Puis-je entrer des données clients dans ChatGPT ?

C'est risqué. Si vous entrez des données personnelles (noms, e-mails, plaintes, informations médicales), vous traitez ces données via un tiers. Vous avez alors besoin d'un accord de sous-traitance avec OpenAI, vous devez le mentionner dans votre registre des traitements, et vous devez informer les personnes concernées. Le conseil le plus sûr : ne saisissez pas de données personnelles identifiables.

OpenAI est-il un sous-traitant au sens du RGPD ?

Avec la version gratuite de ChatGPT, OpenAI est souvent (co)responsable du traitement, car il peut utiliser les données pour l'entraînement. Avec la version Enterprise ou API, OpenAI agit comme sous-traitant et un DPA est disponible. Vérifiez toujours les conditions spécifiques de votre abonnement.

Dois-je inclure les outils IA dans mon registre des traitements ?

Oui, si vous traitez des données personnelles via ces outils. Documentez quel outil vous utilisez, quelles données y entrent, la finalité, la base juridique, et s'il existe un accord de sous-traitance.

Puis-je utiliser l'IA pour évaluer des candidatures ?

Uniquement sous des conditions strictes. La prise de décision automatisée concernant des personnes relève de l'Article 22 du RGPD. Les candidats ont le droit de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé. Vous avez besoin d'une AIPD et devez garantir une intervention humaine.

Outils IA et Vie Privée - Implications RGPD pour les Entreprises

ChatGPT, Copilot, Midjourney - de plus en plus d'entrepreneurs utilisent des outils IA. Mais quelles données personnelles y entrent ? Qui est le sous-traitant ? Faut-il un accord de sous-traitance ? Cet article explique les implications du RGPD.

L’IA est partout, y compris dans votre entreprise

De plus en plus d’entreprises utilisent des outils IA au quotidien. ChatGPT pour rédiger des e-mails, Copilot pour générer du code, Midjourney pour des images, ou des fonctions IA dans leur CRM pour analyser les données clients. Pratique, mais du point de vue du RGPD, il y a de sérieuses implications.

La question centrale est simple : quelles données entrent dans l’outil IA et qu’en advient-il ?

Qu’est-ce qui rend les outils IA différents ?

Avec les logiciels traditionnels (votre système comptable, votre CRM), vous savez assez précisément où se trouvent vos données et ce qu’il en advient. Avec les outils IA, c’est différent :

Données d’entraînement. De nombreux modèles IA utilisent les saisies des utilisateurs pour améliorer le modèle. Ce que vous entrez peut donc être traité de manières inattendues.
Opacité. Vous ne savez pas exactement comment le modèle gère vos données. Où sont-elles stockées ? Combien de temps ? Qui y a accès ?
Serveurs hors UE. La plupart des grands fournisseurs IA (OpenAI, Google, Microsoft) traitent les données sur des serveurs américains. C’est un transfert de données personnelles vers un pays tiers.

Étude de cas : l’Italie interdit ChatGPT

En mars 2023, l’autorité italienne (Garante) a temporairement interdit ChatGPT. Les raisons :

Pas de base juridique valable pour la collecte et le traitement de données personnelles afin d’entraîner le modèle
Pas de vérification d’âge, permettant aux mineurs un accès sans protection
Pas de transparence envers les utilisateurs sur ce qu’il advenait de leurs données
Pas de mécanisme pour que les personnes concernées exercent leurs droits (accès, suppression)

OpenAI a procédé à des ajustements (politique de confidentialité clarifiée, possibilité de désactiver les données d’entraînement, vérification d’âge ajoutée) et ChatGPT a été réadmis. Mais le signal était clair : les outils IA doivent respecter les mêmes règles RGPD que tout autre logiciel.

Les autorités européennes ont depuis créé un groupe de travail conjoint spécifiquement pour ChatGPT et les services IA similaires. Ce n’est pas un incident isolé - c’est le début d’une application structurelle.

