ChatGPT est déjà dans votre entreprise. Pas dans un projet pilote validé par la direction : dans les onglets de navigateur de vos équipes, sur des comptes gratuits ouverts avec des adresses personnelles. Selon les études disponibles, une majorité de salariés utilisant l’IA générative le font sans cadre défini par leur employeur. La question n’est donc pas « faut-il autoriser l’IA ? » mais « comment encadrer ce qui existe déjà, sans le casser ? ».
La plupart des contenus sur le sujet empilent les articles du RGPD et finissent par un conseil prudent : « consultez votre DPO ». C’est nécessaire, mais ça ne vous dit pas quoi faire lundi matin. Cet article prend le problème dans l’autre sens : trois questions concrètes, un classement simple de vos usages, et le basculement qui offre le meilleur rapport effort/résultat. Précision importante : cet article informe, il ne remplace pas un conseil juridique. Pour les décisions engageantes, faites valider votre analyse par un avocat ou votre DPO.
Les 3 questions qui comptent vraiment
Oubliez un instant les 99 articles du RGPD. Pour évaluer un usage d’IA en entreprise, trois questions couvrent l’essentiel du risque.
1. Quelles données entrent dans l’outil ?
C’est la question la plus négligée, parce qu’elle paraît triviale. Elle ne l’est pas. Un commercial qui colle un email client dans ChatGPT pour « améliorer sa réponse » vient de transmettre des données personnelles (nom, adresse email, parfois des éléments contractuels) à un tiers. Une RH qui fait résumer des CV transmet des données de candidats. Un dirigeant qui fait relire un projet d’accord transmet des informations confidentielles.
L’exercice utile : listez les 5 à 10 usages réels de vos équipes (pas les usages théoriques, les vrais) et pour chacun, notez ce qui entre dans le prompt. Vous découvrirez presque toujours un écart entre ce que vous imaginiez et ce qui circule effectivement.
2. Où vont ces données, et servent-elles à l’entraînement ?
C’est la ligne de fracture entre les offres grand public et les offres entreprise. Sur un compte ChatGPT gratuit ou Plus avec les réglages par défaut, vos conversations peuvent être utilisées pour améliorer les modèles. Sur les offres Team, Enterprise ou via API, les principaux éditeurs (OpenAI, Anthropic, Google, Microsoft) s’engagent contractuellement à ne pas entraîner leurs modèles sur vos données.
Trois points à vérifier dans tout contrat ou toute documentation d’éditeur :
- La clause de non-entraînement : vos données servent-elles, oui ou non, à améliorer le modèle ? Cherchez un engagement contractuel explicite, pas une option cachée dans les réglages.
- La localisation et le transfert : où sont hébergées et traitées les données ? S’il y a transfert hors UE, sur quelle base (décision d’adéquation, clauses contractuelles types) ?
- La durée de rétention : combien de temps les prompts et les réponses sont-ils conservés, et pouvez-vous demander leur suppression ?
3. Qui décide : l’IA ou l’humain ?
Le RGPD encadre strictement les décisions entièrement automatisées produisant des effets juridiques ou significatifs sur une personne (article 22). L’AI Act ajoute une couche de classification par niveau de risque, avec des obligations renforcées pour les usages à haut risque comme le tri de candidatures ou l’évaluation de crédit.
La règle opérationnelle est simple : dès qu’une décision affecte une personne (recrutement, sanction, refus, scoring), l’IA peut préparer, résumer, suggérer — mais un humain doit décider, avec une capacité réelle de s’écarter de la suggestion. Un humain qui clique « valider » sans lire n’est pas un contrôle humain, c’est un alibi.
Rouge, orange, vert : classez vos usages en une réunion
Une fois les trois questions posées, classez chaque usage recensé dans l’une de ces trois catégories. C’est faisable en une réunion d’une heure avec les bonnes personnes autour de la table.
- Vert — autorisé sans validation : aucune donnée personnelle ni confidentielle en entrée, aucune décision individuelle en sortie. Exemples : reformuler un texte générique, brainstormer des idées, générer du code sans données de production, résumer un document public.
- Orange — autorisé sous conditions : données internes ou personnelles en entrée, mais sur un outil sous contrat entreprise avec clause de non-entraînement, et avec relecture humaine systématique. Exemples : synthèse de comptes rendus internes, brouillons de réponses clients, analyse de documents contractuels.
