Outils de Présentation IA Conformes RGPD & HIPAA (Guide 2026)

Pour les organisations de santé et européennes, les outils de présentation IA répondant à des exigences de conformité spécifiques sont limités. Pour HIPAA (santé aux États-Unis, nécessite un Business Associate Agreement signé) : Microsoft 365 Copilot est la seule option grand public avec un BAA documenté en avril 2026 ; Canva propose un BAA au niveau entreprise sur demande ; Google Gemini pour Workspace offre un déploiement éligible HIPAA pour les clients Workspace Business/Enterprise qui signent le BAA de Google. Pour le RGPD (traitement des données dans l'UE) : Microsoft et Google proposent des options EU Data Boundary / région de stockage UE ; Beautiful.ai, Gamma, Canva et Plus AI publient des DPA conformes au RGPD avec des clauses contractuelles types, mais ne garantissent pas tous un traitement exclusivement européen — la plupart hébergent encore des données aux États-Unis. L'erreur d'achat courante : les outils de présentation IA qui "supportent" le RGPD ne sont pas les mêmes que les outils garantissant la résidence des données dans l'UE. Ce guide répertorie le statut de conformité réel de chaque outil majeur avec citations des sources, et explique quand chaque réglementation s'applique réellement.

Ce guide résume les positions de conformité publiquement documentées en avril 2026 ; consultez vos propres conseillers juridiques pour des décisions de déploiement spécifiques. Nous ne listons pas les déclarations de conformité que les fournisseurs n'ont pas confirmées par écrit.

HIPAA : La Porte du BAA

La HIPAA (Health Insurance Portability and Accountability Act) régit la manière dont les organisations américaines traitent les Protected Health Information (PHI). Si votre présentation est susceptible de contenir des noms de patients, des numéros de dossiers médicaux, des diagnostics, des images médicales ou l'un des 18 identifiants HIPAA — même en note de bas de page ou en annexe — vous traitez des PHI.

Pour qu'un service cloud puisse être utilisé avec des PHI, le fournisseur doit signer un Business Associate Agreement (BAA) avec votre organisation. Le BAA est un contrat spécifique au titre du 45 CFR §164.504(e) qui oblige le fournisseur à protéger les PHI, à signaler les violations et à limiter les utilisations. Sans BAA, tout PHI téléchargé vers l'outil constitue une violation HIPAA — quelle que soit la sécurité technique de l'outil.

Qui Propose Publiquement un BAA pour les Fonctionnalités de Présentation IA ?

Microsoft 365 Copilot est couvert par le BAA standard de Microsoft, qui est mis à disposition via le Microsoft Online Services Data Protection Addendum aux clients qui sont des entités couvertes ou des business associates au titre de la HIPAA. Le BAA est accessible via le Service Trust Portal. Microsoft 365 Copilot Enterprise est répertorié comme service inclus dans le périmètre. Les données client ne sont pas utilisées pour entraîner les modèles sous-jacents. Microsoft Copilot for Security est également explicitement couvert.

Google Gemini for Workspace est devenu éligible HIPAA depuis le 30 septembre 2025. L'application Gemini et Gemini dans Workspace — y compris les fonctionnalités « Help me write », les réponses intelligentes contextuelles et les fonctionnalités du panneau latéral qui alimentent la génération IA de Google Slides — sont désormais des fonctionnalités incluses dans le HIPAA Business Associate Addendum de Google Workspace. Vous devez exécuter le BAA de Google et déployer via Google Workspace Business ou Enterprise ; le produit Gemini grand public n'est explicitement pas éligible HIPAA.

Canva propose un BAA au niveau entreprise sur demande, mais uniquement pour des configurations spécifiques. Canva est certifié SOC 2 Type II et ISO 27001, et Canva Enterprise n'utilise pas le contenu des équipes pour entraîner l'IA. Cependant, le produit Canva par défaut — y compris les niveaux gratuit, Pro et Teams — n'est pas conforme HIPAA. Vérifiez le périmètre du BAA auprès de l'équipe commerciale entreprise de Canva avant de télécharger des PHI.

