L'essentiel en bref
- L'employeur reste responsable du traitement des données, même si c'est un salarié qui saisit l'information dans l'outil.
- La CNIL recommande de ne jamais saisir de données personnelles sensibles dans un outil d'IA générative grand public.
- Le paramètre de non-utilisation des conversations pour l'entraînement doit être activé quand il est disponible.
- Une analyse d'impact (AIPD) est obligatoire pour l'usage de l'IA générative dans les processus RH, médicaux ou judiciaires.
Pourquoi le RGPD s'applique à l'usage de ChatGPT en entreprise
Quand un salarié saisit le nom d'un client, le contenu d'un email, un extrait de contrat ou un élément de dossier RH dans un outil comme ChatGPT, cette donnée est transmise au fournisseur du service, le plus souvent situé hors de l'Union européenne, et peut, selon les conditions contractuelles, être utilisée pour entraîner les modèles ou être conservée. Ce transfert constitue un traitement de données personnelles au sens du RGPD, dès lors que l'information saisie permet d'identifier une personne physique.
L'employeur reste responsable de ce traitement, même s'il n'a pas lui-même saisi la donnée. Il doit définir les usages autorisés, informer les personnes concernées et garantir la confidentialité des données, ce qui suppose d'avoir posé des règles internes claires avant que les équipes ne commencent à utiliser ces outils au quotidien.
Ce que recommande concrètement la CNIL
La CNIL recommande aux entreprises utilisant des outils d'IA générative de :
- Ne pas saisir de données personnelles sensibles dans le service (santé, opinions, origine, situation judiciaire).
- Activer, quand elle existe, l'option de non-utilisation des conversations à des fins d'entraînement du modèle.
- Former les équipes aux risques et aux bonnes pratiques d'usage.
- Documenter les usages et leur base légale dans le registre des traitements de l'entreprise.
Ces quatre points constituent un socle minimal, applicable à toute PME, quel que soit l'outil utilisé.
Le cas particulier des données RH
Selon les recommandations de la CNIL, une analyse d'impact relative à la protection des données (AIPD) est obligatoire pour l'utilisation de l'IA générative dans des processus RH, médicaux ou judiciaires. Concrètement, avant de généraliser l'usage de l'IA pour le tri de candidatures ou l'analyse de dossiers de personnel, une entreprise doit évaluer les risques pour les personnes concernées et documenter les mesures prises pour les limiter. Voir notre article sur les usages RH de l'IA générative pour des exemples d'usages compatibles avec ce cadre.
Ce qui change quand un modèle est entraîné sur des données personnelles
Quand une donnée personnelle sert à entraîner un modèle d'IA et qu'elle est potentiellement mémorisée par celui-ci, les personnes concernées doivent en être informées. La CNIL admet que les modalités d'information puissent être adaptées selon les risques et les contraintes opérationnelles : dans certains cas, notamment quand les modèles sont construits à partir de sources tierces et que le fournisseur ne peut pas contacter individuellement chaque personne, une information générale, par exemple sur le site de l'organisation, peut suffire.
Ce point concerne surtout les entreprises qui développeraient leurs propres modèles d'IA à partir de données clients. Pour la grande majorité des PME, qui utilisent des outils grand public sans entraîner de modèle, l'enjeu principal reste la maîtrise de ce qui est saisi dans l'outil, pas l'entraînement en tant que tel.
Une checklist simple à appliquer dès demain
- Vérifier les réglages de confidentialité de chaque outil d'IA utilisé dans l'entreprise
- Interdire par écrit la saisie de données personnelles sensibles dans un outil grand public
- Former les équipes aux règles de base avant, et non après, la généralisation de l'usage
- Documenter les usages autorisés dans une note interne simple, actualisée si les pratiques évoluent
- Prévoir une AIPD pour tout usage touchant aux processus RH ou à des données sensibles
Questions fréquentes
Un salarié qui utilise ChatGPT sans autorisation engage-t-il l'entreprise ?
Oui, potentiellement. L'employeur reste responsable du traitement des données même s'il n'a pas explicitement autorisé cet usage, ce qui renforce l'intérêt de poser des règles claires plutôt que de laisser les usages se développer sans cadre.
Peut-on utiliser l'IA générative pour analyser des données clients ?
Cela dépend de la nature des données et du paramétrage de l'outil utilisé. Des données anonymisées ou agrégées posent beaucoup moins de risque que des données nominatives brutes.
Le RGPD interdit-il l'usage de l'IA générative en entreprise ?
Non. Le RGPD encadre cet usage, il ne l'interdit pas. L'objectif est de savoir ce que l'on a le droit de saisir, pas de renoncer à l'outil par précaution excessive.
Vous voulez poser un cadre clair avant de généraliser l'usage de l'IA chez vous ?
C'est un point que l'on aborde systématiquement lors de l'audit, gratuit ou complet.
Réserver mon appel découverte gratuit