LogoIA Pratique
IA et Métiers

IA et données personnelles : ce que vous devez savoir

Lucas Renard

Lucas Renard

3 avril 2026

IA et données personnelles : ce que vous devez savoir

La question que tout le monde se pose (et que personne ne lit vraiment)

Chaque fois que vous tapez quelque chose dans ChatGPT ou Claude, où vont ces informations ? Sont-elles lues par des humains ? Utilisées pour entraîner le prochain modèle ? Partagées avec des tiers ? Ces questions légitimes méritent des réponses précises — pas des formules vagues rassurantes ni des théories du complot infondées.

La réalité est nuancée et dépend principalement de l'outil que vous utilisez, de la formule choisie (gratuite ou payante), et des paramètres que vous avez configurés.

Ce que font réellement les grandes plateformes avec vos données

ChatGPT (OpenAI)

Version gratuite et Plus : par défaut, OpenAI peut utiliser vos conversations pour améliorer ses modèles. Des équipes humaines examinent certaines conversations dans le cadre des processus de qualité. Vous pouvez désactiver cet usage dans Paramètres > Contrôles des données > Amélioration du modèle. Une fois désactivé, vos conversations ne sont pas utilisées pour l'entraînement.

API : les données transmises via l'API ne sont pas utilisées par défaut pour l'entraînement des modèles. Elles sont conservées 30 jours pour des raisons de détection d'abus, puis supprimées.

ChatGPT Enterprise et Edu : aucune utilisation des données pour l'entraînement. Traitement en isolation du reste des données OpenAI.

Claude (Anthropic)

Claude.ai (version web) : Anthropic peut utiliser vos conversations pour améliorer ses modèles, sauf si vous désactivez cette option dans les paramètres. Les conversations peuvent être examinées par des employés d'Anthropic dans un contexte de sécurité et de qualité.

Claude API : les données ne sont pas utilisées pour l'entraînement par défaut.

Claude for Enterprise : garanties de confidentialité renforcées, pas d'utilisation pour l'entraînement.

Gemini (Google)

Gemini gratuit : Google peut examiner vos conversations. Les données peuvent être utilisées pour améliorer les services Google. Vous pouvez désactiver l'historique des activités Gemini dans votre compte Google.

Gemini pour Google Workspace : les données d'entreprise ne sont pas utilisées pour entraîner les modèles de Google.

Les risques concrets à connaître

Le risque de fuite de données sensibles

Si vous transmettez des informations confidentielles à une IA publique — données clients, informations financières, secrets commerciaux, données médicales — vous les envoyez vers les serveurs d'une entreprise étrangère. Même si cette entreprise ne les partage pas activement, elles sont stockées sur des serveurs accessibles à leurs équipes.

Scénarios à risque réels :

  • Coller un contrat client pour demander à l'IA de le résumer
  • Demander à ChatGPT d'analyser un fichier contenant des noms et emails de clients
  • Partager des données financières non publiques d'une entreprise cotée
  • Transmettre des informations médicales de patients

Le risque réglementaire (RGPD)

En Europe, le RGPD impose des règles strictes sur le traitement des données personnelles. Transmettre des données personnelles de vos clients à une IA publique sans base légale et sans information des personnes concernées peut constituer une violation du RGPD — avec des sanctions potentiellement significatives (jusqu'à 4 % du CA mondial).

Plusieurs autorités de protection des données européennes (dont la CNIL en France) ont publié des recommandations sur l'usage de l'IA en entreprise. La position générale : les données personnelles ne doivent pas être transmises à des IA publiques sans évaluation juridique préalable.

Le risque de confidentialité des affaires

Même sans données personnelles au sens RGPD, certaines informations sont confidentielles : stratégie d'entreprise, projets en cours, informations sur des acquisitions ou partenariats potentiels. Les transmettre à une IA publique crée un risque de fuite potentiel.

