Vos données sont-elles en sécurité avec l’IA ?

Sécurité des données · IA

Oui, si vous choisissez la bonne version et ne confiez jamais de données sensibles à un compte grand public entraîné sur vos échanges.

Sur un compte grand public, vos conversations servent par défaut à entraîner le modèle, sauf si vous le désactivez (OpenAI, Contrôles des données, 2026). Coller une donnée personnelle dans un prompt reste un traitement encadré par le RGPD, dont votre entreprise est responsable (CNIL, 5 juin 2025).

La peur est légitime et le risque est réel. Il se gère avec quelques réglages, la bonne version et une règle claire. Voici les réponses que cherchent les dirigeants, sans jargon.

Faire le point sur vos usages en 30 min →

Les questions que vous vous posez

Est-ce risqué de mettre les données de mon entreprise dans ChatGPT ?

Le risque dépend de la version et de ce que vous y écrivez. Coller une donnée personnelle dans un prompt, un nom de client, un dossier salarié, revient à la transférer au fournisseur du modèle, et c’est un traitement encadré par le RGPD dont votre entreprise est responsable (CNIL, délibération n° 2025-047, 5 juin 2025). La règle simple : rien de personnel ni de confidentiel dans un outil grand public, et une version professionnelle dès que vos équipes manipulent des informations sensibles.

ChatGPT s’entraîne-t-il sur mes conversations ?

Sur les comptes Free, Plus et Pro, oui, par défaut. Vous coupez ce comportement en un réglage, dans Paramètres puis Contrôles des données. Sur les versions Team, Enterprise et API, non, vos contenus ne servent pas à l’entraînement (OpenAI, 2026). Un point de vigilance : un pouce levé ou baissé peut réautoriser une conversation précise, même après désactivation.

Mes données sont-elles vraiment supprimées quand je les efface ?

Pas immédiatement. Même après suppression, ou en conversation temporaire, OpenAI conserve les échanges environ trente jours pour surveiller les abus, avant effacement (OpenAI, 2026). Désactiver l’entraînement empêche l’usage futur de vos données, sans supprimer cette rétention courte. Pour un contenu très sensible, la conversation temporaire reste le mode le plus sobre.

Quelle version de ChatGPT choisir pour un usage professionnel ?

Pour des données sensibles, une version professionnelle : ChatGPT Team, Enterprise ou l’API. Ces offres excluent vos données de l’entraînement par défaut, chiffrent les échanges et laissent l’administrateur fixer la durée de conservation (OpenAI, 2026). Elles ouvrent aussi un engagement contractuel, le DPA, que le compte personnel d’un salarié n’offre pas.

Peut-on utiliser la version gratuite en entreprise ?

Pour des données personnelles ou confidentielles, mieux vaut s’en abstenir. La version gratuite entraîne le modèle par défaut et n’ouvre aucun engagement contractuel de traitement (OpenAI, 2026). Elle reste utile pour des tâches sans donnée sensible, à condition d’avoir désactivé l’entraînement. Dès qu’un client, un salarié ou un contrat entre dans le prompt, passez à une version professionnelle.

Que risque un salarié qui colle un document confidentiel ?

Le risque juridique pèse d’abord sur l’entreprise, responsable du traitement, pas sur le salarié seul (CNIL, 2025). En cas de données personnelles exposées, le RGPD prévoit des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial, et une notification sous 72 heures en cas de violation à risque (RGPD, articles 83 et 33). À l’amende s’ajoutent la fuite de secret d’affaires et la perte de confiance, d’où l’intérêt d’une règle écrite plutôt que d’un usage improvisé.

Une IA hébergée en Europe est-elle plus sûre ?

L’hébergement européen réduit un risque précis, le transfert de données hors de l’Union, un point sur lequel la CNIL est stricte (CNIL, 2025). Il ne suffit pas à lui seul : ce qui protège vos données, c’est la combinaison d’un contrat clair, d’une configuration sans entraînement et d’une règle d’usage. Une IA européenne mal paramétrée reste risquée, une IA américaine en version professionnelle avec hébergement européen peut être conforme. Le lieu compte, le cadre compte davantage.

Que dit la loi : RGPD et règlement européen sur l’IA ?

Deux textes vous concernent. Le RGPD s’applique pleinement dès qu’une donnée personnelle entre dans l’outil, y compris via un simple prompt (CNIL, délibération n° 2025-047, 5 juin 2025). Le règlement européen sur l’IA, en vigueur depuis août 2024, ajoute des obligations de transparence et de gouvernance qui s’appliquent par étapes, avec une échéance importante au 2 août 2026. En pratique, documentez qui utilise quoi, et informez les personnes dont vous traitez les données.

Faut-il une charte IA interne, et comment laisser les équipes l’utiliser sans fuite ?

Oui, une charte courte et claire est le premier réflexe. L’ANSSI recommande de sensibiliser les salariés et de mettre à jour les chartes informatiques pour encadrer ces outils (ANSSI, 2024). Le vrai danger porte un nom, le Shadow IA, l’usage informel de comptes personnels, que l’ANSSI a de nouveau pointé début 2026. Trois gestes suffisent pour commencer : fournir une version professionnelle, écrire noir sur blanc ce qu’on ne colle jamais, et nommer un référent.

Qui, dans votre entreprise, décide aujourd’hui de ce qu’on peut confier à une IA ?

C’est souvent la première faille, et la première chose qu’on cadre ensemble : la bonne version, une charte simple, et vos équipes qui avancent sans exposer l’entreprise.

Réserver 30 min →