- Rouge — interdit ou soumis à validation DPO : données sensibles (santé, opinions, données pénales), décisions individuelles automatisées, ou tout usage sur un compte grand public avec des données personnelles. Exemples : tri automatique de CV sans supervision, analyse de dossiers médicaux sur un outil non maîtrisé.
L’intérêt de ce classement n’est pas juridique, il est managérial : il remplace une interdiction floue (que personne ne respecte) par des règles claires (que chacun peut appliquer sans demander la permission à chaque fois).
Le basculement le plus rentable : des comptes épars vers une offre entreprise
Si vous ne deviez faire qu’une seule chose après cette lecture, c’est celle-ci. Le scénario le plus fréquent — et le plus risqué — dans les PME est celui des comptes gratuits épars : dix, vingt, cinquante salariés avec chacun leur compte personnel, des données d’entreprise dans des conversations que personne ne maîtrise, et zéro engagement contractuel de l’éditeur.
Basculer vers une offre entreprise (ChatGPT Team/Enterprise, Claude for Work, Copilot 365, Gemini Workspace…) change trois choses d’un coup : la clause de non-entraînement s’applique, l’administration devient centralisée (qui a accès, à quoi), et vous obtenez une base contractuelle pour votre registre de traitements. Coût typique : 20 à 30 euros par utilisateur et par mois. C’est, de très loin, le meilleur ratio réduction de risque / effort de tout le chantier conformité IA.
La conformité qui débloque au lieu d’interdire
Il y a deux façons de faire de la conformité IA. La première produit une charte de douze pages que personne ne lit, et pousse les usages dans l’ombre : c’est le shadow IT version IA, le pire des deux mondes. La seconde considère la conformité comme un déverrouillage : parce que le cadre est clair, les équipes peuvent utiliser l’IA sur des cas à forte valeur — y compris des données internes — sans se demander à chaque fois si elles ont le droit.
C’est particulièrement vrai pour les usages documentaires. Chez France Territoire Solaire, nous avons construit une plateforme qui surveille les publications d’avis réglementaires MRAe, en extrait les points clés par IA et permet de dialoguer en langage naturel avec chaque document. Ce type de projet n’est possible que parce que le cadre — quelles données, quel outil, quelle supervision humaine — a été posé dès le départ, pas ajouté après coup.
Secteurs réglementés : les nuances qui changent la donne
Le triptyque rouge/orange/vert reste valable partout, mais les curseurs bougent selon votre secteur :
- Santé : les données de santé sont des données sensibles au sens du RGPD. Hébergement HDS, base légale spécifique, analyse d’impact (AIPD) quasi systématique. Le vert se réduit, le rouge s’étend.
- Banque, assurance, finance : secret bancaire, exigences des régulateurs (ACPR), et scoring crédit classé à haut risque par l’AI Act. La documentation des modèles et la traçabilité des décisions deviennent centrales.
- Juridique et expertise comptable : secret professionnel. L’enjeu n’est pas seulement le RGPD mais la déontologie : un outil sous contrat entreprise avec non-entraînement est un prérequis absolu, pas une option.
- Secteur public et parapublic : exigences de souveraineté et doctrine cloud de l’État à intégrer, notamment sur l’hébergement.
Dans tous les cas, le réflexe est le même : documenter l’usage dans le registre de traitements, vérifier la base légale, et faire une AIPD quand le traitement est à risque élevé. Et — on le répète parce que c’est important — faire valider les cas limites par un professionnel du droit. Cet article vous donne la carte, pas le tampon.
Par où commencer cette semaine
- Recensez les usages réels de l’IA dans vos équipes (enquête anonyme si besoin : vous voulez la vérité, pas la version officielle).
- Classez-les en rouge/orange/vert avec les trois questions ci-dessus.
- Basculez les usages orange vers une offre entreprise avec clause de non-entraînement.
- Écrivez une page — pas douze — qui dit ce qui est vert, orange et rouge, et diffusez-la.
Pour aller plus loin, notre kit IA, RGPD et AI Act contient un livre blanc complet et un auditeur de conformité pour passer vos usages en revue point par point. Et si vous préférez qu’on regarde ensemble, le diagnostic flash identifie en quelques jours vos usages à risque et vos opportunités — y compris celles que la conformité peut débloquer, comme nos projets data et IA le montrent régulièrement.



