Intelligence artificielle

IA et confidentialité : ce que les PME doivent vraiment savoir

Greg Balastegui 6 min de lecture

C'est la question que j'entends dans toutes les sessions de formation que j'anime.

"Est-ce que ChatGPT garde ce qu'on lui envoie ?" "Est-ce qu'on a le droit d'utiliser l'IA avec des données clients ?" "Nos concurrents pourraient avoir accès à nos informations ?"

Ces questions sont légitimes. Et elles méritent des réponses claires — pas du jargon juridique, pas de la paranoia, pas de la désinvolture non plus.

Voici ce que vous devez vraiment savoir.


Ce que font réellement vos données dans ChatGPT

La réponse dépend de la version que vous utilisez.

Version gratuite (ChatGPT Free) : par défaut, OpenAI peut utiliser vos conversations pour améliorer ses modèles. Vos échanges peuvent être lus par des équipes d'OpenAI dans le cadre de la supervision de la qualité. Vous pouvez désactiver cette option dans les paramètres — "Améliorer le modèle pour tout le monde" → désactiver. C'est la première chose à faire si vous utilisez la version gratuite.

ChatGPT Plus (abonnement individuel) : même chose, même option à désactiver.

ChatGPT Teams ou Enterprise : vos données ne sont pas utilisées pour entraîner les modèles. OpenAI ne lit pas vos conversations. C'est la version recommandée pour un usage professionnel avec des données sensibles. À partir de 25€ par utilisateur et par mois.

API OpenAI (accès développeur) : les données envoyées via l'API ne sont pas utilisées pour l'entraînement par défaut. C'est l'option la plus sécurisée techniquement.

La même logique s'applique à Claude d'Anthropic : version gratuite → données potentiellement utilisées, Claude Pro → meilleures garanties, API → plus sécurisé.


Ce que vous ne devez jamais envoyer dans un outil IA grand public

Quelle que soit la version utilisée, certaines données ne doivent pas passer dans ChatGPT ou Claude sans précautions :

Données personnelles identifiantes de vos clients : nom, prénom, adresse, numéro de téléphone, email. Si vous travaillez sur un cas client, anonymisez avant de soumettre à l'IA.

Données financières confidentielles : bilans non publics, données de trésorerie, conditions contractuelles confidentielles.

Secrets commerciaux : formules, procédés, stratégies concurrentielles, informations couvertes par une clause de confidentialité.

Données de santé ou données sensibles au sens du RGPD : si votre activité vous amène à traiter ce type de données, l'IA grand public n'est pas l'environnement adapté.

La règle simple : si vous hésitez à envoyer l'information par email non chiffré à un prestataire externe inconnu, ne l'envoyez pas dans un outil IA grand public.


RGPD et IA : ce que ça change concrètement

Le RGPD s'applique dès lors que vous traitez des données personnelles de résidents européens. Utiliser ChatGPT pour rédiger un email à partir d'informations sur un client européen entre dans ce cadre.

En pratique, ce que ça implique pour une PME :

Si vous utilisez l'IA avec des données personnelles, vous êtes responsable du traitement. Vous devez vous assurer que l'outil que vous utilisez offre des garanties suffisantes — ce que font les versions Teams/Enterprise avec leurs Data Processing Agreements (DPA).

Votre politique de confidentialité doit mentionner l'utilisation d'outils IA si ces outils traitent des données personnelles de vos clients ou prospects.

En cas de sous-traitance à un outil IA pour des données personnelles, cet outil devient un sous-traitant au sens du RGPD — vous devez vérifier qu'il propose un DPA.

Concrètement pour une PME standard : si vous utilisez ChatGPT Teams ou Claude Pro avec des données de travail habituelles (emails, documents, analyses), vous êtes dans un cadre acceptable. Si vous traitez des données sensibles en volume, consultez un juriste spécialisé RGPD.


Les bonnes pratiques à adopter dès maintenant

Désactiver l'entraînement sur vos données dans les paramètres de chaque outil IA que vous utilisez.

Anonymiser les données clients avant de les soumettre à l'IA. "Mon client Pierre Dupont, dirigeant de la société X à Lyon" devient "un dirigeant de PME industrielle de 50 salariés". L'IA vous donne le même résultat, sans exposer de données personnelles.

Passer aux versions professionnelles pour les usages réguliers avec des données de travail. ChatGPT Teams ou Claude Pro offrent des garanties contractuelles que les versions gratuites ne proposent pas.

Former votre équipe à ces distinctions. Le problème principal n'est pas l'outil — c'est l'utilisateur qui ne sait pas ce qu'il peut ou ne peut pas envoyer. Une formation de 30 minutes sur ces pratiques évite 90% des risques.


La vraie question à se poser

Est-ce que l'IA est dangereuse pour la confidentialité de votre PME ?

Non — si vous utilisez les bonnes versions et les bonnes pratiques.

Oui — si vous envoyez des données confidentielles dans des versions gratuites sans précautions, sans avoir désactivé l'entraînement sur vos données.

La plupart des risques réels viennent non pas de l'outil lui-même, mais d'une utilisation sans réflexion préalable. Ce que vous lisez ici est suffisant pour adopter des pratiques sécurisées dans une PME standard.

Envie de voir ce que ça donnerait pour votre équipe ?

Réservez un appel découverte de 30 min. On identifie ensemble les 3 cas d'usage les plus rentables pour votre activité.

Réserver mon appel découverte