C’est l’objection numéro un dans les comités de direction, et elle est légitime : « si mes équipes mettent nos données dans ChatGPT, où vont-elles ? ». La réponse mérite mieux qu’un « ça dépend » : elle tient en quelques règles claires, qui permettent d’utiliser l’IA générative sereinement sans renoncer à ses bénéfices. Voici ce que j’explique à mes clients, sans jargon juridique.
Le vrai sujet : version grand public ou version entreprise
La distinction qui change tout est rarement comprise :
- Les versions grand public gratuites (ChatGPT gratuit, par exemple) peuvent utiliser vos conversations pour améliorer leurs modèles, selon vos réglages. On n’y saisit donc jamais de donnée sensible : c’est la règle de base à faire connaître à toutes les équipes.
- Les offres professionnelles (ChatGPT Team et Enterprise, Claude for Work, Gemini for Workspace, Microsoft Copilot) s’engagent contractuellement : vos données ne servent pas à entraîner les modèles, restent isolées et bénéficient de garanties de sécurité (chiffrement, gestion des accès, conformité aux standards d’audit).
Autrement dit : le risque ne vient pas de « l’IA » en général, il vient de l’usage d’outils grand public pour des données professionnelles. La parade est simple : équiper officiellement les équipes d’une offre entreprise, plutôt que de laisser prospérer un usage clandestin sur des comptes personnels : le fameux shadow AI, bien plus risqué qu’une politique claire.
Les trois catégories de données, et les réflexes associés
Pour donner un cadre simple aux équipes, je recommande trois catégories :
- Données publiques ou anodines (texte d’un site web, communiqué, question générale) : utilisables partout, sans restriction.
- Données internes non sensibles (brouillon d’e-mail sans nom de client, trame de présentation, procédure interne banale) : utilisables dans l’offre entreprise retenue par l’organisation.
- Données sensibles (données personnelles de clients ou de salariés, données de santé, secrets d’affaires, éléments contractuels ou financiers nominatifs) : uniquement dans un cadre validé : offre entreprise avec accord de traitement, et idéalement après anonymisation.
Le réflexe le plus efficace à enseigner : anonymiser avant de saisir. « Un client du secteur bancaire » au lieu du nom ; « notre commercial senior » au lieu de l’identité. Dans 90 % des cas d’usage, l’IA n’a pas besoin des noms pour être utile.
Ce que dit le RGPD, en deux paragraphes
Le RGPD ne dit pas « interdit d’utiliser l’IA ». Il dit : si vous traitez des données personnelles (clients, salariés, prospects), vous devez savoir qui les traite, où, et sur quelle base. Concrètement, saisir des données personnelles dans un outil d’IA fait de l’éditeur un sous-traitant : il vous faut un accord de traitement des données (DPA), que les offres entreprise incluent précisément, et une mention dans votre registre de traitements.
Les points de vigilance classiques : la localisation de l’hébergement (des options européennes existent chez la plupart des éditeurs), la durée de conservation des conversations, et l’information des personnes concernées. Si vous avez un DPO ou un conseil juridique, associez-le au choix de l’outil : c’est une décision à prendre une fois, proprement, plutôt qu’à subir.
La politique d’usage : une page suffit
Les organisations les plus sereines que j’accompagne ont toutes le même point commun : une charte d’usage de l’IA d’une page, claire et connue de tous. Elle tient en cinq points : quels outils sont autorisés (et lesquels ne le sont pas), quelles données peuvent y être saisies, le réflexe d’anonymisation, l’obligation de relire et vérifier toute production de l’IA avant diffusion, et vers qui se tourner en cas de doute.
Une page, pas trente. Une politique que personne ne lit protège moins qu’une règle simple que tout le monde connaît.
Sécurité et productivité ne s’opposent pas
Le pire scénario n’est pas d’adopter l’IA : c’est de l’interdire officiellement pendant que les équipes l’utilisent officieusement sur leurs téléphones personnels. Cadre clair, outils officiels, équipes formées : c’est la combinaison qui protège réellement vos données, et elle se met en place en quelques semaines.
Ces questions de confidentialité font systématiquement partie de mes missions de conseil (choix des outils, charte d’usage) et un volet dédié est inclus dans mes formations en entreprise. Pour faire le point sur votre situation, réservez un appel découverte, gratuit et sans engagement.