.svg)
.svg)
.svg)
.svg)
Quatre outils dominent aujourd'hui les usages IA en entreprise : ChatGPT (OpenAI), Claude (Anthropic), Microsoft 365 Copilot et Google Gemini. Tous proposent des offres grand public et des offres professionnelles avec des règles de confidentialité radicalement différentes. La nuance échappe encore à beaucoup de dirigeants, qui découvrent que leurs équipes saisissent dans un compte ChatGPT personnel des données qui auraient dû rester internes. Cet article rassemble les paramètres concrets à activer pour chaque outil, et les réflexes à imposer pour que la sécurité ne dépende pas de la mémoire de chaque utilisateur.
ChatGPT, Claude, Copilot et Gemini ne traitent pas les données de la même manière selon le plan. Les versions Team, Enterprise ou Workspace n'entraînent pas leurs modèles sur vos conversations. Les versions grand public le font par défaut, sauf désactivation manuelle dans les paramètres de chaque outil.
L'usage IA s'est diffusé sans que les directions IT aient toujours validé les outils. Sur le terrain, la majorité des collaborateurs utilise un compte personnel ChatGPT, Claude ou Gemini pour des tâches professionnelles, dès qu'un service trouve un cas d'usage utile sans attendre que la DSI tranche.
Quand un commercial colle dans ChatGPT Free le brief d'un appel d'offres confidentiel pour le reformuler, le contenu est techniquement utilisé pour l'entraînement du modèle, sauf si l'option a été désactivée dans les paramètres. Même logique pour Claude Pro et Gemini grand public. Personne dans l'entreprise ne peut mesurer ce qui est sorti, ni le récupérer. Le risque s'ajoute aux menaces cyber classiques (hameçonnage assisté par IA, fraudes vocales générées), qui se renforcent quand les acteurs malveillants exploitent les fuites de données conversationnelles.
Le Shadow AI désigne les usages IA qui échappent à la gouvernance officielle. Il révèle l'appétence des équipes pour les outils, ce n'est pas un problème en soi. Le vrai risque est qu'il se développe dans des comptes grand public, avec des paramètres mal configurés et sans aucun contrôle d'accès aux données partagées. La réponse n'est pas l'interdiction (qui pousse les usages dans l'ombre) mais la mise à disposition de comptes professionnels avec les bons réglages.
OpenAI distingue deux grandes catégories. Les comptes grand public (Free, Plus, Pro) entraînent leurs modèles sur les conversations par défaut. Les comptes professionnels (Team, Enterprise, Edu) ne le font pas.
Pour un compte personnel, allez dans Paramètres puis Contrôles des données. Décochez l'option "Améliorer le modèle pour tout le monde" qui autorise OpenAI à utiliser vos conversations pour l'entraînement. Pour les conversations sensibles ponctuelles, utilisez le chat éphémère : aucune trace dans l'historique, pas d'utilisation pour l'entraînement. La CNIL fournit un guide officiel pour s'opposer à la réutilisation des données par les agents conversationnels.
Ce niveau de réglage convient pour un usage personnel, pas pour un usage professionnel. Aucune garantie contractuelle de confidentialité, et l'employeur n'a aucun moyen d'auditer.
Sur ces plans, aucune conversation n'est utilisée pour l'entraînement. Conformité SOC 2 annoncée, chiffrement présent, et l'administrateur dispose d'une console pour gérer les accès, les espaces partagés (Projects), les connecteurs et les journaux d'audit. C'est la base à exiger pour tout usage professionnel régulier.
L'erreur fréquente : déployer ChatGPT Team sans désigner d'administrateur clair, ce qui entraîne une multiplication des Projects partagés sans gouvernance. Une politique d'accès documentée dès le départ évite cette dérive.
Anthropic distingue deux régimes contractuels. Les Consumer Terms couvrent Claude Free et Claude Pro. Les Commercial Terms couvrent Claude for Work (Team, Enterprise) et l'API. La règle d'entraînement diffère selon le régime.
Sur les plans grand public, Anthropic a annoncé un changement de politique en 2025 : les conversations sont utilisées par défaut pour l'entraînement des modèles, sauf désactivation manuelle dans Paramètres puis Confidentialité. Ce niveau de réglage convient à un usage personnel mais ne suffit pas pour un usage professionnel structuré.
Les plans Claude for Work (Team et Enterprise) opèrent sous Commercial Terms. Anthropic ne s'entraîne pas sur ces conversations, par contrat. Pour les organisations à exigence forte (juridique, santé, défense), Anthropic propose l'option Zero Data Retention (ZDR) : aucun contenu de conversation n'est conservé après traitement, seuls les logs techniques de détection d'abus sont brièvement traités.