Tous les autres — Gamma, Beautiful.ai, Plus AI, Tome, Pitch — ne documentent pas publiquement de BAA pour les flux de travail de présentation IA en date d'avril 2026. Cela signifie qu'ils sont interdits pour les PHI quelles que soient leurs autres accréditations de sécurité.

À retenir : Si vos diapositives contiennent des PHI, la liste restreinte comprend Microsoft 365 Copilot, Google Gemini for Workspace (avec BAA exécuté) et Canva Enterprise (BAA sur demande). Tout le reste représente un risque de conformité.

RGPD : Traitement des données vs Résidence des données

Le RGPD s'applique dès que vous traitez des données personnelles de personnes concernées de l'UE ou du Royaume-Uni. Pour un outil de présentation, cela inclut le contenu des diapositives que vous téléchargez (s'il contient des données personnelles), les métadonnées sur le créateur du document, et la télémétrie sur l'utilisation de l'outil.

La conformité RGPD d'un fournisseur comporte deux niveaux distincts que les acheteurs confondent fréquemment :

1. Un accord de traitement des données (DPA) conforme au RGPD. Il s'agit du contrat juridique entre vous (le responsable du traitement) et le fournisseur (le sous-traitant). Il doit inclure les clauses contractuelles types (CCT) pour les transferts internationaux, une liste de sous-traitants ultérieurs, un registre des activités de traitement, et des mesures techniques et organisationnelles (MTO). La plupart des fournisseurs SaaS d'entreprise publient un DPA.

2. La résidence des données dans l'UE. Il s'agit d'un engagement technique garantissant que les données ne quittent jamais l'infrastructure de l'UE pour le stockage ou le traitement. Très peu de fournisseurs de présentations IA proposent cette option, car les LLM sous-jacents sont souvent hébergés aux États-Unis.

Un fournisseur peut disposer d'un excellent DPA avec CCT et traiter quand même vos données aux États-Unis. Ce transfert est légal au titre du RGPD si les CCT et des mesures supplémentaires sont en place — mais il peut être éliminatoire pour les acheteurs du secteur public, les secteurs sensibles au regard de l'arrêt Schrems II, ou les organisations ayant des politiques internes exigeant un traitement exclusivement dans l'UE.

Outils proposant de véritables options de résidence des données dans l'UE

Microsoft 365 Copilot est un service de la frontière de données de l'UE (EU Data Boundary). Les données clients au repos continuent de résider dans cette frontière. Toutefois, Microsoft a activé le « Flex Routing » pour tous les locataires UE/AELE à compter du 17 avril 2026, ce qui permet au LLM Copilot d'effectuer l'inférence en dehors de la frontière de données de l'UE pendant les pics de demande. Les données au repos restent dans l'UE ; l'inférence en temps réel peut ne pas y rester. Les organisations nécessitant un traitement strictement dans l'UE doivent explicitement désactiver Flex Routing. De plus, les modèles Anthropic routés via Microsoft sont hors périmètre de la frontière de données de l'UE.

Google Gemini for Workspace prend en charge les régions de données pour les clients Workspace disposant de l'offre Business Plus et supérieures, permettant aux données couvertes d'être stockées dans la région UE. Le comportement de l'inférence Gemini en temps réel doit être vérifié par rapport à la documentation actuelle Google Workspace HIPAA/DPA pour votre région.

Tous les autres principaux outils de présentation IA traitent et stockent les données aux États-Unis par défaut en avril 2026. Cela inclut Gamma, Beautiful.ai, Canva (données stockées aux États-Unis avec CCT pour les transferts), Plus AI et Tome.

