Accueil › Sécurité & Données IA › Guide
Vous êtes une entreprise ?
Ordiama, c'est aussi une agence IA à Strasbourg : on crée votre site, on vous rend visible dans l'IA et on automatise vos tâches.
Quand un salarié colle un fichier client dans ChatGPT pour le résumer, où part ce fichier ? La réponse honnête : ça dépend entièrement de l’offre utilisée, et la plupart des entreprises l’ignorent. Sur un compte gratuit, vos échanges peuvent servir à entraîner le modèle. Sur une offre entreprise, c’est l’inverse par défaut. Entre les deux, un fossé de conformité que le RGPD vous oblige à combler.
Le RGPD ne vous interdit pas d’utiliser l’IA générative. Il vous impose de savoir ce qu’il advient des données personnelles que vous y injectez : qui les traite, où elles sont stockées, si elles entraînent le modèle, et sur quelle base légale. Ce guide trace le parcours réel de vos données dans les trois grands assistants (ChatGPT, Claude, Gemini), ce qu’exige le règlement, comment l’AI Act s’y articule, et les réglages concrets pour rester en règle.
À jour : juin 2026. Sources officielles CNIL, EDPB et documentation éditeurs citées en fin d’article.
IA et données personnelles en entreprise, état des lieux 2025 :
- 56 % des salariés utilisent des outils d’IA non autorisés au travail / 23 % seulement passent par un outil validé par leur organisation
- 68 % des employés accèdent aux IA gratuites via un compte personnel / 57 % d’entre eux y saisissent des données sensibles
- 20 % des entreprises ont déjà subi une fuite de données liée à un outil d’IA non encadré
- 670 000 $ de surcoût moyen d’une violation impliquant du « shadow AI »
Sources : IBM, Shadow AI citant IDC 2025 ; Menlo Security, 2025 Report ; IBM, Cost of a Data Breach Report 2025
Le RGPD (Règlement général sur la protection des données) est le texte européen, applicable depuis 2018, qui encadre tout traitement de données permettant d’identifier une personne, directement ou indirectement. Dès qu’un prompt contient un nom, un e-mail, un numéro de dossier ou un avis client nominatif, vous traitez des données personnelles, et le règlement s’applique, peu importe l’outil.
La confusion classique : croire que le RGPD vise « l’IA ». Faux. Il vise les données. Un même modèle peut être parfaitement conforme dans un cas et hors-la-loi dans l’autre, selon ce que vous lui donnez et selon le contrat qui vous lie à l’éditeur. Deux moments de la vie d’un modèle posent question, et l’EDPB les distingue nettement dans son avis 28/2024 : la phase de développement (l’entraînement sur des masses de données, souvent issues du web) et la phase de déploiement (l’usage que vous en faites au quotidien).
Ce que le RGPD exige de vous, en pratique :
- une base légale pour chaque traitement (consentement, contrat, intérêt légitime…)
- un encadrement de la sous-traitance : l’éditeur de l’IA est votre sous-traitant au sens de l’article 28
- la maîtrise des transferts hors UE si les données quittent l’Europe
- l’information des personnes dont vous traitez les données
- le respect de la minimisation : ne transmettre que le strict nécessaire
Source : CNIL, recommandations IA et RGPD (2025)
Un point que beaucoup d’articles passent sous silence : vous restez le responsable de traitement. C’est vous, pas OpenAI ni Google, qui répondez devant la CNIL des données que vos équipes saisissent. L’éditeur n’est « que » votre sous-traitant. Cette répartition change tout sur le plan des obligations.
La question centrale, celle qui déclenche les sueurs froides en comité de direction : « est-ce que ce que je tape va entraîner le modèle ? » La réponse dépend d’une seule variable, l’offre. Et la logique s’inverse entre le grand public et l’entreprise.
