RGPD · IA cloud en entreprise

Puis-je utiliser ChatGPT, Claude & Cie. avec des données clients ?

Réponse courte : non – pas dans leurs versions standard.

ChatGPT, Claude, Gemini et Copilot sont des services cloud américains. Dès que des données personnelles entrent dans une requête, un transfert vers les États-Unis commence – avec toutes les obligations RGPD que les entreprises sous-estiment souvent. Travailler sans accord de sous-traitance ou utiliser la version gratuite enfreint le RGPD dès la première requête.

Voir l'alternative souveraine Demander un conseil
Non

Avec des comptes standard et sans mesures supplémentaires, l'usage n'est pas conforme au RGPD.

  • Pas d'accord de sous-traitance sur Free/Plus/Pro
  • Transfert de données vers les États-Unis
  • Le secret professionnel peut être pénalement violé
De quoi s'agit-il ?

ChatGPT, Claude & Cie. – voici les outils

Les quatre assistants IA leaders sont des services cloud de fournisseurs américains. Chaque texte saisi quitte ainsi votre entreprise et l'Europe.

ChatGPT
OpenAI · USA

Leader du marché par OpenAI. Les saisies sont traitées aux États-Unis. Les comptes Free et Plus n'ont pas d'accord de sous-traitance et peuvent utiliser les saisies pour entraîner les modèles.

Claude
Anthropic · USA

Modèle de langage d'Anthropic. Hébergé sur AWS US. Les comptes standard ne sont pas conçus pour traiter des données personnelles dans les entreprises européennes.

Gemini
Google · USA

Le modèle de langage de Google. Les saisies entrent dans l'écosystème Google. L'imbrication avec d'autres services américains amplifie la problématique du transfert.

Copilot
Microsoft · USA

L'assistant IA de Microsoft (basé sur les modèles OpenAI). Même avec un tenant M365 dans l'UE, le fournisseur reste soumis au CLOUD Act américain.

Les pièges juridiques

Six questions RGPD auxquelles les LLM cloud répondent rarement proprement

Quiconque saisit des données clients dans ChatGPT, Claude ou Gemini trébuche en général sur plusieurs de ces points à la fois.

01

Pas d'accord de sous-traitance

Art. 28 RGPD

Les comptes Free, Plus et Pro ne proposent pas d'accord de sous-traitance. Sans cet accord, la transmission de données personnelles au prestataire est déjà illicite.

02

Transfert vers un pays tiers (États-Unis)

Art. 44–49 RGPD · Schrems II

Les données atterrissent sur des serveurs américains. Le EU-US Data Privacy Framework de 2023 est un pont politique dont la sécurité juridique est de nouveau contestée par les CNIL et les tribunaux. Le CLOUD Act reste intact.

03

Pas de base légale solide

Art. 6 RGPD

Un véritable consentement de vos clients pour le traitement par OpenAI ou Anthropic n'est pratiquement jamais obtenu. L'intérêt légitime pèse rarement plus lourd que les risques d'un transfert hors UE.

04

Obligations d'information non remplies

Art. 13 & 14 RGPD

Les clients devraient être informés de manière transparente que leurs données sont partagées avec des LLM américains – y compris destinataires, transfert et base légale. En pratique, aucune politique de confidentialité ne le mentionne.

05

Secret professionnel violé

§ 203 du Code pénal allemand

Médecins, avocats, conseillers fiscaux, pharmaciens, assureurs, banques : saisir des données de clients ou patients dans des LLM cloud peut constituer une infraction au § 203 StGB – passible d'amende ou de prison.

06

Secrets d'affaires exposés

Loi sur les secrets d'affaires

Dès que projets de contrat, prix, code source ou stratégies arrivent dans des LLM cloud, ils ne sont généralement plus considérés comme suffisamment protégés au sens de la loi sur les secrets d'affaires.

Concrètement

Quelles données clients sont particulièrement critiques

Est personnel tout ce qui rend une personne identifiable – noms, adresses e-mail, numéros clients, numéros de téléphone, adresses IP. Un seul de ces champs dans une requête déclenche les obligations RGPD.

Les données particulièrement sensibles au sens de l'art. 9 RGPD – santé, religion, origine ethnique, orientation sexuelle – ne devraient pratiquement jamais entrer dans des LLM cloud. Le risque y est maximal.

