Perplexity AI et RGPD : guide de conformité 2026
Perplexity AI est-il conforme au RGPD ? Analyse du statut sous-traitant, du DPA, des transferts hors UE, de l'usage des données et configuration Enterprise recommandée.
L’essentiel. Perplexity AI est un moteur de réponse américain qui combine recherche web et IA générative. Pour un usage professionnel, il agit en sous-traitant au sens de l’article 28 du RGPD, mais soulève trois difficultés propres : l’usage des saisies pour l’amélioration des modèles selon l’offre, les transferts vers les États-Unis, et le traitement des sources citées. L’offre Enterprise Pro apporte des garanties contractuelles absentes de l’offre gratuite. Une AIPD est nécessaire dès que l’outil traite des données à caractère personnel de manière systématique.
Perplexity AI s’est imposé en deux ans comme l’un des principaux « moteurs de réponse » du marché, à mi-chemin entre un moteur de recherche et un assistant conversationnel. Contrairement à ChatGPT ou Claude, Perplexity ne se contente pas de générer du texte à partir de ses données d’entraînement : il interroge le web en temps réel, agrège des sources et produit une réponse sourcée avec citations. Cette architecture hybride recherche + IA générative change la nature des questions de conformité RGPD.
Dans ma pratique de conseil auprès de DPO, Perplexity revient de plus en plus dans les inventaires d’outils IA — souvent introduit par les équipes marketing, veille ou R&D sans passage par la DSI. Or Perplexity AI, Inc. est une société américaine, et son architecture de traitement des données diffère sensiblement de celle d’un simple assistant conversationnel. Ce guide propose une analyse opérationnelle pour le responsable de traitement et le DPO souhaitant encadrer ou déployer Perplexity dans leur organisation.
Pour une vue d’ensemble des enjeux, voir notre actualité AI Act 2026 et notre guide IA générative et données personnelles. Pour comparer avec d’autres outils, voir nos analyses ChatGPT et RGPD, Claude et RGPD et Mistral et RGPD.
Qualification juridique : Perplexity, sous-traitant ou responsable ?
Le statut au sens de l’article 28 RGPD
Pour les offres professionnelles (Perplexity Pro et surtout Perplexity Enterprise Pro), Perplexity AI, Inc. agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre organisation détermine les finalités (veille concurrentielle, recherche documentaire, synthèse d’informations, rédaction assistée) et les moyens essentiels (comptes utilisateurs, périmètre d’usage, données saisies dans les requêtes). Perplexity fournit l’infrastructure et traite les requêtes selon les termes du contrat.
Pour l’offre gratuite (perplexity.ai sans abonnement), la qualification est nettement plus ambiguë. Perplexity se réserve, selon ses conditions, la possibilité d’utiliser les interactions pour améliorer ses services. Dans ce cas, Perplexity agit au moins en partie comme responsable de traitement pour ses propres finalités d’amélioration produit. Un usage professionnel via l’offre gratuite expose donc l’organisation à un traitement dont elle ne maîtrise pas les finalités — une situation à proscrire pour tout traitement de données à caractère personnel.
Une spécificité : le double flux de données
Perplexity traite en réalité deux flux distincts qu’il faut analyser séparément :
- Les données que l’utilisateur saisit (la requête, les documents joints, le contexte) — flux entrant classique d’un outil IA
- Les données récupérées sur le web (les sources interrogées, leur contenu, les citations produites) — flux propre au moteur de réponse
Ce second flux est spécifique à Perplexity et absent des assistants purement génératifs. Lorsque Perplexity indexe et restitue le contenu de pages web contenant des données personnelles (profils, articles nominatifs, mentions), il opère un traitement de ces données. La question de la base légale et de l’exactitude (Art. 5(1)(d) RGPD) se pose alors, comme pour tout moteur de recherche.
Usage des données pour l’entraînement des modèles
C’est le point de vigilance central. La politique d’usage des données varie selon l’offre :
| Offre | Usage des saisies pour amélioration/entraînement | Qualification probable |
|---|---|---|
| Perplexity gratuit | Possible selon les conditions, opt-out à vérifier dans les paramètres | Responsable conjoint / autonome pour l’amélioration |
| Perplexity Pro | Réglages de confidentialité disponibles (désactivation de la conservation possible) | Sous-traitant, sous réserve de la configuration |
| Perplexity Enterprise Pro | Engagement de non-utilisation des données client pour l’entraînement | Sous-traitant |
Répartition indicative à vérifier dans les conditions contractuelles en vigueur au moment du déploiement — Perplexity fait évoluer ses offres et ses politiques régulièrement.