Réponse directe : sur les comptes grand public (gratuit, Plus, Pro perso), vos conversations peuvent par défaut servir à entraîner le modèle, sauf désactivation manuelle. Sur les offres entreprise (ChatGPT Business/Enterprise, Claude for Work, Gemini for Workspace), c’est l’inverse : aucun entraînement sur vos contenus par défaut. La frontière n’est pas l’outil, c’est le type de compte.
Voici l’état des politiques officielles des trois éditeurs, à jour de juin 2026. Lisez ce tableau comme une carte : la colonne « entraînement par défaut » est celle qui engage votre responsabilité RGPD.
| Outil / offre | Données utilisées pour l’entraînement ? | Option « no-training » / opt-out | Rétention |
|---|---|---|---|
| ChatGPT Free / Plus / Pro | Oui, par défaut | Désactivable dans les réglages (« Improve the model for everyone ») | Variable selon réglages |
| ChatGPT Business / Enterprise / Edu / API | Non, par défaut | Pas d’opt-in sauf demande explicite | Rétention configurable (≥ 90 j sur Enterprise) |
| Claude Free / Pro / Max | Oui, si vous acceptez le toggle (depuis sept. 2025) | Refus = pas d’entraînement | Jusqu’à 5 ans si opt-in / sinon ~30 j |
| Claude for Work / API / Gov / Edu | Non (régi par les Commercial Terms) | Sans objet | Selon contrat commercial |
| Gemini (Apps grand public) | Oui ; échantillon relu par des humains | Désactiver « Gemini Apps Activity » | Jusqu’à 3 ans pour les chats relus |
| Gemini for Workspace (Enterprise) | Non, sans autorisation explicite | L’admin peut réduire/désactiver le stockage | Paramétrable par domaine |
Sources : OpenAI ; Anthropic, Updates to Consumer Terms (28 août 2025) ; Google, Gemini Apps Privacy Hub
Deux exemples concrets, parce que les politiques ont bougé récemment. Anthropic a changé sa doctrine fin août 2025 : avant, les conversations Claude n’étaient pas utilisées pour l’entraînement et étaient supprimées sous 30 jours. Depuis, sur les offres Free, Pro et Max, accepter le bouton « You can help improve Claude » autorise l’entraînement et fait passer la rétention à cinq ans. Refuser conserve l’ancienne politique. Les utilisateurs avaient jusqu’au 8 octobre 2025 pour trancher.
Côté Google, même un abonnement payant ne protège pas par défaut sur les Apps grand public : un sous-ensemble de conversations est relu par des évaluateurs humains (Google et prestataires tiers) et conservé jusqu’à trois ans, sauf à désactiver « Gemini Apps Activity ». Et attention, même désactivé, certains échanges restent traités « pour répondre et protéger les utilisateurs ». La nuance compte pour votre analyse de risque, et elle fait partie de ce que vous payez sans le voir quand vous misez sur le vrai coût d’une IA gratuite.
À retenir : la version gratuite ou Pro « perso » d’un assistant n’est pas un outil professionnel conforme. Pour traiter des données personnelles de clients ou de salariés, il vous faut une offre entreprise avec un contrat de sous-traitance (DPA). Le « no-training » par défaut n’existe que là.
La base légale est le fondement juridique qui rend un traitement licite : sans elle, traiter une donnée personnelle est illégal, même avec les meilleures intentions. Pour l’IA, deux bases dominent, et il faut les distinguer selon le moment.
Pour l’entraînement des modèles, l’EDPB (avis 28/2024) comme la CNIL reconnaissent que l’intérêt légitime (article 6.1.f du RGPD) sera la base la plus mobilisée par les éditeurs. Mais il ne se présume pas : il exige trois conditions cumulatives, à documenter.