Les bonnes pratiques à adopter immédiatement

Désactivez l'entraînement sur vos données

Dans ChatGPT : Paramètres → Contrôles des données → Désactiver « Améliorer le modèle pour tout le monde »

Dans Claude.ai : Paramètres → Confidentialité → Désactiver l'utilisation des données pour l'amélioration du modèle

C'est une étape minimale que tout utilisateur devrait faire.

Anonymisez avant de transmettre

Avant de copier un document dans une IA, remplacez les informations sensibles par des placeholders :

  • Noms de personnes → [PRÉNOM], [NOM]
  • Entreprises → [ENTREPRISE A], [ENTREPRISE B]
  • Montants spécifiques → [MONTANT]
  • Données financières → [CHIFFRE]

L'IA peut toujours vous aider sur la structure et le fond du document sans connaître les données réelles.

Utilisez des formules entreprise pour les données sensibles

Pour les usages professionnels impliquant des données sensibles, les formules entreprise offrent des garanties contractuelles :

  • ChatGPT Enterprise : traitement isolé, pas d'entraînement, contrat de traitement de données (DPA)
  • Claude for Enterprise : mêmes garanties
  • Microsoft Copilot M365 : traitement dans votre tenant Microsoft Azure, même niveau de conformité que vos données M365 existantes
  • Google Workspace avec Gemini : traitement dans votre environnement Workspace, conformité RGPD

Ces offres coûtent plus cher (20 à 30 $/utilisateur/mois minimum) mais offrent un cadre juridique adapté aux entreprises.

Alternatives : IA locale ou API avec isolation

Pour les cas où même les offres enterprise ne suffisent pas (secteurs très réglementés comme la santé ou la finance), des alternatives existent :

Modèles open source en local : des modèles comme Llama (Meta) ou Mistral (français) peuvent être déployés sur vos propres serveurs. Vos données ne quittent jamais votre infrastructure. La qualité est inférieure aux modèles commerciaux les plus performants, mais elle progresse rapidement.

Azure OpenAI Service : déploiement de GPT-4 dans votre propre tenant Azure, avec les garanties de conformité Microsoft. Vos données ne sont pas partagées avec OpenAI.

Ce que dit la CNIL sur l'IA et le RGPD

La CNIL a publié plusieurs ressources sur l'usage de l'IA générative en entreprise. Les points clés :

  1. Avant tout déploiement : identifier les traitements de données personnelles impliqués et leur base légale
  2. Information des personnes : si des données personnelles de tiers sont transmises à l'IA, les personnes concernées doivent être informées
  3. Transferts hors UE : les transferts vers des serveurs aux États-Unis doivent respecter les mécanismes de transfert approuvés (clauses contractuelles types)
  4. Analyse d'impact : pour les traitements à haut risque, une AIPD (Analyse d'Impact relative à la Protection des Données) peut être requise

La CNIL a également lancé une sandbox IA pour accompagner les organisations dans l'évaluation de leurs projets IA.

Les signaux qui indiquent que vous avez un problème

  • Vous copiez des emails contenant des noms de clients dans ChatGPT
  • Vous demandez à l'IA d'analyser un fichier RH avec des données de salariés
  • Vous partagez des informations sur une transaction confidentielle en cours
  • Vous utilisez l'IA pour traiter des données médicales ou bancaires sans évaluation juridique

Aucun de ces usages n'est forcément illégal en soi — mais ils méritent tous une évaluation avant de devenir des pratiques systématiques.

Conclusion : l'ignorance n'est pas une protection

Les risques liés aux données personnelles et à l'IA sont réels et connus. La bonne nouvelle : ils sont gérables avec quelques pratiques simples. Désactivez l'entraînement sur vos données, anonymisez ce que vous transmettez, utilisez des offres enterprise pour les usages professionnels sensibles. Ce n'est pas compliqué — c'est juste une hygiène numérique à intégrer dans vos habitudes de travail.