Le problème qu'on ne voit pas venir

Un collaborateur commercial ouvre ChatGPT, copie-colle des extraits d'un contrat client pour demander une synthèse. Une assistante RH télécharge un CV reçu et le soumet à un outil IA pour extraire les compétences. Un juriste utilise Claude pour analyser un accord de confidentialité contenant des données personnelles de dirigeants.

Ces scénarios se produisent chaque jour dans des milliers d'entreprises françaises. La plupart du temps, sans que personne — ni le collaborateur, ni la direction, ni le DPO — ne l'ait formellement autorisé.

Former à ChatGPT sans parler de gouvernance des données est une faute professionnelle.

Ce guide compile les règles essentielles que chaque collaborateur doit comprendre avant d'utiliser un LLM dans un contexte professionnel.

---

Comprendre le risque réel : que fait ChatGPT de vos données ?

Les versions grand public

Avec ChatGPT Free et ChatGPT Plus, par défaut :

• Les conversations peuvent être utilisées pour améliorer les modèles d'OpenAI
• Vos données sont stockées sur des serveurs aux États-Unis
• Il n'existe pas de garantie contractuelle de confidentialité au sens RGPD

Ce que cela signifie concrètement : si un collaborateur saisit le nom et les coordonnées d'un client, des données de paie, une clause confidentielle de contrat ou des informations médicales d'un salarié — ces données sortent du périmètre contrôlé de l'entreprise.

Les versions professionnelles

ChatGPT Enterprise, ChatGPT Team, Claude for Business, Gemini for Workspace proposent des garanties contractuelles différentes :

• Pas d'utilisation des données pour l'entraînement des modèles
• Accord de traitement des données (DPA) signable
• Hébergement européen possible selon les produits
• Contrôles d'administration et de conformité

La règle pragmatique : si vous n'avez pas signé de DPA avec le fournisseur, considérez que les données saisies ne sont pas protégées.

---

Les 4 règles RGPD fondamentales pour l'usage des LLM en entreprise

Règle 1 — Ne jamais soumettre de données personnelles sans base légale

Ce qu'on entend par "données personnelles" dans ce contexte :

• Noms, prénoms, adresses, emails de clients ou collaborateurs
• Numéros de téléphone, numéros de sécurité sociale, données bancaires
• Informations de santé, d'origine ethnique, opinions politiques
• Tout identifiant qui permet de reconnaître une personne physique

La règle : avant de soumettre un document à un LLM, vérifiez qu'il ne contient pas de données personnelles identifiantes. Si c'est le cas, anonymisez ou pseudonymisez avant de l'utiliser.

En pratique :

• ✅ "Rédige une synthèse de ce contrat de prestation" → remplacez le nom du client par "CLIENT A"
• ❌ Copier-coller un email d'un prospect avec son nom, email et numéro de téléphone

Règle 2 — Ne jamais divulguer d'informations confidentielles de l'entreprise

Les informations suivantes ne doivent jamais être saisies dans un LLM grand public :

• Données financières non publiques (résultats, budgets, projections)
• Stratégie commerciale, feuilles de route produits
• Informations sur des acquisitions ou fusions en cours
• Secrets de fabrication ou propriété intellectuelle

Pourquoi c'est différent du RGPD : il ne s'agit pas ici de données personnelles mais de données confidentielles de l'entreprise. Le risque est contractuel (rupture de clause de confidentialité avec des tiers) et concurrentiel (fuite d'informations stratégiques).

Règle 3 — Comprendre la propriété intellectuelle des outputs

Ce que dit le droit aujourd'hui :

• En France, un texte généré par une IA n'est pas protégeable par le droit d'auteur en tant que tel (il n'y a pas d'auteur humain au sens légal)
• Les conditions d'utilisation d'OpenAI cèdent les droits sur les outputs à l'utilisateur (comptes payants), mais avec des exceptions
• Le contenu généré peut "incorporer" des éléments de corpus d'entraînement potentiellement soumis à droits

La règle pratique : traitez les outputs IA comme des brouillons que vous devez retravailler substantiellement avant publication ou utilisation commerciale. Cette réécriture crée une œuvre "dérivée" avec une contribution humaine identifiable.

