Données confidentielles et IA : ce que vous pouvez (et ne pouvez pas) envoyer à ChatGPT
C'est la question qui revient à chaque audit. "Est-ce qu'on peut envoyer un contrat à ChatGPT ?" "Et un fichier client ?" "Et les données RH ?" Pas de réponse universelle — mais des règles claires existent. Voici ce qui sort vraiment de votre entreprise quand vous utilisez l'IA, et comment garder le contrôle sans interdire l'outil.
Ce qui se passe quand vous tapez un prompt
Quand vous envoyez un texte à ChatGPT, Claude ou Gemini, ce texte quitte votre machine, transite par internet, et arrive sur les serveurs de l'éditeur — la plupart du temps aux États-Unis. C'est traité, une réponse est générée, et la conversation est conservée.
Ce que la majorité des utilisateurs ignorent, c'est que par défaut, sur la version gratuite ou Plus de ChatGPT et Gemini, vos conversations peuvent être utilisées pour entraîner les futurs modèles. Vous pouvez désactiver cette option dans les paramètres, mais elle est active par défaut.
Claude (Anthropic) a une position différente : aucune donnée envoyée par les utilisateurs n'est utilisée pour entraîner les modèles, quel que soit le plan. C'est une position publique et contractuelle.
Les 3 niveaux de sensibilité
Plutôt que de raisonner par outil, raisonnez par type de donnée. Trois catégories suffisent à couvrir 95% des cas en entreprise.
Niveau 1 — À ne jamais envoyer
Ce qui ne devrait jamais être collé dans un outil IA grand public, peu importe le plan :
- Données nominatives clients ou employés (noms + emails, téléphones, adresses)
- Identifiants bancaires, RIB, numéros de carte
- Données de santé, numéros de sécurité sociale
- Mots de passe, clés API, identifiants techniques
- Documents sous NDA strict, brevets non déposés, secrets industriels
Niveau 2 — À envoyer uniquement après anonymisation
Ce que vous pouvez utiliser à condition de neutraliser les éléments identifiants avant :
- Emails et messages internes (remplacez les noms par "Client A", "Manager B")
- Comptes-rendus de réunion
- Documents juridiques (clauses sans noms ni montants spécifiques)
- Extraits de bases de données (avec identifiants neutralisés)
Niveau 3 — OK à envoyer tel quel
Ce qui ne pose pas de problème de confidentialité :
- Textes destinés à être publics (articles, posts, présentations externes)
- Brouillons sans données spécifiques
- Code open-source
- Questions générales métier ou techniques
Le cas Samsung : le rappel qui sert toujours d'exemple
En avril 2023, des ingénieurs de Samsung ont collé du code source confidentiel dans ChatGPT pour le débugger. Ce code est devenu accessible aux systèmes d'OpenAI — et donc, potentiellement, à de futurs modèles entraînés dessus.
Samsung a réagi en interdisant purement et simplement ChatGPT à ses 270 000 employés pendant plusieurs mois. Puis ils ont changé d'approche : déploiement d'une solution privée encadrée, formation des équipes. Ils n'ont pas réinterdit. Ils ont structuré. C'est la leçon qui compte.
Le réflexe à avoir : avant chaque prompt sensible, posez-vous une question simple — "si ce texte fuitait demain dans la presse, est-ce que ça me poserait problème ?" Si oui, anonymisez ou changez de canal.
La solution la plus simple pour une PME : un compte Team
Pour environ 25 à 30 € par utilisateur et par mois, les plans ChatGPT Team, Claude Team ou Gemini for Workspace apportent une garantie contractuelle claire : aucune donnée envoyée n'est utilisée pour entraîner les modèles. Les conversations restent visibles uniquement aux membres de votre organisation.
C'est de loin le moyen le moins cher et le plus efficace de réduire le risque pour une PME. Le retour sur investissement est immédiat : un seul incident comme celui de Samsung coûterait largement plus que dix ans d'abonnement Team pour toute votre équipe.
Construire une charte d'usage IA en 4 points
Une charte interne n'a pas besoin d'être un document de 30 pages. Quatre points suffisent à protéger 90% des situations :
- Quels outils sont autorisés — listez les comptes officiels (Team/Entreprise) que vous avez ouverts.
- Quels types de données peuvent être partagés — reprenez les 3 niveaux ci-dessus, adaptés à votre activité.
- Que faire en cas de doute — un référent identifié (DPO, responsable IT, dirigeant) à qui demander avant d'envoyer.
- Que faire en cas d'incident — qui contacter, quoi documenter, dans quel délai.
Cette charte doit être signée par chaque collaborateur. Pas pour faire peur — pour rendre le sujet conscient et tangible.
À retenir : l'IA n'est pas un trou noir. Vos données vont quelque part, et c'est documenté. La plupart des risques viennent de l'usage gratuit non encadré, pas de l'IA elle-même. Une charte claire + un plan Team règlent 90% des problèmes.
Vous voulez auditer l'usage de l'IA dans votre entreprise ?
On commence par un échange de 30 minutes pour comprendre votre situation et identifier les vrais points de vigilance.
Réserver un échange gratuit →