Les trois questions à se poser

1. Quelles données personnelles y entrent ?

Soyez honnête : vous arrive-t-il de coller un e-mail de plainte client dans ChatGPT pour formuler une réponse ? Collez-vous des CV dans un outil IA pour en faire un résumé ? Saisissez-vous des noms et adresses e-mail de clients ?

Dès que vous entrez des données personnelles identifiables, c’est un traitement au sens du RGPD. Peu importe que vous vouliez “juste rapidement” faire réécrire quelque chose.

2. Qui est le sous-traitant ?

La répartition des rôles sous le RGPD est importante :

Responsable du traitement (vous) : vous déterminez la finalité et les moyens du traitement
Sous-traitant (le fournisseur IA) : traite les données pour votre compte

Avec la version gratuite de ChatGPT, OpenAI est en partie co-responsable du traitement, car il peut utiliser vos saisies pour l’entraînement du modèle. Avec ChatGPT Enterprise ou la version API, OpenAI agit comme sous-traitant et propose un accord de sous-traitance (DPA).

Cette distinction est cruciale. Avec un sous-traitant, vous avez le contrôle via un accord de sous-traitance. Avec un co-responsable, la situation est plus complexe et vous avez moins de contrôle sur ce qu’il advient des données.

3. Existe-t-il un accord de sous-traitance ?

Si vous utilisez un outil IA à des fins professionnelles et y envoyez des données personnelles, vous avez besoin d’un accord de sous-traitance (DPA). Vérifiez :

Le fournisseur propose-t-il un DPA ? (Les versions Enterprise de ChatGPT, Copilot et Claude le font)
Où les données sont-elles traitées ? (UE ou US ?)
Le fournisseur peut-il utiliser les données pour l’entraînement ? (Si oui, ce n’est pas un sous-traitant pur)
Quelles mesures de sécurité sont en place ?

Bonnes et mauvaises pratiques

Ce que vous POUVEZ faire

Utiliser l’IA pour des tâches génériques ne nécessitant pas de données personnelles : suggestions de texte, traductions de textes standards, brainstorming d’idées marketing
Anonymiser les données avant de les saisir : remplacer les noms par “Client A”, supprimer les adresses e-mail et numéros de téléphone
Choisir un abonnement professionnel avec DPA si vous utilisez l’IA de manière structurelle (ChatGPT Enterprise, Microsoft Copilot for Business, Claude for Work)
Désactiver les données d’entraînement là où c’est possible
Documenter votre utilisation de l’IA dans votre registre des traitements
Élaborer une politique IA interne indiquant aux employés quels outils ils peuvent utiliser et quelles données ils peuvent ou non saisir. Consultez notre guide pratique pour créer une politique d’utilisation acceptable de l’IA

Ce que vous ne devez PAS faire

Coller des données clients dans la version gratuite de ChatGPT ou d’outils similaires
Faire résumer des CV par un outil IA sans DPA
Saisir des données médicales ou financières dans un outil IA sans garanties strictes
Prendre des décisions automatisées sur des personnes (ex. : trier des candidats) sans intervention humaine et sans AIPD
Supposer que c’est sûr parce que “tout le monde l’utilise” - la popularité n’est pas une base juridique

Que faire maintenant ?

Inventoriez les outils IA utilisés par vous et vos employés
Évaluez par outil si des données personnelles y entrent
Vérifiez si un DPA est disponible et si les données d’entraînement peuvent être désactivées
Documentez l’utilisation de l’IA dans votre registre des traitements
Élaborez une politique IA interne avec des directives claires pour les employés
Envisagez une AIPD si vous utilisez l’IA pour le profilage, la prise de décision automatisée ou le traitement de données à grande échelle

auto_awesome Automatiser votre dossier RGPD ?

GDPRWise scanne votre site, détecte les traitements et les tiers, et vous aide à constituer votre dossier RGPD complet - y compris le registre des traitements et les accords de sous-traitance pour tous vos outils.

Lancez votre scan gratuit

Outils IA et Vie Privée : À Quoi Faut-il Faire Attention ?