Sillage Sillage
Méthode
Méthode
Services
Services
Engagements
Engagements
Équipe
Équipe
Ressources
Ressources
Diagnostic
Diagnostic
HOME
HOME
Methode
Methode
Services
Services
Engagements
Engagements
Equipe
Equipe
Ressources
Ressources
Contact
Contact
Ressources
Données & conformité
Utiliser l'IA sans exposer vos données : RGPD, AI Act et bonnes pratiques

Utiliser l'IA sans exposer vos données : RGPD, AI Act et bonnes pratiques

Publié le
17/06/2026
- Par
Ugo Bertoncini
Utiliser l'IA sans exposer vos données : RGPD, AI Act et bonnes pratiques
Résumé et points clés de l'article

L'essentiel. Oui, vous pouvez utiliser l'IA en respectant le RGPD et l'AI Act, à trois conditions simples : ne jamais coller de données confidentielles dans une IA grand public, choisir le bon réglage (une version pro ou entreprise, ou l'option « ne pas réutiliser mes données » activée), et poser une petite règle d'usage en interne. Et le vrai danger, ce n'est pas la loi : c'est le copier-coller réflexe d'un mail ou d'un devis confidentiel dans un prompt, fait en deux secondes sans y penser.

Les points clés :
  • Ne saisissez jamais de données personnelles ou confidentielles dans une IA grand public. C'est la recommandation n°1 de la CNIL, le gendarme français des données.
  • Version gratuite ou perso n'égale pas version entreprise : par défaut, certaines IA grand public peuvent réutiliser vos saisies pour s'améliorer, alors que les offres entreprise ne le font pas.
  • Mettre une donnée client ou salarié dans une IA, c'est un « traitement de données » au sens du RGPD : c'est autorisé, mais ça se cadre.
  • L'AI Act impose une obligation de « culture IA » (article 4) depuis le 2 février 2025, et les sanctions tombent à partir du 2 août 2026. Oui, ça concerne aussi les TPE et PME.
  • Cinq réflexes simples couvrent l'essentiel du risque, et aucun ne demande d'être technique.

Ces repères ne constituent pas un avis juridique personnalisé : pour un cas précis et sensible, faites-vous accompagner.

Le vrai risque avec l'IA, c'est pas (que) la loi

Quand un dirigeant me parle d'IA et de données, il a souvent en tête l'amende à 35 millions d'euros, le RGPD, l'AI Act, bref le mur juridique. Et c'est normal : 52 % des TPE et PME craignent la perte ou le piratage de leurs données, un chiffre en hausse régulière selon le baromètre France Num 2025 de la Direction générale des Entreprises. La peur est réelle, et elle est légitime.

Sauf que dans la vraie vie, le danger numéro un n'est presque jamais un contrôle de la CNIL qui débarque. C'est beaucoup plus bête : c'est le copier-coller réflexe. Quelqu'un dans l'entreprise prend le contrat d'un client, ou la liste de paie, ou un mail confidentiel, et le colle dans une IA gratuite pour gagner cinq minutes, sans se demander où part le texte. Voilà la fuite. Pas un hacker, pas un article de loi : une habitude.

La bonne nouvelle, c'est que ce risque-là se règle avec des réflexes, pas avec un cabinet d'avocats. Et c'est exactement ce qu'on va voir : ce que vous risquez vraiment, et les gestes concrets qui couvrent l'essentiel.

Une personne lit un document papier sur la protection des données

Ce que dit le RGPD quand vous utilisez l'IA (en clair)

Le RGPD, c'est le règlement européen qui protège les données des personnes : les noms, les adresses, les numéros de téléphone, les informations sur vos clients comme sur vos salariés. Sa logique tient en une phrase : ces données appartiennent aux personnes, et vous, vous êtes responsable de la façon dont vous les utilisez.

Quand vous mettez une donnée client ou salarié dans une IA, vous faites ce que le RGPD appelle un « traitement de données » : autrement dit, vous manipulez de l'info personnelle. Et c'est là que beaucoup se trompent en pensant que c'est interdit. Ce n'est ni interdit, ni totalement libre. C'est autorisé, à condition de ne pas en mettre plus que nécessaire et de savoir où ça part.