Matrice de Conformité par Outil

Outil	HIPAA BAA	Résidence des Données UE	GDPR DPA	SCCs	Transparence des Sous-traitants	Rétention des Données par Défaut	Désactivation de l'Entraînement
Microsoft 365 Copilot (Enterprise)	Oui, via Microsoft Online Services DPA	Frontière de données UE au repos ; Flex Routing peut déplacer l'inférence hors UE	Oui	Oui (2021/914)	Oui, publiée	Selon la politique du tenant	Oui, pas d'entraînement par défaut
Google Gemini for Workspace (Business/Enterprise)	Oui, BAA au 30 sept. 2025	Région de données UE disponible (Business Plus+)	Oui	Oui	Oui, publiée	Selon la politique Workspace	Oui, pas d'entraînement par défaut
Canva Enterprise	Sur demande, niveau enterprise uniquement	Non déclaré publiquement (hébergé aux États-Unis)	Oui	Oui (2021/914, Module 2)	Oui, publiée dans le DPA	Non déclaré publiquement	Oui (Teams/Enterprise uniquement)
Gamma	Non déclaré publiquement	Non (hébergé aux États-Unis)	Oui	Oui	Oui, publiée	Non déclaré publiquement	Niveau Enterprise uniquement
Beautiful.ai	Non déclaré publiquement	Non (hébergé aux États-Unis)	Oui (certification GDPR revendiquée)	Oui	Sur demande	30 jours max pour les données traitées par IA	Oui, non utilisé pour entraîner les LLM publics
Plus AI	Non déclaré publiquement	Non déclaré publiquement	Oui	Non déclaré publiquement	Non déclaré publiquement	Non déclaré publiquement	Niveau Enterprise
Tome	Non déclaré publiquement	Non déclaré publiquement	Oui	Non déclaré publiquement	Non déclaré publiquement	Non déclaré publiquement	Non déclaré publiquement
Pitch	Non déclaré publiquement	Basé en Allemagne ; résidence des données UE plausible	Oui	Oui	Oui	Non déclaré publiquement	Non déclaré publiquement

« Non déclaré publiquement » signifie que le fournisseur ne s'est pas engagé publiquement par écrit sur ce contrôle spécifique selon notre recherche d'avril 2026. Ne considérez pas l'absence de déclaration comme une conformité ou une non-conformité — c'est une question à soulever lors de l'approvisionnement.

Pour les soins de santé (États-Unis) : Que devriez-vous réellement utiliser ?

Outils recommandés

Pour tout flux de travail où des PHI (informations de santé protégées) pourraient apparaître dans une diapositive, une invite AI ou un visuel connecté aux données :

Microsoft 365 Copilot (Enterprise E3/E5 avec licence Copilot). L'option la plus mature, avec génération PowerPoint soutenue par BAA, intégration Teams et contrôles au niveau du locataire. Les données clients ne sont pas utilisées pour entraîner les modèles de fondation.
Google Workspace Business/Enterprise avec Gemini. Éligible HIPAA depuis septembre 2025. Google Slides avec Gemini « Aidez-moi à créer » et les fonctionnalités du panneau latéral sont couverts par le BAA HIPAA une fois exécuté. Nécessite l'acceptation explicite du BAA dans la Console d'administration.
Canva Enterprise avec BAA signé. Viable pour le marketing et les supports d'éducation des patients si le BAA est exécuté et la configuration verrouillée au niveau entreprise. Non recommandé pour les présentations cliniques ou les tableaux de bord opérationnels.

Mises en garde sur les flux de travail

Dé-identifiez dans la mesure du possible. La dé-identification HIPAA Safe Harbor (45 CFR §164.514(b)(2)) retire entièrement HIPAA de l'équation. Si votre diapositive peut afficher des chiffres agrégés ou des vignettes de cas dé-identifiés, c'est la voie la moins risquée.
Configurez les exclusions de formation au niveau du locataire. Même avec un BAA, vérifiez les paramètres de la console d'administration qui empêchent tout ajustement fin ou personnalisation sur les données du locataire.
Auditez l'utilisation par les employés des outils AI grand public. Le vecteur de violation HIPAA n°1 en 2024-2025 était les cliniciens collant des notes dans ChatGPT ou Gemini grand public pour résumer. Déployez des outils d'entreprise avec BAA et bloquez les versions grand public au pare-feu.
Vérifiez la journalisation. HIPAA §164.312(b) exige des contrôles d'audit. Confirmez que votre locataire enregistre les interactions AI au niveau requis par votre programme de conformité.