Les 3 conditions cumulatives de l’intérêt légitime (EDPB / CNIL) :
- un intérêt réel, licite et clairement défini (pas spéculatif)
- la nécessité du traitement pour atteindre cet intérêt (pas d’alternative moins intrusive)
- un équilibre : les droits des personnes ne doivent pas prévaloir sur cet intérêt
Sources : EDPB, Opinion 28/2024 (17 déc. 2024) ; CNIL, intérêt légitime et IA (juin 2025)
Cette partie-là, c’est le problème de l’éditeur. La vôtre est différente. Pour votre usage (déploiement), vous devez identifier votre propre base légale selon la finalité : un consentement si vous traitez des données sensibles, l’exécution d’un contrat si l’IA sert à délivrer un service à votre client, ou l’intérêt légitime pour de l’automatisation interne. La CNIL est claire : réutiliser les conversations des utilisateurs d’un agent conversationnel pour améliorer un modèle ne peut se fonder sur l’intérêt légitime qu’avec des garanties fortes, dont un droit d’opposition discrétionnaire et la pseudonymisation.
Mon conseil de terrain, à contre-courant des cabinets qui vendent du « tout consentement » : ne cherchez pas le consentement à tout prix. Il est fragile (révocable, à recueillir, à prouver). Pour la plupart des usages B2B internes, un intérêt légitime bien documenté avec une analyse d’impact tient mieux dans le temps.
Un transfert de données hors UE désigne tout accès à des données personnelles depuis un pays tiers, y compris un simple stockage ou une maintenance par un prestataire non européen. Or ChatGPT, Claude et Gemini sont édités par des sociétés américaines : par défaut, vos prompts traversent l’Atlantique.
Le RGPD ne l’interdit pas, mais l’encadre strictement. Trois mécanismes existent, et un point juridique reste tendu pour les États-Unis.
Encadrer un transfert hors UE : les outils RGPD
- Décision d’adéquation : le pays offre un niveau de protection jugé équivalent (le cas du Data Privacy Framework UE-USA pour les entreprises certifiées)
- Clauses contractuelles types (CCT) : modèle de contrat validé par la Commission, module « responsable → sous-traitant »
- Analyse d’impact du transfert (TIA) : évaluation documentée que la loi du pays tiers ne compromet pas les garanties
Sources : CNIL, clauses contractuelles types ; CNIL, guide TIA (févr. 2025)
Le point sensible : pour les transferts vers les États-Unis fondés sur les CCT, la CNIL rappelle que le droit américain (FISA section 702, Executive Order 12333) permet aux services de renseignement d’accéder aux données, ce qui n’assure pas un niveau de protection « essentiellement équivalent ». D’où la nécessité de mesures supplémentaires et, idéalement, d’une résidence des données en Europe.
Bonne nouvelle, et c’est récent : les éditeurs s’adaptent. OpenAI a lancé en février 2025 la résidence des données en Europe pour ChatGPT Enterprise, Edu et l’API : le contenu client peut être stocké au repos en Europe et l’API peut traiter les requêtes sur des points de terminaison européens. C’est exactement le levier qui sécurise un transfert. Mais il faut le demander et le configurer : ce n’est jamais activé par hasard sur un compte ramassé en deux clics.
L’AI Act (règlement européen sur l’intelligence artificielle) est le premier cadre légal complet sur l’IA, entré en vigueur en 2024 et appliqué par paliers jusqu’en 2027. Il ne remplace pas le RGPD : il s’y ajoute. Le RGPD régit les données, l’AI Act régit les systèmes d’IA selon leur niveau de risque.
Concrètement, les deux textes se cumulent. Une IA qui filtre des CV traite des données personnelles (RGPD) et relève d’un usage « à haut risque » (AI Act). Vous devez respecter les deux. Voici le calendrier qui vous concerne directement.
