RGPD et IA en entreprise : comment utiliser ChatGPT sans risque CNIL

L'intelligence artificielle est devenue indispensable en 2026 : rédaction d'e-mails, analyse de documents, traduction, résumé de réunions. Mais quand vos collaborateurs collent des données clients, contrats, ou informations RH dans ChatGPT, ils prennent un risque que vous, dirigeant, ne mesurez pas toujours. La CNIL a déjà sanctionné des entreprises pour usage non conforme de l'IA. Voici comment éviter le piège.

Pourquoi ChatGPT et Copilot peuvent violer le RGPD

Le RGPD impose plusieurs obligations quand vous traitez des données personnelles (nom, e-mail, n° de téléphone, adresse, identifiants, données de santé, etc.) :

1. Localisation des serveurs. Les données doivent rester dans l'Espace Économique Européen (EEE) ou dans un pays avec décision d'adéquation. Les serveurs OpenAI (ChatGPT) sont aux USA — pays sans décision d'adéquation valide depuis 2020 (invalidation Privacy Shield).
2. Finalité explicite. Vos clients doivent savoir que leurs données sont traitées par une IA. Le consentement doit être informé et explicite. La plupart des entreprises ne préviennent pas leurs clients qu'elles utilisent ChatGPT pour rédiger leurs réponses.
3. Sous-traitance encadrée. Si vous utilisez un service tiers pour traiter des données personnelles, vous devez signer un contrat de sous-traitance (DPA). OpenAI propose un DPA mais avec ChatGPT Free / Plus, vous n'en avez pas.
4. Réutilisation des données. ChatGPT peut utiliser vos requêtes pour entraîner ses modèles (sauf opt-out manuel). Vos secrets industriels et données clients enrichissent une IA accessible à tous, y compris à vos concurrents.

Bilan : utiliser ChatGPT Free / Plus avec des données clients est juridiquement risqué. La CNIL et la justice française ont déjà sanctionné des entreprises pour des transferts de données aux USA via SaaS (cas Doctolib, cas certains CRM cloud).

Les 4 niveaux de risque selon votre usage

🟢 Niveau 1 : Risque faible

Tâches sans données personnelles. Brainstorming d'idées générales, rédaction d'articles publics, traduction de textes anonymes, génération de code sans données métier. Vous pouvez utiliser ChatGPT/Claude/Gemini sans risque RGPD.

🟡 Niveau 2 : Risque modéré

Tâches avec données pseudonymisées. Analyse de données chiffrées sans nom, statistiques anonymes, génération de réponses types non personnalisées. Acceptable si vous avez une politique IA claire et vous formez vos équipes.

🟠 Niveau 3 : Risque élevé

Tâches avec données personnelles non sensibles. Rédiger un e-mail à un client en collant l'historique de conversations, résumer un compte-rendu de réunion qui mentionne des collaborateurs, analyser un fichier Excel avec noms de prospects. Vous devriez utiliser l'IA locale ou ChatGPT Enterprise avec DPA.

🔴 Niveau 4 : Risque critique

Données sensibles ou hautement confidentielles. Données médicales, financières, juridiques, RH (salaires, évaluations), informations stratégiques (M&A, brevets), secrets industriels. L'IA cloud est interdite de fait. Seule solution conforme : IA locale 100 % on-premise.

Les 3 solutions IA conformes RGPD pour votre PME

Solution 1 : ChatGPT Enterprise / Claude for Work

OpenAI Enterprise et Anthropic Claude for Work proposent des contrats avec DPA, opt-out d'entraînement, conformité SOC 2. Coût : à partir de 20 €/mois/utilisateur, souvent négociable. Avantage : puissance maximale (GPT-4o, Claude Sonnet 4). Inconvénient : données toujours hébergées aux USA, conformité RGPD complexe à prouver à la CNIL.

Solution 2 : Mistral AI ou Le Chat (alternative française)

Mistral AI (français) propose Le Chat Pro avec hébergement en France. Conformité RGPD native. Coût : à partir de 15 €/mois. Avantage : 100 % conforme RGPD by design, qualité comparable à GPT-3.5/4. Inconvénient : moins de fonctionnalités que ChatGPT (pas d'images, voice mode limité).

Solution 3 : IA locale on-premise (la plus sécurisée)

Installer un modèle IA directement sur votre ordinateur ou serveur interne (Llama 3, Mistral 7B). Aucune donnée ne quitte votre machine, fonctionne hors ligne, conformité RGPD totale par construction. Coût : installation 149 € à 500 €, puis 0 €/mois. Inconvénient : performances un peu inférieures à GPT-4 sur des tâches très complexes (raisonnement, code avancé), suffisant pour 90 % des usages bureau.

Mon conseil pratique pour votre PME

Étape 1 : Cartographiez vos usages IA. Demandez à vos collaborateurs s'ils utilisent ChatGPT et pour quoi. Vous serez probablement surpris du volume et de la sensibilité des données déjà passées dans le cloud.

Étape 2 : Classez par niveau de risque selon le tableau ci-dessus.

Étape 3 : Définissez une politique IA simple :

• Niveau 1-2 (risque faible/modéré) : ChatGPT Free autorisé
• Niveau 3 (risque élevé) : Mistral Le Chat ou ChatGPT Enterprise
• Niveau 4 (risque critique) : IA locale uniquement

Étape 4 : Formez vos équipes. Beaucoup de fuites RGPD viennent de l'ignorance, pas de la malveillance. Une formation 30 minutes suffit pour clarifier les règles.

Étape 5 : Documentez. En cas de contrôle CNIL, vous devez prouver que vous avez réfléchi à la question. Une politique écrite + formations tracées vous met à l'abri à 80 %.

Mon retour d'expérience comme ancien DPD

J'ai été Délégué à la Protection des Données pendant 6 ans pour des collectivités. Conclusion : 90 % des problèmes RGPD viennent du "on ne savait pas". Pas de la mauvaise foi. Le travail du dirigeant, c'est de mettre en place les outils ET la culture pour que ses équipes fassent les bons choix sans avoir à y réfléchir 10 minutes à chaque tâche.

C'est précisément pour ça que j'ai créé un Assistant IA local sur ma propre machine et que je le propose maintenant à mes clients PME : le moyen le plus simple de retirer le risque RGPD du quotidien, sans dégrader la productivité.

📖 Pour aller plus loin :