Pour les flux de travail de présentation cliniques et opérationnels spécifiquement, consultez notre article complémentaire sur les présentations AI pour les soins de santé et les diapositives médicales.

Pour l'UE / RGPD : Options de Déploiement

Les organisations européennes font face à un arbre de décision à plusieurs niveaux :

Si Vous Avez Besoin d'un Traitement Exclusivement dans l'UE (Exigence la Plus Stricte)

Microsoft 365 Copilot avec Flex Routing désactivé. C'est l'option de présentation IA exclusivement européenne la plus proche à grande échelle. Vous devez explicitement désactiver Flex Routing dans le centre d'administration Microsoft 365 avant la date limite d'avril 2026, et accepter que certaines fonctionnalités Copilot puissent se dégrader pendant les périodes de forte demande.
Google Workspace avec région de données UE. Business Plus et les offres supérieures permettent la configuration d'une région de données UE. Vérifiez que les fonctionnalités Gemini spécifiques dont vous dépendez sont incluses dans votre région.
Alternatives auto-hébergées ou natives de l'UE. Pour les cas nécessitant les garanties les plus élevées (par ex., secteur public européen), envisagez des pipelines de génération hébergés dans l'UE ou une génération PowerPoint sur site. 2Slides propose des déploiements d'entreprise avec des régions de traitement de données configurables.

Si Vous Avez Besoin d'un DPA Avec des CTC (Plupart des Cas d'Entreprise)

Presque tous les principaux fournisseurs de présentations IA — Gamma, Beautiful.ai, Canva, Plus AI, Pitch — publient un DPA conforme au RGPD avec des CTC (clauses types contractuelles). Juridiquement, cela suffit pour la plupart des obligations RGPD si l'analyse d'impact du transfert (TIA) le justifie. Examinez la liste des sous-traitants du fournisseur, les paramètres de conservation par défaut, et le statut du Cadre de Protection des Données UE-États-Unis, et documentez votre TIA.

Si Votre Appétence au Risque Permet un Traitement aux États-Unis Avec des Garanties

N'importe quel outil majeur avec un DPA publié est acceptable. Le risque pratique est réputationnel (un sous-traitant basé aux États-Unis rend les audits de conformité plus complexes) et technique (les sous-traitants peuvent changer, les chaînes d'approvisionnement sont opaques). Surveillez les notifications de changement de sous-traitants et établissez des plans de contingence.

À retenir : La conformité RGPD est un spectre, pas un état binaire. Le bon outil dépend de si votre organisation exige une résidence dans l'UE, accepte des transferts vers les États-Unis avec des CTC, ou a des exigences de souveraineté encore plus strictes (par ex., BSI allemand, SecNumCloud français, ou mesures supplémentaires de l'arrêt Schrems II de l'UE).

Pour les Services Juridiques et Financiers : Réglementations Adjacentes

Juridique (États-Unis et Royaume-Uni)

Les cabinets d'avocats traitant des données clients sont soumis aux obligations de secret professionnel et aux règles déontologiques des barreaux (aux États-Unis, ABA Model Rule 1.6 sur la confidentialité). Il ne s'agit pas de « cadres de conformité » au sens SOC 2, mais ils exigent effectivement les mêmes contrôles : pas d'entraînement sur les données clients, isolation des locataires, journaux d'audit et clauses de confidentialité dans le contrat fournisseur. Microsoft 365 Copilot et Google Gemini for Workspace sont les choix sûrs grand public. Pour les présentations de contentieux et orientées clients, consultez notre guide sur les présentations AI pour les équipes juridiques : résumés de dossiers et propositions clients.