Règle 4 — Appliquer le principe de minimisation

Le RGPD impose de ne collecter et traiter que les données strictement nécessaires à l'objectif poursuivi. Ce principe s'applique aussi à l'usage des LLM :

• Soumettez des extraits, pas des documents complets
• Anonymisez ce qui peut l'être avant de l'envoyer
• Ne stockez pas de conversations contenant des données sensibles

---

L'AI Act : ce qui change pour les entreprises françaises

L'AI Act européen est en application progressive depuis août 2024 et s'applique pleinement à partir de 2026.

Ce qui est interdit (pour tout le monde)

• Les systèmes de notation sociale par les pouvoirs publics
• La manipulation comportementale exploitant les vulnérabilités
• La reconnaissance biométrique à distance en temps réel dans les espaces publics (sauf exceptions)
• Les systèmes d'inférence d'émotions dans le recrutement (important pour les RH)

Ce qui est à haut risque (obligations renforcées)

• L'IA dans les processus de recrutement et d'évaluation des collaborateurs
• L'IA dans les décisions d'accès aux services (crédit, assurance)
• L'IA dans les infrastructures critiques

Pour les PME qui utilisent des outils IA de recrutement (tri de CV automatisé, scoring de candidats), des obligations de transparence et de documentation s'appliquent.

Ce que les PME doivent faire dès maintenant

1. Inventorier les outils IA utilisés dans l'organisation (y compris les usages individuels non formalisés)
2. Catégoriser leur niveau de risque selon la grille AI Act
3. Rédiger une politique d'usage de l'IA accessible à tous les collaborateurs
4. Former les collaborateurs aux bonnes pratiques (c'est une obligation de l'employeur)

---

Bâtir une politique d'usage de l'IA en entreprise

Une politique d'usage de l'IA n'a pas besoin d'être un document juridique complexe. Un document de 2 à 3 pages accessible à tous suffit pour couvrir l'essentiel.

Structure recommandée

1. Outils autorisés Liste des outils IA dont l'usage est formellement autorisé, avec les conditions d'usage (version, compte personnel ou entreprise).

2. Données interdites Liste claire des types de données qui ne peuvent pas être soumises à un LLM externe (données personnelles, données confidentielles, données financières non publiques).

3. Règles de publication Tout contenu généré ou assisté par IA destiné à une publication externe (site, réseaux sociaux, communiqués) doit être relu et validé par un humain.

4. Signalement Comment signaler un incident ou une utilisation non conforme.

---

Ce que les collaborateurs retiennent le mieux

D'après notre expérience de formation sur ce sujet, les règles qui "accrochent" le mieux sont les règles visuelles et concrètes :

Le test du journal : "Si ce que je suis sur le point de saisir dans l'IA se retrouvait dans un article de presse demain, est-ce que ça poserait un problème ?" → Si oui, ne le faites pas.

La règle de l'anonymisation systématique : avant de soumettre tout document à un LLM, faites une passe rapide pour remplacer les noms propres et les informations identifiantes par des codes neutres (CLIENT_A, CANDIDAT_1, PROJET_X).

La hiérarchie des outils : version gratuite grand public → données publiques uniquement. Version entreprise avec DPA → données internes non confidentielles. Solution on-premise ou privée → données sensibles.

---

Conclusion

La gouvernance de l'IA n'est pas un frein à l'adoption. C'est ce qui rend l'adoption soutenable dans la durée.

Les entreprises qui forment leurs collaborateurs aux bonnes pratiques RGPD et éthiques de l'IA adoptent les outils plus vite et plus profondément que celles qui laissent chacun se débrouiller seul — parce que leurs collaborateurs savent ce qu'ils peuvent faire, et le font avec confiance.

👉 Guide complet du déploiement IA en entreprise 👉 Nos formations IA intégrant le volet conformité 👉 Contacter Upnov IA pour un accompagnement sur mesure