La CNIL, le gendarme français des données, est très claire là-dessus dans sa foire aux questions sur l'IA générative : il ne faut « jamais partager d'informations confidentielles telles que des données personnelles » dans un service grand public. Elle recommande aussi de vérifier les réglages qui permettent de désactiver la réutilisation de vos saisies par l'éditeur de l'outil. C'est concret, c'est gratuit, et ça change tout.

Un professionnel consulte une réglementation sur une tablette

L'AI Act, ça vous concerne vraiment ?

L'AI Act, c'est la grande loi européenne sur l'intelligence artificielle, entrée en application progressivement. Là encore, première idée reçue à démonter : non, ce n'est pas réservé aux géants de la tech. Si vous utilisez l'IA dans votre entreprise, même un simple assistant de rédaction, vous êtes ce que le texte appelle un « déployeur », et certaines obligations s'appliquent. Sans seuil de taille.

L'obligation la plus concrète aujourd'hui, ce n'est pas un dossier d'ingénieur. C'est la « culture IA », parfois appelée littératie IA : en clair, faire en sorte que les gens qui utilisent l'IA chez vous sachent un minimum ce qu'ils font, quelles sont les limites de l'outil et quels réflexes adopter. C'est l'article 4 du règlement, et il s'applique quel que soit le niveau de risque de l'outil : un simple chatbot suffit à le déclencher.

Les dates à retenir, sans angoisse : cette obligation de culture IA est en vigueur depuis le 2 février 2025, et les sanctions au niveau national deviennent applicables à partir du 2 août 2026, contrôlées en France par la CNIL. Vous avez donc le temps de bien faire les choses. Et le plus intéressant, c'est que former vos équipes n'est pas qu'une case à cocher : c'est précisément ce qui rend l'usage plus sûr au quotidien. On y revient avec le réflexe n°5.

Comparaison de deux versions d'un outil IA, rendu studio moderne

Gratuit, pro, entreprise : la version change tout pour vos données

C'est le point que la plupart des dirigeants découvrent, et c'est souvent le plus déterminant. Toutes les versions d'une même IA ne traitent pas vos données pareil. La différence se joue sur une question : est-ce que ce que vous tapez peut servir à entraîner l'IA, c'est-à-dire à la nourrir pour qu'elle s'améliore ?

VersionVos saisies servent-elles à entraîner l'IA ?Pour quel usage
Gratuite / perso (par défaut)Souvent oui, sauf si vous désactivez l'option vous-mêmeTâches sans données sensibles
Perso avec option « ne pas réutiliser » activéeNon, mais une conservation courte reste possibleUsage prudent, données non critiques
Entreprise / Business / APINon par défautDonnées internes, usage pro

Pour donner un repère concret : OpenAI, l'éditeur de ChatGPT, indique que les données de ses offres entreprise et professionnelles (ChatGPT Enterprise, Business, l'API) ne sont pas utilisées pour entraîner ses modèles par défaut. Sur les offres grand public, en revanche, c'est souvent l'inverse, sauf à aller cocher soi-même l'option dans les réglages.

Une précision honnête : ces réglages bougent souvent, et chaque éditeur a ses propres règles. Donc ne prenez pas un comportement pour acquis : au moment de choisir un outil, allez lire la page « confidentialité » ou « données » de l'éditeur, ou faites-vous accompagner pour vérifier. Ce qui compte, c'est le principe : la version que vous choisissez n'est pas un détail, c'est votre première ligne de protection.

Des mains règlent les paramètres de confidentialité sur un ordinateur portable

5 réflexes pour utiliser l'IA sans exposer vos données

Voici les gestes qui, dans mon expérience de terrain en accompagnement, couvrent l'immense majorité du risque. Aucun ne demande d'être technique.