Services Financiers

GLBA (Gramm-Leach-Bliley Act) régit les informations personnelles non publiques (NPI) dans les institutions financières américaines. Les règles FINRA s'appliquent aux communications des courtiers. SOX concerne les rapports financiers des entreprises cotées. PCI-DSS couvre les données des porteurs de cartes.

Aucune de ces réglementations ne correspond directement au modèle BAA de HIPAA, mais toutes exigent des contrôles similaires : accords de traitement des données, transparence des sous-traitants, limites de conservation et pistes d'audit. Microsoft 365 Copilot dispose de l'autorisation FedRAMP High pour les clients gouvernementaux américains, ce qui constitue un bon indicateur de rigueur pour les services financiers. Google Workspace dispose également de FedRAMP High.

Éducation (FERPA)

FERPA régit les dossiers scolaires des étudiants dans les établissements américains recevant des financements fédéraux. Contrairement à HIPAA, FERPA n'utilise pas de mécanisme BAA ; il utilise l'exception « agent de l'établissement » et un accord écrit avec le fournisseur. Microsoft et Google publient tous deux des conditions spécifiques FERPA pour leurs offres éducatives. Traitez FERPA de manière similaire à HIPAA pour la sélection d'outils — privilégiez Microsoft 365 Education, Google Workspace for Education ou Canva for Education avec les conditions appropriées.

Pièges de conformité courants

1. Présumer qu'« entreprise » signifie « conforme HIPAA ». Canva Enterprise n'est pas automatiquement couvert par un BAA — vous devez en faire la demande. Les offres entreprise de Beautiful.ai, Gamma et Plus AI ne proposent pas publiquement de BAA du tout. L'offre entreprise améliore les contrôles de sécurité ; elle ne transfère pas automatiquement la responsabilité HIPAA.

2. Confondre DPA conforme RGPD avec résidence des données dans l'UE. Chaque grand fournisseur SaaS dispose d'un DPA conforme au RGPD. Seule une poignée stocke et traite réellement les données dans l'UE. Posez la question spécifique : « Le traitement de mes données — y compris l'inférence LLM en temps réel — se déroule-t-il entièrement au sein de l'UE ? »

3. Ignorer la prolifération des sous-traitants. Un outil de présentation IA peut utiliser OpenAI pour le texte, Anthropic pour le raisonnement, ElevenLabs pour la voix et Cloudflare pour le CDN. Chacun est un sous-traitant, chacun a ses propres politiques de données, et n'importe lequel peut modifier ses conditions. Consultez la liste publiée des sous-traitants et abonnez-vous aux notifications de changement.

4. Oublier les paramètres par défaut des données d'entraînement. Le DPA du fournisseur peut indiquer « nous n'entraînons pas nos modèles sur les données clients » — mais vérifiez que cela s'applique aux fonctionnalités IA spécifiques que vous utilisez, pas seulement au produit de base. Beautiful.ai conserve les données traitées par IA pendant 30 jours ; Gamma entreprise offre des options de désactivation de l'entraînement, mais l'offre grand public ne le fait pas par défaut.

5. Utiliser des outils IA grand public pour un usage professionnel. ChatGPT Free et Google Gemini (grand public) ne sont jamais couverts par des BAA ou des DPA entreprise. Bloquez-les au niveau du pare-feu ou via une politique DLP, et fournissez des alternatives entreprise approuvées.

6. Présumer que le BAA de Microsoft Copilot couvre tous les produits Copilot. Microsoft 365 Copilot (dans Word, Excel, PowerPoint) dispose d'un BAA. Mais les expériences Copilot autonomes, les agents Copilot Studio et Copilot Pro (grand public) ont une couverture différente. Vérifiez le SKU spécifique et le nom du service dans le Microsoft Service Trust Portal.

Foire aux questions

ChatGPT est-il conforme à la norme HIPAA pour la création de présentations ?