AI Act : les échéances clés à connaître
- 2 août 2025 : obligations applicables aux modèles d’IA à usage général (GPAI), dont ChatGPT et consorts
- 2 août 2026 : obligations sur les systèmes à haut risque (RH, crédit, biométrie…), plus les pouvoirs de sanction de la Commission sur les GPAI. Échéance susceptible d’être reportée selon les discussions en cours sur le « Digital Omnibus »
- 2 août 2027 : conformité finale, y compris l’IA intégrée dans des produits réglementés
- jusqu’à 35 M€ ou 7 % du CA mondial : sanction maximale pour pratiques interdites
Source : EU Artificial Intelligence Act, Implementation Timeline
Pour une TPE/PME qui se contente d’utiliser ChatGPT pour rédiger ou résumer, l’essentiel des obligations lourdes vise les fournisseurs, pas vous. Mais dès que votre IA prend une décision sur des personnes (tri de candidatures, scoring, surveillance), vous basculez côté « haut risque » et l’AI Act vous impose gouvernance des données, journalisation et supervision humaine. Ne confondez pas « j’utilise une IA » et « je déploie un système à haut risque » : c’est la finalité qui tranche.
Le shadow AI désigne l’usage d’outils d’IA par les salariés sans validation ni encadrement de l’entreprise, le plus souvent via des comptes personnels gratuits. C’est aujourd’hui le premier point de fuite de données personnelles en entreprise, et le plus difficile à détecter.
Le mécanisme est simple et redoutable. Un salarié bien intentionné, pressé, colle un extrait de base clients dans ChatGPT gratuit pour gagner du temps. Les données partent sur un compte personnel, hors de tout contrat, potentiellement réutilisées pour l’entraînement, stockées plusieurs années. Aucune trace côté DSI. Et c’est massif : selon Reco, 71 % des travailleurs du savoir continuent d’utiliser des outils d’IA sans approbation, même quand l’entreprise les a bloqués. Bloquer ne marche pas. Encadrer, oui.
Shadow AI : pourquoi le blocage échoue
- 71 % des travailleurs du savoir utilisent l’IA sans accord de la DSI (étude Reco 2025)
- 57 % de ceux qui passent par un compte perso y saisissent des données sensibles
- 20 % des organisations de l’étude IBM ont subi une violation liée au shadow AI
- 670 000 $ de surcoût moyen pour ces violations spécifiques
Sources : Reco, Shadow AI Report 2025 ; IBM, Cost of a Data Breach 2025
La leçon que peu de guides assument : interdire l’IA pousse vos équipes vers les comptes gratuits, donc vers le pire scénario RGPD. La bonne réponse n’est pas la prohibition mais la mise à disposition d’un outil cadré, avec une politique claire sur ce qu’on peut y mettre. C’est moins spectaculaire qu’une note d’interdiction. C’est infiniment plus efficace.
Passons à l’opérationnel. Voici la marche à suivre pour qu’un usage de l’IA tienne face à un contrôle CNIL, dans l’ordre où je la déroule chez nos clients. Chaque étape a un résultat concret attendu.
L’option du LLM en local mérite un mot, parce qu’elle est sous-estimée. Faire tourner un modèle open-source sur votre propre serveur (ou un cloud européen) signifie qu’aucun prompt ne part chez un éditeur américain : pas d’entraînement tiers, pas de transfert, pas de sous-traitant à auditer. Le compromis est technique (puissance de calcul, modèle souvent moins performant que GPT) et financier. Mais pour un cabinet qui manipule des dossiers confidentiels, c’est parfois la seule réponse vraiment tranquille. Les professions de santé, qui traitent les données les plus protégées, relèvent d’un cadre encore plus strict : nous le détaillons dans notre guide sur l’IA en cabinet médical et ce que la loi autorise.
Ce travail d’arbitrage (quel usage, quel outil, quel niveau de sensibilité) c’est exactement ce que notre agence cadre avec ses clients : auditer les usages existants, choisir les offres adaptées, signer les bons contrats et écrire la charte, pour que l’IA devienne un atout sans devenir un risque RGPD.
Un exemple parlant : la comptabilité, où les données sont à la fois nominatives et ultra-sensibles. Glisser des relevés ou des bulletins de paie dans un ChatGPT gratuit, c’est exposer des données financières de salariés et de clients sur un compte personnel non encadré. La bonne approche combine offre entreprise, anonymisation des montants nominatifs et, pour les pièces les plus sensibles, un traitement en local. C’est tout l’enjeu quand on cherche à gérer sa comptabilité avec l’IA sans créer de faille de conformité.