L’enseignement pratique : seule l’offre Enterprise Pro apporte un engagement contractuel clair de non-entraînement sur les données client. Pour les offres individuelles, la protection repose sur des réglages de compte (data retention / AI data usage) que l’utilisateur doit activer explicitement, ce qui ne constitue pas une garantie contractuelle opposable au sens de l’article 28.
Transferts hors Union européenne
Perplexity AI, Inc. est établie aux États-Unis. Le traitement des requêtes implique donc, par défaut, un transfert de données à caractère personnel vers les États-Unis. Trois mécanismes sont à examiner :
- Data Privacy Framework (DPF) : si Perplexity est certifié au DPF UE–États-Unis, le transfert bénéficie de la décision d’adéquation de la Commission du 10 juillet 2023. La certification DPF de Perplexity est à vérifier sur la liste officielle du Department of Commerce, car toutes les entreprises IA n’y figurent pas.
- Clauses contractuelles types (CCT) : à défaut de certification DPF, le transfert doit reposer sur les CCT de la Commission (décision 2021/914), accompagnées d’une analyse d’impact des transferts (TIA) évaluant l’accès potentiel des autorités américaines.
- Localisation infrastructure : Perplexity s’appuie sur des fournisseurs cloud (hyperscalers américains). L’existence d’une éventuelle option de résidence des données UE pour l’offre Enterprise est à confirmer dans le contrat.
Ce point différencie nettement Perplexity d’une solution européenne comme Mistral, pour laquelle la question du transfert ne se pose pas de la même manière.
Analyse du DPA Perplexity Enterprise
Le DPA (Data Processing Addendum) n’est disponible que pour les offres professionnelles, principalement Enterprise Pro. Évaluation au regard des exigences de l’article 28 du RGPD :
| Exigence Art. 28 RGPD | Couverture attendue dans le DPA Enterprise | Point de vigilance |
|---|---|---|
| Traitement sur instruction documentée (28.3.a) | Périmètre fixé par le contrat et les paramètres du compte | Vérifier le champ des instructions |
| Confidentialité du personnel (28.3.b) | Engagements internes | Standard |
| Sécurité Art. 32 (28.3.c) | Chiffrement en transit et au repos, contrôles d’accès, certifications (SOC 2 à confirmer) | Demander les rapports d’audit |
| Sous-traitance ultérieure (28.3.d) | Liste des sous-traitants (cloud, modèles tiers) | Vérifier la présence de fournisseurs de modèles tiers |
| Aide à l’exercice des droits (28.3.e) | Procédures de suppression | À tester en pratique |
| Notification de violation (28.3.f) | Engagement de notification | Vérifier le délai |
| Suppression en fin de contrat (28.3.g) | Suppression post-résiliation | Vérifier le délai contractuel |
| Audit du sous-traitant (28.3.h) | Droit d’audit encadré | Souvent limité aux rapports fournis |
Point spécifique à Perplexity : le service s’appuie sur des modèles tiers (Perplexity orchestre différents grands modèles selon le mode choisi). Le DPA doit identifier ces fournisseurs de modèles comme sous-traitants ultérieurs, car les requêtes peuvent transiter par leur infrastructure. C’est une chaîne de sous-traitance à cartographier explicitement dans votre registre des systèmes d’IA.
AIPD : quand est-elle nécessaire ?
Le déploiement de Perplexity ne déclenche pas automatiquement une analyse d’impact, mais plusieurs de ses usages typiques y conduisent.
Cas où l’AIPD est obligatoire (Art. 35 RGPD)
- Perplexity utilisé pour de la recherche nominative sur des personnes (due diligence, sourcing candidats, veille sur des individus) — traitement à grande échelle et potentiellement du profilage
- Perplexity déployé sur des données sensibles (santé, opinions, appartenance)
- Perplexity intégré à un processus de décision affectant les personnes
Cas où l’AIPD est fortement recommandée
- Déploiement Enterprise sur des données opérationnelles à l’échelle de l’organisation
- Premier outil IA générative introduit dans l’organisation — l’AIPD devient le document de référence
- Usage de la fonction « espaces » ou de l’API avec téléversement de documents internes
Pour la méthodologie, voir notre guide AIPD et intelligence artificielle et les recommandations CNIL sur l’IA.
Articulation avec le AI Act
Le AI Act (règlement (UE) 2024/1689) s’applique à Perplexity sous deux angles. En amont, les grands modèles qu’il mobilise relèvent des obligations relatives aux modèles d’IA à usage général (GPAI) du chapitre V, applicables depuis le 2 août 2025 — obligations qui pèsent sur les fournisseurs de modèles, pas sur vous.