OpenAI propose un BAA pour ChatGPT Enterprise et l'API OpenAI avec le point de terminaison à rétention zéro — pas pour ChatGPT Plus ou ChatGPT Free. Si vous utilisez ChatGPT pour rédiger le contenu de vos diapositives, vous devez utiliser ChatGPT Enterprise avec un BAA signé, et les diapositives doivent être générées dans un outil en aval couvert par la norme HIPAA. Ne collez pas de PHI dans ChatGPT Free.

Google Slides avec Gemini est-il considéré comme conforme à la norme HIPAA ?

Oui, depuis le 30 septembre 2025, si vous utilisez Google Workspace Business ou Enterprise et avez signé le BAA de Google, et que vous utilisez les fonctionnalités Gemini via le panneau latéral Workspace ou l'intégration Google Slides. L'application grand public Gemini n'est pas couverte.

Puis-je utiliser Canva Pro avec des données de patients si j'ai un BAA ?

Non. Le BAA de Canva n'est disponible qu'au niveau Enterprise, pas Pro. Canva Pro ne dispose pas des contrôles au niveau locataire requis par la norme HIPAA, et le BAA ne le couvre pas.

SOC 2 Type II signifie-t-il qu'un outil est conforme à la norme HIPAA ?

Non. SOC 2 est un cadre d'audit de sécurité. La norme HIPAA exige des obligations contractuelles spécifiques (le BAA) et des contrôles spécifiques (§164.308, §164.312). Un outil peut être certifié SOC 2 et ne pas être conforme à la norme HIPAA si le fournisseur refuse de signer un BAA.

Que se passe-t-il si je télécharge accidentellement des PHI dans un outil AI non conforme à la norme HIPAA ?

Il s'agit d'un incident à signaler en vertu de la règle §164.402 de la norme HIPAA (la règle de notification des violations), en fonction de l'évaluation des risques. Vous devez disposer d'un processus documenté de réponse aux incidents. Contactez votre responsable de la confidentialité HIPAA et, le cas échéant, votre conseiller juridique. L'atténuation pratique consiste à déployer des outils DLP qui empêchent le collage de PHI dans des outils AI non autorisés.

Conclusion

Le marché des outils de présentation IA a suffisamment mûri pour que les organisations sensibles à la conformité disposent enfin de véritables options — mais la liste restreinte est beaucoup plus courte que ne le suggèrent les pages marketing. Pour HIPAA en avril 2026 : Microsoft 365 Copilot, Google Gemini for Workspace et Canva Enterprise (avec un BAA signé) sont les seuls outils grand public dotés de parcours documentés. Pour le RGPD avec une véritable résidence dans l'UE : Microsoft 365 Copilot avec Flex Routing désactivé et Google Workspace avec régions de données UE sont les options les plus claires. Tous les autres — y compris certains des générateurs de présentations IA les plus populaires — traitent les données aux États-Unis sous SCCs, ce qui est légal mais pas équivalent à la souveraineté.

Le travail de l'acheteur soucieux de conformité consiste à poser des questions précises. « Supportez-vous HIPAA ? » obtient une réponse marketing. « Allez-vous contresigner notre BAA couvrant les fonctionnalités IA spécifiques que nous utiliserons, et quels services sont inclus dans le périmètre du Service Trust Portal ? » obtient une réponse contractuelle. Il en va de même pour le RGPD : « Supportez-vous le RGPD ? » n'est pas la même question que « Où mes données sont-elles physiquement stockées, et où l'inférence en temps réel se produit-elle ? » Posez la question précise, obtenez la réponse précise, et documentez les deux. Pour une vue plus large des outils de présentation IA de niveau entreprise, consultez notre comparatif des outils de présentation IA d'entreprise pour 2026.

Pour les déploiements sensibles à la conformité — contactez 2Slides concernant notre niveau entreprise avec engagements de non-entraînement et options de résidence des données.

Sources :