1
Ne collez jamais de données confidentielles ou nominatives dans une IA grand public
Contrats, fiches de paie, données médicales, dossiers clients nommés : ça ne va pas dans la version gratuite. C'est la règle qui évite 90 % des accidents.
2
Anonymisez avant de demander
Vous voulez l'aide de l'IA sur un cas réel ? Remplacez les noms par « Client A », « le salarié », « l'entreprise X ». L'IA vous aide tout aussi bien, et plus aucune donnée identifiante ne sort.
3
Choisissez la bonne version, et un compte pro
Pour un usage régulier avec des données internes, prenez une offre entreprise ; à défaut, activez l'option « ne pas réutiliser mes données » sur la version perso. Et séparez le compte pro du compte perso.
4
Écrivez une mini-règle interne, une page suffit
Ce qu'on a le droit de mettre dans une IA, ce qu'on n'y met jamais, et quels outils sont validés. La CNIL recommande justement ce type de charte qui définit les usages autorisés et interdits. Une page lue par tout le monde vaut mieux qu'un règlement de 40 pages que personne n'ouvre.
5
Formez l'équipe aux réflexes
Le maillon faible n'est jamais l'outil, c'est l'usage. Une équipe qui sait reconnaître une donnée sensible et le bon réglage protège l'entreprise mieux que n'importe quel logiciel. Et c'est aussi votre obligation au titre de l'AI Act (la culture IA de l'article 4).
Un dirigeant configure sereinement un premier outil IA sur son ordinateur

Par où commencer concrètement

Si vous deviez ne retenir qu'une chose : la conformité de base, ce n'est pas un projet d'ingénieur, c'est une poignée de réflexes partagés. Choisir la bonne version, anonymiser, poser une règle d'une page, et embarquer l'équipe. Vous pouvez démarrer cette semaine.

Pour replacer tout ça dans une vraie démarche d'adoption, sans vous y prendre seul ni tomber sur des opportunistes, voyez notre guide pour intégrer l'IA dans une TPE/PME, étape par étape. Et comme le cinquième réflexe (et l'AI Act) tournent autour des équipes, le meilleur point de départ est souvent par le haut : voici pourquoi former ses équipes à l'IA, en commençant par le dirigeant, change tout.

Au passage, ce qu'on voit le plus souvent en accompagnement, que ce soit une PME industrielle ou un artisan ici en Alsace, du côté de Strasbourg : ce n'est pas un dirigeant inconscient, c'est juste personne qui a posé les règles. Une fois la règle posée et l'équipe au clair, la peur tombe et l'IA devient un vrai outil.

FAQ

Est-ce que ChatGPT (version gratuite) utilise mes données pour s'entraîner ?
Par défaut, sur les versions grand public, vos saisies peuvent servir à améliorer l'outil, sauf si vous allez désactiver l'option dans les réglages. Sur les offres entreprise et professionnelles, l'éditeur indique au contraire ne pas utiliser ces données pour l'entraînement. Vérifiez toujours la page « données » de l'éditeur, car ces règles évoluent.
Ai-je le droit de mettre des données clients dans une IA ?
Ce n'est pas interdit, mais c'est encadré. Au sens du RGPD, c'est un traitement de données : vous devez vous limiter au nécessaire et savoir où part l'information. Le plus simple reste d'anonymiser (remplacer les noms) ou d'utiliser une version entreprise qui ne réutilise pas vos saisies. La CNIL déconseille clairement d'envoyer des données confidentielles dans un service grand public.
L'AI Act s'applique-t-il vraiment à une TPE/PME, ou seulement aux grands groupes ?
Il s'applique aussi aux petites structures. Dès que vous utilisez l'IA dans votre activité, vous êtes un « déployeur » et l'obligation de culture IA (article 4) vous concerne, sans seuil de taille. Elle est en vigueur depuis février 2025, avec des sanctions nationales applicables à partir d'août 2026.
Quelle version d'IA choisir pour rester confidentiel ?
Pour des données internes ou un usage régulier, privilégiez une offre entreprise ou professionnelle, qui par défaut ne réutilise pas vos saisies. Sur une version perso, activez l'option « ne pas réutiliser mes données » et réservez-la aux tâches sans données sensibles.
Que risque concrètement mon entreprise en cas de fuite via une IA ?
Deux niveaux. Le plus immédiat, c'est la perte de confiance : une donnée client ou salarié qui s'échappe, ça abîme une relation. Le second, c'est le risque réglementaire (RGPD, et bientôt les contrôles AI Act) en cas de mauvaise gestion répétée des données. Dans les faits, le scénario le plus courant n'est pas un piratage spectaculaire mais une fuite par inattention, exactement ce que les cinq réflexes ci-dessus évitent.
Dois-je former mes salariés à l'IA pour être en règle ?
Oui, et c'est même une obligation : l'article 4 de l'AI Act impose un niveau suffisant de culture IA chez les personnes qui utilisent l'IA pour votre compte. Mais au-delà de l'obligation, c'est surtout le meilleur rempart contre les fuites : une équipe formée aux bons réflexes protège vos données mieux que n'importe quel logiciel.