Même logique pour les agents conversationnels et l’automatisation interne. Dès qu’on connecte une IA à un CRM ou à une boîte mail, on lui donne accès à des données personnelles en masse. Le cadrage RGPD doit précéder le branchement, pas le suivre. C’est un réflexe systématique quand on déploie des agents IA en entreprise : définir le périmètre de données accessibles avant d’activer quoi que ce soit.
ChatGPT respecte-t-il le RGPD ?
Cela dépend de l’offre. Sur un compte gratuit ou Plus, vos conversations peuvent entraîner le modèle et le cadre RGPD est insuffisant pour des données professionnelles. Sur ChatGPT Enterprise ou Business, avec un DPA signé et la résidence des données en Europe activée, l’usage peut être conforme. L’outil n’est ni conforme ni non conforme en soi : c’est votre configuration et votre contrat qui tranchent.
Mes prompts servent-ils à entraîner l’IA ?
Sur les comptes grand public, oui par défaut, sauf désactivation manuelle dans les réglages. Sur les offres entreprise (ChatGPT Business/Enterprise, Claude for Work, Gemini for Workspace), non : aucun entraînement sur vos contenus sans autorisation explicite. La frontière n’est pas l’outil mais le type de compte. Vérifiez toujours le réglage « amélioration du modèle ».
Peut-on mettre des données clients dans une IA ?
Oui, à conditions strictes : une offre entreprise avec contrat de sous-traitance, une base légale identifiée, idéalement la résidence des données en Europe, et de préférence une anonymisation préalable. Sur un compte personnel gratuit, c’est à proscrire : vous perdez tout contrôle sur le devenir de la donnée et exposez votre responsabilité de responsable de traitement.
Le RGPD interdit-il l’intelligence artificielle ?
Non. Le RGPD n’interdit pas l’IA, il encadre le traitement des données personnelles qu’elle implique. L’EDPB et la CNIL ont publié en 2024-2025 des recommandations qui confirment qu’un développement et un usage responsables de l’IA sont compatibles avec le règlement, à condition de respecter base légale, transparence et garanties.
Quelle différence entre le RGPD et l’AI Act ?
Le RGPD encadre les données personnelles ; l’AI Act encadre les systèmes d’IA selon leur niveau de risque. Les deux se cumulent : une IA de tri de CV relève des deux textes à la fois. Les obligations GPAI de l’AI Act s’appliquent depuis août 2025, celles sur les systèmes à haut risque à partir d’août 2026.
Comment utiliser l’IA sans transférer mes données hors d’Europe ?
Trois options : activer la résidence des données en Europe (proposée par OpenAI depuis février 2025 sur Enterprise et l’API), choisir un éditeur européen comme Mistral, ou exécuter un modèle open-source en local sur votre propre infrastructure. Cette dernière solution garantit qu’aucune donnée ne quitte vos serveurs, au prix d’une performance parfois moindre.
Sources : CNIL, « IA et RGPD : nouvelles recommandations » et fiches pratiques sur l’intérêt légitime (juin 2025) ; CNIL, clauses contractuelles types et guide d’analyse d’impact des transferts (février 2025) ; EDPB, Opinion 28/2024 sur les modèles d’IA (17 décembre 2024) ; OpenAI, politiques d’utilisation des données et lancement de la résidence des données en Europe (février 2025) ; Anthropic, « Updates to our Consumer Terms and Privacy Policy » (28 août 2025) ; Google, Gemini Apps Privacy Hub ; EU Artificial Intelligence Act, calendrier de mise en œuvre ; IBM, « Cost of a Data Breach Report 2025 » et dossier Shadow AI (IDC 2025) ; Reco, « Shadow AI Report 2025 » ; Menlo Security (2025). Données à jour au 23 juin 2026.
Ordiama, c'est aussi une agence IA à Strasbourg : on crée votre site, on vous rend visible dans l'IA et on automatise vos tâches.