.svg)
.svg)
.svg)
.svg)
Posons le décor. Il est 9h du matin. Votre responsable commercial copie-colle une liste de prospects dans ChatGPT pour générer des emails personnalisés. Votre comptable demande à Copilot de résumer un échange contenant des coordonnées bancaires. Votre RH utilise Gemini ou Claude pour pré-trier des CV.
Chacun de ces gestes, fait avec les meilleures intentions du monde, peut constituer une violation du RGPD. Pas parce que l'IA est interdite, mais parce que personne n'a défini les règles du jeu dans l'entreprise. C'est d'ailleurs l'un des risques majeurs du shadow AI que nous avons déjà analysé. Et la logique de conformité que nous détaillons ici pour ChatGPT et Copilot s'applique à tous les outils d'IA générative (Gemini, Claude, Mistral, etc.).
L'objectif de ce guide n'est pas de vous transformer en juriste. C'est de vous donner les réflexes opérationnels pour que vos équipes puissent utiliser l'IA sans mettre l'entreprise en danger.
Le RGPD s'applique à toute utilisation d'IA traitant des données personnelles en entreprise. Les versions gratuites de ChatGPT envoient les données sur des serveurs américains et peuvent les utiliser pour l'entraînement. Pour être conforme, une entreprise doit cadrer les usages, choisir des versions professionnelles et former ses équipes.
Le RGPD n'interdit pas l'IA. La CNIL le rappelle explicitement. Ce qui pose problème, c'est l'utilisation non encadrée d'outils qui traitent des données personnelles.
Quand un collaborateur saisit des informations dans la version gratuite de ChatGPT, ces données transitent par les serveurs d'OpenAI, hébergés aux États-Unis. Par défaut, elles peuvent être utilisées pour entraîner les futurs modèles. Concrètement, les noms de vos clients, leurs coordonnées ou des informations contractuelles peuvent se retrouver dans les données d'apprentissage d'une IA utilisée par des millions de personnes.
Il est possible de désactiver cette option manuellement (paramètres > gestion des données), mais cela reste insuffisant pour un usage professionnel. La CNIL a d'ailleurs publié un guide détaillé expliquant comment s'opposer à la réutilisation des données sur chaque plateforme. Et dans ses recommandations de février 2025, elle confirme que le RGPD n'interdit pas l'innovation IA, mais impose un cadre proportionné pour protéger les personnes.
Microsoft 365 Copilot fonctionne différemment. Les données restent dans votre environnement Microsoft et ne sont pas envoyées à OpenAI. C'est un avantage majeur. Mais Copilot accède à tout ce que vos collaborateurs ont le droit de voir : emails, fichiers SharePoint, conversations Teams, documents OneDrive.
Le risque n'est pas la fuite vers l'extérieur. C'est l'exposition interne de données qui n'étaient pas censées être accessibles à tout le monde. Si vos droits d'accès ne sont pas correctement configurés, Copilot peut faire remonter des informations confidentielles à des personnes non autorisées.
Inutile d'attendre un audit de la CNIL pour agir. Ces cinq actions sont réalisables rapidement et couvrent l'essentiel des risques.
Pour un usage professionnel, les versions gratuites de ChatGPT sont à proscrire. Les versions Business et Enterprise incluent un contrat de sous-traitance (DPA) conforme au RGPD, garantissent que les données ne sont pas utilisées pour l'entraînement, et depuis février 2025, OpenAI propose un hébergement européen pour les clients professionnels. Même logique pour Copilot : la version intégrée à Microsoft 365 Business offre un cadre juridique bien plus solide que l'utilisation de Copilot en accès libre.
C'est le document de référence qui définit ce que vos équipes peuvent et ne peuvent pas faire avec l'IA. Elle doit préciser les outils autorisés, les types de données qu'il est interdit de saisir (données clients, informations RH, données financières sensibles) et les procédures en cas de doute. Si vous n'avez pas encore formalisé ce document, notre guide pour créer une charte d'utilisation de l'IA vous donne un cadre prêt à adapter.
Une charte qui dort dans un tiroir ne protège personne. La CNIL insiste sur la sensibilisation des collaborateurs comme condition de conformité. Chaque utilisateur d'IA dans l'entreprise doit comprendre pourquoi il ne faut pas coller de données personnelles dans un prompt, et connaître les alternatives pour travailler efficacement sans prendre de risques.
Avant de déployer Copilot à l'échelle de l'entreprise, auditez vos droits d'accès Microsoft 365. Si un commercial peut techniquement accéder aux dossiers RH parce que les permissions n'ont jamais été nettoyées, Copilot lui remontera ces fichiers. Le déploiement de l'IA est souvent le moment qui révèle les failles préexistantes de votre gouvernance des données.
Si votre entreprise utilise l'IA pour traiter des données personnelles (même via un simple prompt ChatGPT contenant un nom de client), ce traitement doit figurer dans votre registre RGPD. Précisez la finalité, la base légale, les catégories de données concernées et les mesures de sécurité mises en place. Pour les usages à grande échelle, une analyse d'impact (AIPD) peut être requise.
Les cinq réflexes de conformité RGPD pour l'IA en entreprise sont le choix de versions professionnelles des outils, la rédaction d'une charte d'usage, la formation des collaborateurs, l'audit des droits d'accès et la mise à jour du registre des traitements. La CNIL peut sanctionner jusqu'à 20 millions d'euros.
Le RGPD n'est plus le seul texte à connaître. Le règlement européen sur l'IA (IA Act), adopté en 2024, s'appliquera pleinement à partir d'août 2026.
Le RGPD protège les données personnelles. L'IA Act encadre les systèmes d'IA en fonction de leur niveau de risque. Les deux s'appliquent simultanément. Si vous utilisez l'IA pour du recrutement, du scoring client ou de l'analyse financière, vous êtes potentiellement concerné par les obligations renforcées de l'IA Act sur les systèmes "à haut risque", un point que nous détaillons dans notre article sur l'IA Act et ses implications pour les entreprises.
La bonne nouvelle, c'est qu'une entreprise déjà conforme au RGPD a fait une grande partie du chemin. Les principes sont les mêmes : transparence, documentation, minimisation des données, supervision humaine. Il ne s'agit pas de tout reconstruire, mais d'étendre votre gouvernance existante aux usages IA.
En mettant en place ces réflexes maintenant, vous ne faites pas que respecter la loi. Vous construisez un avantage concurrentiel. Vos clients et partenaires accorderont leur confiance aux entreprises capables de démontrer un usage responsable et maîtrisé de l'IA.
Vous souhaitez former vos équipes aux bonnes pratiques d'utilisation de l'IA, y compris la conformité RGPD ?
Notre cadrage de projet IA permet d'identifier vos risques et de définir un plan de sensibilisation adapté à votre organisation.
Expliquez-nous vos objectifs, nous vous guiderons vers la formation IA la plus adaptée.
.svg)
Formations IA concrètes et accompagnement sur mesure pour les entreprises françaises.
.svg){kind=small}
.svg)
.svg){kind=small}
.svg){kind=small}
.svg){kind=small}