Sur Claude Enterprise, l'administrateur dispose d'une intégration à l'authentification unique et de fonctions d'audit. C'est l'équivalent fonctionnel de ChatGPT Enterprise côté gouvernance.
Copilot est probablement l'IA la plus déployée en entreprise française, parce qu'elle s'intègre nativement dans Word, Excel, Outlook et Teams. Sa configuration est aussi la plus complexe : tout dépend des licences M365, des politiques admin et du tenant. La conformité réglementaire se joue ici sur les bons paramétrages côté DSI.
Microsoft propose deux usages distincts souvent confondus. Copilot Chat (gratuit ou licence simple) répond en s'appuyant sur le web. Copilot M365 (licence payante, environ 30 dollars par utilisateur et par mois) accède aux données du tenant Microsoft 365 (mails, documents, Teams, SharePoint). La frontière est cruciale : les requêtes Copilot M365 ne sortent pas du tenant et ne sont pas utilisées pour l'entraînement des modèles fondation.
Plusieurs leviers doivent être activés. Les étiquettes de confidentialité (sensitivity labels) marquent les documents sensibles, et Copilot respecte ces étiquettes. Les politiques DLP (prévention des fuites) bloquent l'envoi d'informations vers des destinataires externes. Le journal d'audit trace les requêtes Copilot par utilisateur. Sans ces réglages, Copilot M365 reste utilisable mais l'organisation perd toute visibilité opérationnelle.
Comme OpenAI et Anthropic, Google distingue deux univers. Les Gemini Apps côté grand public (gratuit, AI Pro, AI Ultra), et Gemini for Workspace côté professionnel (intégré dans Google Workspace Business et Enterprise).
Pour un compte Gemini grand public, l'activité est conservée dans l'historique et utilisée par défaut pour améliorer les services Google, ce qui inclut l'entraînement des modèles avec relecture humaine possible. Pour désactiver : allez dans Activité dans les applications Gemini puis Désactiver. Vous pouvez aussi supprimer l'historique manuellement ou définir une suppression automatique tous les trois mois.
Sur Google Workspace, les contrats Business et Enterprise couvrent Gemini avec une garantie claire : les requêtes, fichiers et réponses ne sont pas utilisés pour entraîner les modèles Gemini, ni partagés avec d'autres clients. C'est le contrat Workspace standard qui s'applique. L'administrateur Workspace contrôle aussi la disponibilité de Gemini par unité organisationnelle, ce qui permet d'activer l'outil progressivement par service.
Activer les bons réglages ne suffit pas. La gouvernance IA opérationnelle se joue sur trois leviers complémentaires.
Une charte IA documente ce qui est autorisé, interdit ou conditionné, par type de donnée et par outil. Elle ne sert à rien sans formation pratique : les équipes doivent comprendre concrètement quelle donnée peut être saisie où, quel outil convient à quel cas d'usage, et quels sont les réflexes en cas de doute. La formation transforme une charte juridique en réflexe quotidien.
Trois niveaux suffisent pour cadrer 95 % des usages. Niveau 1 (donnée publique) : aucune restriction, tous les outils autorisés. Niveau 2 (donnée interne non confidentielle) : uniquement sur les comptes professionnels (Team, Enterprise, Workspace). Niveau 3 (donnée confidentielle ou personnelle) : uniquement sur les outils validés par la DSI, avec si possible Zero Data Retention ou contrat dédié. La conformité RGPD se travaille principalement sur ce niveau 3.
Sécuriser ChatGPT, Claude, Copilot et Gemini en entreprise repose sur trois leviers : choisir le bon plan (Team, Enterprise ou Workspace) plutôt qu'un compte personnel, activer les paramètres admin (audit, prévention des fuites, étiquettes de confidentialité), et former les équipes via une charte d'usage claire.
Sécuriser l'usage des outils IA en entreprise est un sujet d'hygiène opérationnelle, pas un projet IT à long terme. Trois points à retenir : choisir le bon plan pour chaque outil, activer les paramètres admin disponibles, et investir dans une charte vivante portée par la formation. Bloom accompagne les entreprises qui veulent industrialiser ces réflexes sans freiner les usages, en partant d'un call de cadrage qui identifie les vrais cas d'usage métiers avant de poser le cadre de gouvernance.
Expliquez-nous vos objectifs, nous vous guiderons vers la formation IA la plus adaptée.
.svg)
Formations IA concrètes et accompagnement sur mesure pour les entreprises françaises.
Déclaration d'activité enregistrée sous le numéro 11757544075 auprès du préfet de région d'Île-de-France. Cet enregistrement ne vaut pas agrément d'État.
.svg){kind=small}
.svg)
.svg){kind=small}
.svg){kind=small}
.svg){kind=small}