Pour vous, déployeur de Perplexity, les obligations dépendent de l’usage. Un usage standard de veille ou de recherche documentaire relève surtout de l’obligation de transparence de l’article 50 (informer que du contenu est généré ou assisté par IA). En revanche, un usage entrant dans le champ de l’annexe III — par exemple un outil d’aide à la présélection RH — bascule en haut risque, avec les obligations du déployeur de l’article 26 dont les échéances s’échelonnent d’août 2026 à 2027. Voir notre guide classification des risques IA et AI Act pour les PME. À noter que les actes d’exécution et lignes directrices de la Commission ne sont pas encore tous publiés : certaines modalités restent à confirmer.
Configuration recommandée
1. Choix de l’offre
- Proscrire l’offre gratuite pour tout usage professionnel impliquant des données personnelles
- Privilégier Enterprise Pro pour obtenir un DPA, l’engagement de non-entraînement et des contrôles administrateur
- À défaut, en Pro, activer explicitement les réglages de non-conservation / non-utilisation des données dans les paramètres du compte
2. Encadrement contractuel et transferts
- Signer le DPA et vérifier le fondement du transfert (DPF ou CCT + analyse d’impact des transferts)
- Cartographier la chaîne de sous-traitance, y compris les fournisseurs de modèles tiers
- Documenter Perplexity dans le registre des systèmes d’IA et le registre des traitements
3. Mesures techniques et organisationnelles
- Interdire la saisie de données sensibles et de secrets d’affaires dans les requêtes via une charte d’usage
- Désactiver l’indexation ou l’historique partagé le cas échéant
- Former les utilisateurs : les réponses de Perplexity, même sourcées, peuvent contenir des erreurs ou des données inexactes sur des personnes ; la vérification humaine reste indispensable
4. Gestion des sources et du droit à l’exactitude
Comme Perplexity restitue du contenu nominatif issu du web, prévoir une procédure pour traiter les demandes de personnes contestant l’exactitude d’une réponse les concernant, sur le modèle du contentieux applicable aux moteurs de recherche.
FAQ : Perplexity AI et RGPD
Perplexity est-il conforme au RGPD ?
Aucun outil n’est « conforme » dans l’absolu : la conformité dépend de l’offre choisie et de la configuration. L’offre Enterprise Pro, correctement encadrée par un DPA et un fondement de transfert valide, peut s’inscrire dans une démarche de conformité. L’offre gratuite, dont Perplexity peut exploiter les saisies pour ses propres finalités, n’est pas adaptée à un usage professionnel sur données personnelles.
Perplexity utilise-t-il mes requêtes pour entraîner ses modèles ?
Cela dépend de l’offre. En Enterprise Pro, un engagement de non-utilisation est prévu. En Pro et en gratuit, l’usage à des fins d’amélioration dépend des réglages du compte et des conditions en vigueur, qu’il faut vérifier et configurer explicitement.
Les données passent-elles par les États-Unis ?
Oui, par défaut, Perplexity AI, Inc. étant établie aux États-Unis. Le transfert doit reposer sur le Data Privacy Framework (si Perplexity est certifié, à vérifier) ou sur les clauses contractuelles types accompagnées d’une analyse d’impact des transferts.
Perplexity est-il préférable à ChatGPT pour la conformité ?
Ce sont des outils de nature différente : Perplexity ajoute un flux de traitement de sources web absent de ChatGPT. Sur le plan des transferts, les deux posent des questions similaires (établissement américain). Perplexity impose une vigilance supplémentaire sur le traitement des données nominatives issues du web.
Faut-il une AIPD pour utiliser Perplexity en PME ?
Pas pour un usage exploratoire ponctuel sur des sujets non nominatifs. L’AIPD devient nécessaire dès que l’outil sert à rechercher des informations sur des personnes, traite des données sensibles ou s’intègre à un processus décisionnel.
Comment intégrer Perplexity à mon registre ?
Créer une fiche traitement par finalité (veille, recherche documentaire, rédaction assistée), documenter les catégories de données saisies, la base légale, la durée de conservation, le sous-traitant Perplexity AI et ses garanties de transfert. Pour structurer cette documentation et suivre l’ensemble des outils IA de l’organisation, un logiciel RGPD permet de générer le registre, cartographier les sous-traitants IA et maintenir les AIPD à jour.
Pour aller plus loin, consultez notre guide audit RGPD afin d’évaluer l’ensemble de vos outils IA existants.