u00e9alis\u00e9e ou non (obligatoire si d\u00e9cision automatis\u00e9e \u00e0 effets significatifs)Ce que MDP Data protection proposeQualifier juridiquement un traitement IA agentique dans les processus RH requiert de croiser le RGPD, l’AI Act (qualification haut risque pour le domaine \u00ab\u00a0emploi\u00a0\u00bb) et les r\u00e8gles du droit du travail. MDP accompagne les DPO et \u00e9quipes RH pour :Qualifier la relation contractuelle avec le prestataire IAD\u00e9terminer la base l\u00e9gale adapt\u00e9e et r\u00e9diger les mentions d’informationR\u00e9aliser l’AIPD si elle est obligatoireDocumenter le traitement dans le registre et pr\u00e9parer les clauses contractuellesVotre organisation d\u00e9ploie ou envisage de d\u00e9ployer un agent IA en contact avec des candidats ou des clients ? Prenez rendez-vous pour faire le point.FAQ – Agent IA et donn\u00e9es personnelles RGPDUn agent IA est-il automatiquement un sous-traitant au sens du RGPD ?Non. S’il d\u00e9ploie l’outil selon vos seules instructions, c’est un sous-traitant. S’il d\u00e9termine conjointement avec vous les finalit\u00e9s ou moyens du traitement, il peut \u00eatre co-responsable. Cette qualification doit \u00eatre document\u00e9e dans le registre des traitements.Faut-il informer les candidats qu’ils interagissent avec un agent IA ?Oui. L’article 13 RGPD impose une information sur le traitement, y compris l’existence de d\u00e9cisions automatis\u00e9es. L’AI Act impose \u00e9galement la transparence sur les syst\u00e8mes IA en contact avec des personnes (article 50).L’article 22 RGPD s’applique-t-il aux agents IA de recrutement ?Potentiellement oui, si l’agent prend des d\u00e9cisions \u00e0 effets significatifs sur le candidat (s\u00e9lection, rejet, transmission ou non). Le candidat a alors droit \u00e0 une intervention humaine, \u00e0 exprimer son point de vue et \u00e0 contester la d\u00e9cision.Faut-il r\u00e9aliser une AIPD pour un agent IA de recrutement ?Oui, dans la plupart des cas. Le recrutement IA implique un profilage \u00e0 grande \u00e9chelle ou des d\u00e9cisions automatis\u00e9es, deux crit\u00e8res qui d\u00e9clenchent l’obligation d’AIPD selon les lignes directrices de l’EDPB.L’AI Act s’applique-t-il \u00e0 un agent IA de recrutement ?Probablement oui. Le domaine \u00ab\u00a0emploi\u00a0\u00bb figure \u00e0 l’Annexe III de l’AI Act. Un agent IA qui \u00e9value ou s\u00e9lectionne des candidats peut \u00eatre qualifi\u00e9 de syst\u00e8me IA \u00e0 haut risque, avec toutes les obligations qui en d\u00e9coulent.\ud83d\udd0e Vous avez une question plus g\u00e9n\u00e9rale sur la conformit\u00e9 RGPD ou la cybers\u00e9curit\u00e9 ? Consultez notre FAQ g\u00e9n\u00e9rale.En r\u00e9sum\u00e9Le d\u00e9ploiement d’agents IA en contact avec des candidats ou des clients g\u00e9n\u00e8re des traitements de donn\u00e9es personnelles que le DPO doit qualifier et documenter. Les deux questions centrales sont : le prestataire est-il sous-traitant ou co-responsable, et y a-t-il prise de d\u00e9cision automatis\u00e9e au sens de l’article 22 RGPD ? Dans les deux cas, le registre doit \u00eatre mis \u00e0 jour, une AIPD peut \u00eatre obligatoire, et les personnes concern\u00e9es doivent \u00eatre inform\u00e9es. Le recrutement \u00e9tant une priorit\u00e9 de contr\u00f4le CNIL 2026, la mise en conformit\u00e9 de ces traitements ne peut pas attendre.SourcesAdecco et AgentForce : 220 000 conversations \u2014 Comptoir IA (Nicolas Guyon, d’apr\u00e8s Pierre Matuchet, SVP IT Adecco, AgentForce World Tour Paris), 5 juin 2026Priorit\u00e9s de contr\u00f4le CNIL 2026 \u2014 CNIL.frPour aller plus loinCNIL -  Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesMDP Data Protection - Logiciel RGPD : comment choisir la solution id\u00e9ale pour votre entrepriseLes solutions MDP Data ProtectionMDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformit\u00e9 multi-r\u00e9glementaire (RGPD, NIS2 et IA Act...), avec une approche op\u00e9rationnelle et \u00e9volutive.SimplyRGPD : Pilotage de votre conformit\u00e9 au quotidien.MDP CAMPUS : Notre parcours de sensibilisation en vid\u00e9os p\u00e9dagogiques de 3 \u00e0 7 minutes.MDP Diagnostic : Diagnostic instantan\u00e9 de votre niveau de conformit\u00e9.Notre M\u00e9thode : le Continuous Compliance Operating System - CCOSEt si votre conformit\u00e9 vivait en continu, au lieu d'\u00eatre un livrable de plus ?D\u00e9couvrir la m\u00e9thode CCOS\u00c0 propos de l’auteur Christophe SAINT-PIERRE  \u2013 Fort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"DPO face \u00e0 l’IA agentique : quand l’agent IA de votre prestataire traite des donn\u00e9es personnelles","item":"https:\/\/mdp-data.com\/agent-ia-rgpd-dpo\/#breadcrumbitem"}]}]