Tous les guides Données & RGPD

IA générative et confidentialité des données en entreprise

9 min de lecture Par EIPI Conseil

Les risques que personne ne vous a expliqués

ChatGPT, Copilot, Gemini… les outils d'IA générative sont devenus des réflexes dans de nombreuses entreprises. Mais partager des documents internes avec ces outils sans y réfléchir expose votre organisation à des risques réels : fuite de données confidentielles, non-conformité RGPD, perte d'avantage concurrentiel.

Ce n'est pas une raison de ne pas utiliser l'IA. C'est une raison de l'utiliser intelligemment, avec des règles claires.

"Coller un contrat client dans ChatGPT pour en faire un résumé, c'est potentiellement transmettre des données confidentielles à un tiers sans base légale. La commodité ne doit pas l'emporter sur la prudence."

Ce que dit le RGPD sur l'IA générative

Le RGPD s'applique dès que vous traitez des données à caractère personnel, y compris via un outil IA tiers. Les points essentiels à connaître :

  • Base légale obligatoire : toute transmission de données personnelles à un prestataire tiers (y compris OpenAI ou Google) doit reposer sur une base légale (contrat, intérêt légitime, consentement).
  • Les CGU standard ne suffisent pas : les versions gratuites ou standard de ces outils permettent souvent à l'éditeur d'utiliser vos données pour améliorer ses modèles. Ce n'est généralement pas conforme.
  • Les versions Enterprise changent la donne : Microsoft Copilot Enterprise, ChatGPT Enterprise ou Claude for Work offrent des garanties contractuelles : vos données ne sont pas utilisées pour l'entraînement, elles restent dans votre périmètre.
  • La CNIL a publié des recommandations : la Commission Nationale Informatique et Libertés a établi des lignes directrices spécifiques sur l'IA générative. La vigilance est attendue des entreprises.

Les données à ne jamais soumettre à un outil IA grand public

  • Données clients : noms, emails, numéros de contrat, coordonnées bancaires, historique d'achats.
  • Données RH : fiches de paie, évaluations de performance, dossiers disciplinaires, données de santé.
  • Contrats en cours : surtout ceux comportant des clauses de confidentialité — ce qui est le cas de la plupart.
  • Données financières non publiques : prévisions, résultats avant publication, prix de revient, marges.
  • Informations stratégiques : roadmap produit, stratégie commerciale, offres en cours de chiffrage, partenariats confidentiels.

Les bonnes pratiques à mettre en place

  • Anonymiser avant de soumettre : remplacez les noms propres, entreprises et identifiants par des données fictives avant de soumettre un document à une IA.
  • Passer aux versions Enterprise : le surcoût est faible comparé au risque juridique et à la valeur des données concernées.
  • Rédiger une charte d'utilisation de l'IA : définissez clairement ce qui est autorisé, ce qui est interdit, et les outils validés par l'entreprise.
  • Former les équipes : les collaborateurs doivent savoir identifier une donnée sensible avant de la transmettre à un outil.
  • Explorer les solutions hébergées en interne : pour les usages les plus sensibles, des LLM open source déployés sur votre infrastructure garantissent que vos données ne quittent jamais votre périmètre.

Checklist conformité

  • J'ai vérifié les CGU des outils IA utilisés par mes équipes
  • J'ai établi une liste des données sensibles à ne pas partager avec un outil IA externe
  • J'ai formé mes collaborateurs à identifier ces données
  • J'ai rédigé ou prévu une charte d'utilisation de l'IA validée par la direction
  • Je sais si nous utilisons des versions standard ou Enterprise des outils IA
  • J'ai identifié les cas d'usage qui nécessitent un hébergement interne des données

Prêt à passer à l'action ?

Nos experts analysent votre situation et vous proposent un premier plan d'action concret, sans engagement.

Prendre contact Voir tous les guides