Chaque dirigeant pose la même question avant de confier de vraies données clients à Claude : « Cela va-t-il nous mettre en faute avec le RGPD ? » C’est la bonne question.

La conformité au RGPD n’est pas un simple interrupteur dans Claude. C’est une courte série de décisions à prendre avant le déploiement. Réussissez-les et Claude s’inscrit sans peine dans le droit européen.

Ce guide parcourt cette série. Puis il montre où l’UE, l’Allemagne et la Suisse divergent. Car elles divergent.

Une précision sur le périmètre. Ceci est un guide pratique, pas un avis juridique. Confirmez les détails avec votre délégué à la protection des données ou votre conseil. Nous vous aidons à poser les bonnes questions et à concevoir le déploiement — nous ne remplaçons pas votre avocat.

La décision qui règle l’essentiel : quel Claude vous utilisez

C’est là que naît la confusion. Anthropic opère deux mondes bien distincts.

Les offres grand public — Claude Free, Pro et Max. Depuis septembre 2025, elles s’entraînent sur vos conversations par défaut, sauf si l’utilisateur le désactive dans les paramètres. Parfait pour un usage personnel. À proscrire pour des données clients.

Les produits commerciaux — Claude for Work (Team et Enterprise) et l’API Anthropic. Ici, Anthropic n’entraîne pas ses modèles sur vos données par défaut. C’est la voie pour tout déploiement professionnel sérieux.

Le fameux « paramètre » dont votre équipe a entendu parler est donc surtout un choix d’offre. Placez vos collaborateurs sur une offre commerciale et le réglage par défaut joue en votre faveur. Laissez-les sur un compte Pro personnel et vous héritez des conditions grand public. La plupart des incidents que nous voyons relèvent simplement de la mauvaise porte.

Ce que le RGPD vous demande vraiment

Une fois sur une offre commerciale, quatre éléments complètent le tableau.

1. Un accord de traitement des données (DPA) signé. Sous le RGPD, vous êtes le responsable du traitement et Anthropic votre sous-traitant. Le DPA d’Anthropic est intégré à ses Conditions commerciales et inclut les clauses contractuelles types (CCT), avec des modules spécifiques pour l’UE, le Royaume-Uni et la Suisse. C’est le contrat qui rend la relation licite.

2. Un choix de conservation. Par défaut, Anthropic supprime les entrées et sorties de l’API sous 30 jours. Pour des besoins plus stricts, un accord Zero Data Retention supprime entièrement ce stockage — rien n’est conservé au repos après la réponse. À demander quand les données sont sensibles.

3. Vos propres documents. Une analyse d’impact relative à la protection des données pour les usages à risque élevé. Un registre des traitements à jour. Des règles internes sur ce que le personnel peut ou ne peut pas coller. Cette part vous revient, pas au fournisseur.

4. Une transparence honnête. Dites aux gens quand l’IA touche leurs données. Gardez un humain dans la boucle pour les décisions qui les concernent.

C’est la même discipline que vous appliquez déjà à tout sous-traitant cloud — appliquée délibérément à Claude.

Où vivent vos données : la question de la résidence

Voici une nuance qui surprend les équipes. Les certifications publiées par Anthropic couvrent l’ISO 27001, l’ISO/IEC 42001, le SOC 2 (Type I et II) et la conformité HIPAA. Elles n’incluent pas le Data Privacy Framework UE–États-Unis. Les transferts transfrontaliers reposent donc sur les clauses contractuelles types (CCT) du DPA, et non sur une auto-certification au cadre.

Par ailleurs, l’API directe d’Anthropic traite dans des régions « US » ou « global ». Il n’existe pas d’option strictement européenne aujourd’hui. Si votre politique exige que les données restent dans l’UE, faites passer Claude par AWS Bedrock ou Google Cloud Vertex AI dans leurs régions européennes. Même modèle, frontière de traitement européenne.

C’est exactement le type de tuyauterie que gère notre couche de routage IA conforme — envoyer chaque requête au bon endroit, avec une piste d’audit derrière.

Trois marchés, trois jeux de règles

Les mécanismes de transfert sont largement partagés. Les attentes locales ne le sont pas.

Union européenne — la base

Le RGPD pose le socle : une base légale, le DPA et les CCT, une AIPD pour les traitements à risque, et la transparence sur les décisions automatisées. Franchissez ce seuil et vous avez franchi l’essentiel de l’Europe.

Allemagne — la pièce la plus stricte où vous entrerez

L’Allemagne superpose la BDSG et la loi sur l’organisation de l’entreprise au RGPD. Deux conséquences pratiques en découlent.

D’abord, le conseil d’entreprise (Betriebsrat) peut bloquer tout outil qui surveille la façon dont les employés travaillent — et un assistant IA peut entrer dans ce champ. Impliquez-le tôt. En Allemagne, un déploiement d’IA est une affaire de cogestion, pas seulement d’informatique.