À ne jamais saisir dans des LLM cloud

  • Noms, adresses, dates de naissance de clients
  • Données de santé ou de soins (Art. 9)
  • Candidatures, CV
  • Données contractuelles, tarifs et conditions
  • Code source avec logique interne ou identifiants
  • Échanges e-mail 1:1 avec des clients
  • Données de clients, patients ou mandants
Les conséquences

Que peut-il se passer en cas de manquement ?

⚖️

Amende RGPD

jusqu'à 20 M €

Ou 4 % du chiffre d'affaires mondial du groupe. Le montant le plus élevé s'applique (art. 83 RGPD).

👥

Dommages-intérêts

Art. 82 RGPD

Chaque personne concernée peut demander des dommages-intérêts immatériels – même sans preuve concrète du préjudice.

🚨

Responsabilité pénale

§ 203 StGB

Pour les professionnels tenus au secret, des amendes ou peines de prison personnelles s'ajoutent aux sanctions de l'entreprise.

📉

Réputation

difficile à mesurer

Les amendes publiées et incidents de confidentialité restent visibles dans les moteurs de recherche et la presse spécialisée pendant des années.

Solutions

Comment utiliser l'IA en entreprise en toute sécurité ?

Trois voies – classées par niveau de protection. La plus robuste est celle où vos données ne quittent jamais vos locaux.

Recommandé · protection maximale

IA on-premise – les données restent en interne

Une IA qui fonctionne sur votre propre matériel. Pas de transfert hors UE, pas d'accord de sous-traitance nécessaire, accès complet aux sources internes sans risque de conformité.

  • Aucune donnée ne quitte votre réseau
  • RGPD hors champ (pas de sous-traitant externe)
  • Adapté aux professions soumises au secret
En savoir plus sur KOSMO On-Premise
Adapté sous conditions

Fournisseur IA hébergé en UE avec accord de sous-traitance

Fournisseurs européens spécialisés avec hébergement dans l'UE, accord de sous-traitance et politique d'entraînement transparente. Risque réduit, mais contrôle régulier nécessaire.

  • Vérifier l'accord de sous-traitance et l'hébergement UE
  • Exclusion d'entraînement sur vos saisies
  • Vérifier la société mère et l'exposition au CLOUD Act
Risqué · à utiliser avec précaution

Anonymisation systématique

Si les LLM cloud sont incontournables : supprimer toute référence personnelle avant la requête. Remplacer les vrais noms par des espaces réservés, omettre les adresses, pas de texte brut de contrats.

  • Politique d'usage claire dans l'entreprise
  • Former les collaborateurs
  • Risque résiduel – la ré-identification reste possible
Questions fréquentes

FAQ – les questions les plus courantes

ChatGPT Enterprise propose un accord de sous-traitance, l'absence d'entraînement sur vos saisies et un traitement des données dans l'UE en option. C'est bien meilleur que la variante Plus. Le problème de fond demeure : OpenAI est une société américaine, et le CLOUD Act permet aux autorités américaines d'accéder aux données. Une analyse d'impact RGPD est obligatoire, et pour les données sensibles ou les professions du § 203, Enterprise est souvent insuffisant.

Sources & pour aller plus loin

Cette page s'appuie sur les sources publiques et officielles suivantes :

Sujets connexes sur Splitbot.ai

RAG & Datenschutz
Ce que l'orientation de la DSK sur les systèmes RAG signifie pour les PME
On-Premise KI
Exécuter KOSMO en local — souveraineté des données grâce à votre propre matériel
EU AI Act
Splitblog : ce que l'EU AI Act signifie pour les administrations et les entreprises
Chatbots im Vergleich
Quel chatbot pour quel cas d'usage ? Comparatif des fonctionnalités

Souverain plutôt que risqué

KOSMO fonctionne sur votre propre matériel ou dans des centres de données souverains européens. Pas de cloud américain, pas de transfert hors UE, contrôle total.

Découvrir KOSMO On-Premise Conseil gratuit

Cette page fournit une vue d'ensemble générale et ne remplace pas un conseil juridique. Pour des cas concrets – en particulier pour des données sensibles ou un secret professionnel – consultez votre délégué à la protection des données ou un cabinet spécialisé.

Partenaires & soutiens