Utiliser l'IA sans vous exposer, on en parle

Vous voulez avancer sur l'IA sans mettre vos données en danger ? On fait le point ensemble : vos usages actuels, vos données sensibles, et les quelques réglages qui vous mettent au clair. Pas de jargon, pas de vente de la peur, juste un point de départ propre. Parlons-en.

Réserver un échange gratuit
Réserver un échange gratuit

Sources

  • CNIL, « Les questions-réponses sur l'utilisation d'un système d'IA générative ». La CNIL recommande de ne jamais partager d'informations confidentielles, dont des données personnelles, dans un service grand public, et de désactiver la réutilisation des saisies. Lire la foire aux questions
  • CNIL, « Les fiches pratiques IA ». Guides opérationnels de la CNIL pour utiliser l'IA en respectant le RGPD au quotidien. Consulter les fiches pratiques
  • CNIL, « IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable ». Recommandations de la CNIL pour développer et déployer des systèmes d'IA en conformité avec le RGPD. Lire les recommandations
  • Règlement européen sur l'IA (AI Act), article 4 — maîtrise de l'IA (« AI literacy »). L'article 4 impose une obligation de culture IA aux déployeurs, en vigueur depuis le 2 février 2025. Lire l'article 4
  • Baromètre France Num 2025 (Direction générale des Entreprises). 52 % des TPE et PME craignent la perte ou le piratage de leurs données, un chiffre en hausse régulière. Lire le baromètre
  • OpenAI, « Business data privacy, security, and compliance ». OpenAI indique que les données des offres entreprise et professionnelles (ChatGPT Enterprise, Business, API) ne servent pas par défaut à entraîner ses modèles. Lire la page données entreprise
  • economie.gouv.fr, « "Osez l'IA" : un plan pour diffuser l'IA dans toutes les entreprises ». Plan public de diffusion de l'IA dans l'ensemble des entreprises françaises, dont les TPE et PME. Lire l'actualité
Ugo Bertoncini, fondateur de Sillage

L'Auteur - Ugo Bertoncini

Associé / Directeur Général / Formateur IA

Salut, moi c'est Ugo, entrepreneur passionné par le croisement entre marketing, business et intelligence artificielle. Après 12 ans à bâtir et développer des projets, 5 ans à former, et plusieurs années à expérimenter l'IA, j'accompagne aujourd'hui des organisations comme la CCI Alsace, la CCI Campus, ou l'Agence Novembre.

J'écris ici pour partager ce que l'IA change vraiment dans nos métiers : ouvrir les chakras, le champ des possibles, faire gagner du temps, aider à mieux décider. Bref, transmettre ce qui m'a moi-même fait progresser !

L'article vous plaît ? Faites-en profiter votre réseau !

Et si on faisait le point sur votre stratégie IA ?

Planifiez un rendez-vous de diagnostic gratuit pour en discuter avec un expert IA

Planifier un diagnostic
Planifier un diagnostic
Planifier un diagnostic
Planifier un diagnostic

Ressources similaires

Démarrer avec l'IA

Intégrer l'IA dans une TPE/PME : par où commencer (guide 2026)

Équipes & formation

Former ses équipes à l'IA : pourquoi commencer par le dirigeant

Outils & comparatifs

Quels outils IA pour une PME : le cadre pour bien choisir (pas la hype)

Coût & aides

Combien coûte un projet IA pour une PME (et quelles aides en 2026)