Ensuite, les autorités allemandes de protection des données (la DSK) ont publié des recommandations concrètes sur l’IA en 2024. Leur conseil pour les LLM en entreprise est précis : désactiver le stockage de l’historique des dialogues, refuser l’entraînement, garder un humain sur la décision finale, vérifier l’exactitude et les biais des sorties, et ne jamais coller de données personnelles là où le fournisseur les traiterait à ses propres fins. Une offre commerciale Claude, bien configurée, répond à cela — mais la configuration doit être délibérée.

Suisse — proche du RGPD, avec ses propres dents

La nouvelle loi fédérale sur la protection des données (nLPD) s’applique depuis le 1er septembre 2023, sous la surveillance du PFPDT. Elle suit le RGPD de près : AIPD, transparence sur les décisions automatisées et fortes exigences de sécurité.

Deux spécificités suisses comptent. Les transferts vers les États-Unis sont nets uniquement pour les destinataires certifiés au titre du Data Privacy Framework Suisse–États-Unis (les États-Unis ont rejoint la liste d’adéquation suisse le 14 août 2024). Pour tous les autres — Anthropic compris — les CCT restent la garantie, fournie par le module suisse du DPA. Et l’application a un tranchant inhabituel : la nLPD peut infliger une amende aux personnes responsables jusqu’à CHF 250’000, et pas seulement à l’entreprise. Pour les banques et les assureurs, les règles d’externalisation de la FINMA et le secret bancaire relèvent encore la barre.

Une alternative souveraine suisse à surveiller : Infomaniak

Pour les organisations suisses où la souveraineté des données est une ligne dure, il existe une option locale. Infomaniak, le fournisseur cloud genevois, propose désormais une IA bâtie sur des modèles open source, traitée et stockée entièrement en Suisse, sans transfert à l’étranger ni entraînement sur vos données. Elle est conforme au RGPD et à la nLPD, et le centre de données chauffe même des logements genevois avec son énergie résiduelle. Pour une PME suisse qui ne peut tout simplement pas faire franchir une frontière à ses données, voilà une réponse réellement intéressante.

Il y a un compromis, et il est honnête. Infomaniak fait tourner des modèles à poids ouverts, pas Claude. Donc l’outillage de développement agentique sur lequel beaucoup d’équipes s’appuient désormais, Claude Code étant l’exemple évident, ne s’y greffe pas encore proprement. La capacité est souveraine ; l’environnement autour est bien moins mûr. Nous traiterons ce compromis souveraineté-capacité dans un prochain article.

Comment Headswap aborde un déploiement conforme

Nous commençons par écouter, pas par installer. Une courte phase de découverte révèle quelles données vos équipes veulent réellement confier à Claude, et à quel point elles sont sensibles. À partir de là, la voie est pragmatique :

  • Placer chacun sur la bonne offre commerciale — pas de comptes personnels pour le travail client.
  • Signer le DPA ; activer le Zero Data Retention quand les données le justifient.
  • Router les données destinées à l’UE ou à la Suisse vers la bonne région, avec journalisation.
  • Remettre à votre DPO une AIPD propre et une politique d’usage claire à valider.
  • En Allemagne, impliquer le conseil d’entreprise dès le premier jour.

Des solutions pragmatiques qui apportent une vraie valeur — et, tout aussi important, que votre équipe conformité peut défendre.

Questions fréquentes

Claude est-il conforme au RGPD ?

Claude peut s’utiliser de façon conforme au RGPD sur une offre commerciale (Claude for Work ou l’API) avec un DPA signé. Les offres grand public sont une autre histoire — elles s’entraînent sur les données par défaut, sauf modification.

Anthropic s’entraîne-t-il sur mes données ?

Pas sur les produits commerciaux (Work, Enterprise, API) par défaut. Les offres grand public Free, Pro et Max le font, depuis septembre 2025, sauf si l’utilisateur s’y oppose.

Puis-je garder les données Claude dans l’UE ou en Suisse ?

L’API directe traite uniquement dans des régions US ou globales. Pour une frontière de traitement dans l’UE, faites passer Claude par AWS Bedrock ou Google Vertex AI dans les régions européennes. Pour une résidence pleinement suisse, un fournisseur souverain comme Infomaniak convient mieux.

Ai-je besoin d’un DPA avec Anthropic ?

Oui. Il est intégré aux Conditions commerciales d’Anthropic et inclut les clauses contractuelles types pour l’UE, le Royaume-Uni et la Suisse.

Claude est-il conforme à la nLPD pour la Suisse ?

Il peut l’être, sur la même base que le RGPD — une offre commerciale, le DPA avec le module CCT suisse, et une AIPD au besoin. Les entreprises financières doivent aussi peser les obligations de la FINMA et du secret bancaire.

Notre conseil d’entreprise doit-il approuver Claude en Allemagne ?

Très probablement. Les conseils d’entreprise allemands disposent de droits de cogestion sur les outils susceptibles de surveiller le personnel. Impliquez-les avant le déploiement, pas après.

Apportez votre workflow

Que faudrait-il pour que votre équipe confie de vraies données clients à Claude ? Voilà la question à trancher avant le premier prompt. Si vous le souhaitez, nous cartographions vos données, votre marché et vos obligations dans un plan de déploiement que votre DPO peut signer — commencez par notre analyse de cas d’usage IA.

Sources