Sécurité et confidentialité de l'IA en entreprise : le guide RGPD pour DSI et dirigeants
Le constat de départ : il n'existe pas de réponse unique à la question « ChatGPT est-il RGPD-compatible ? ». La réponse dépend de la version utilisée, des données traitées, du paramétrage du compte et de la juridiction. Cet article distingue les vrais risques des risques imaginaires.
Les trois risques réels à considérer
Risque n°1 : exposition de données dans les conversations
Les versions grand public (ChatGPT Plus, Mistral Free, Claude Free) peuvent utiliser vos conversations pour entraîner leurs modèles, sauf opt-out explicite. Concrètement, un commercial qui colle un contrat client dans ChatGPT.com expose le contenu de ce contrat à un usage potentiel de réentraînement, et donc à une fuite probabilistique vers d'autres utilisateurs.
Sur les versions Team, Enterprise ou via API : par défaut, les données ne sont pas utilisées à des fins d'entraînement. C'est la différence clé entre un usage personnel et un usage professionnel encadré.
Risque n°2 : transfert de données hors UE
ChatGPT, Claude et Gemini hébergent leurs données principalement aux États-Unis. Depuis l'invalidation du Privacy Shield (Schrems II), ces transferts sont strictement encadrés par le RGPD. Les contrats Standard Contractual Clauses (SCC) et le Data Privacy Framework de 2023 fournissent un cadre, mais ne suppriment pas le débat juridique.
Pour les entreprises soumises à des contraintes de souveraineté forte (santé HDS, défense, secteurs régulés bancaires), l'option la plus simple consiste à choisir un fournisseur européen comme Mistral, ou à activer une option de localisation européenne quand elle existe (EU Data Boundary chez Microsoft Copilot).
Risque n°3 : violation du secret professionnel ou de clauses contractuelles
Les avocats, médecins, experts-comptables et certains métiers du conseil sont soumis à un secret professionnel renforcé qui interdit le partage d'informations clients avec un tiers, y compris un sous-traitant IT. Avant de déployer une IA générative dans ces métiers, il faut valider :
- Que le contrat de service inclut un engagement de non-utilisation des données pour l'entraînement
- Que la juridiction d'hébergement est compatible avec les obligations professionnelles
- Que les utilisateurs sont formés à ne pas saisir de données nominatives dans l'IA
- Que la traçabilité des conversations permet un audit en cas de demande
Tableau comparatif : conformité par solution
| Solution | Localisation données | Entraînement par défaut | Adapté secteur régulé ? |
|---|---|---|---|
| ChatGPT Free / Plus | USA principalement | Oui (opt-out possible) | Non |
| ChatGPT Team | USA principalement | Non (par défaut) | Oui sauf souveraineté stricte |
| ChatGPT Enterprise | USA + options SCC | Non | Oui sauf souveraineté stricte |
| Microsoft Copilot M365 | EU Data Boundary disponible | Non | Oui (largement déployé) |
| Google Gemini Workspace | Multi-régions, options EU | Non en Workspace | Oui sauf souveraineté stricte |
| Claude Team / Enterprise | USA principalement | Non | Oui sauf souveraineté stricte |
| Mistral Le Chat Pro / Enterprise | Europe (UE) | Non | Oui (recommandé secteurs régulés) |
| Mistral on-premise | Vos serveurs | Non | Oui (santé, défense, banque) |
Peut-on utiliser ChatGPT avec des données clients ?
La réponse rapide : oui sur ChatGPT Team ou Enterprise avec un encadrement précis ; non sur la version Plus grand public. Détaillons :
- Données client anonymisées (chiffres, structure, problématique sans nominatif) : autorisé sur version Team/Enterprise après évaluation DPO
- Données client nominatives (nom, e-mail, contrat signé) : déconseillé même sur Enterprise, sauf clause spécifique négociée
- Données soumises à secret professionnel (avocat-client, médecin-patient) : à proscrire, sauf déploiement souverain dédié
- Données stratégiques internes (M&A, plan stratégique, finances non publiques) : à éviter sur tous les outils américains
Les 10 règles à inclure dans une charte d'usage IA en entreprise
- Ne jamais utiliser la version gratuite des outils IA pour un usage professionnel
- Ne jamais coller de données nominatives clients ou salariés dans une IA générative
- Ne jamais coller de données financières non publiques (résultats prévisionnels, plans stratégiques)
- Utiliser uniquement les comptes professionnels validés par la DSI (pas de comptes personnels)
- Vérifier systématiquement les sorties de l'IA sur les sujets juridiques, médicaux, financiers
- Citer l'usage de l'IA quand le contenu produit est diffusé (transparence interne et externe)
- Anonymiser tout document avant analyse par IA, sauf si l'outil est validé pour ce niveau de sensibilité
- Respecter les droits d'auteur : ne pas faire produire de contenu qui copie des œuvres protégées
- Ne pas utiliser l'IA pour des décisions automatisées affectant les droits des personnes (RGPD art. 22)
- Signaler à la DSI tout incident ou doute (fuite suspectée, sortie inappropriée, comportement anormal)
Que dit l'AI Act sur la sécurité de l'IA en entreprise ?
L'AI Act européen (Règlement (UE) 2024/1689), pleinement applicable en août 2026, ajoute trois obligations directement liées à la sécurité :
- Formation obligatoire des utilisateurs : tout collaborateur qui utilise un système d'IA dans le cadre professionnel doit avoir reçu une formation appropriée
- Documentation technique : pour les systèmes à risque élevé, l'entreprise doit pouvoir documenter le fonctionnement, les données d'entraînement et les mesures de mitigation
- Gouvernance : désignation d'un référent IA, registre des systèmes utilisés, procédure d'incident
Sanctions associées : jusqu'à 35 M€ ou 7 % du CA mondial pour les violations les plus graves. Le pendant pratique : la formation à l'IA n'est plus une option, c'est une obligation légale.
Questions fréquentes
Sécuriser votre déploiement IA avec Masteria
Notre offre conseil inclut un audit RGPD-IA, l'aide à la rédaction de la charte d'usage et la formation des équipes. Certifié Qualiopi, finançable OPCO.