3 erreurs qui exposent vos clients quand vous utilisez ChatGPT

Quand l'IA devient un risque que vous n'avez pas vu venir

Imaginez la scène. Un collaborateur prépare une réponse commerciale urgente. Il copie les informations du dossier client dans ChatGPT pour gagner du temps, obtient une réponse rédigée en trente secondes, et envoie le tout sans y penser davantage. Efficace. Rapide. Et potentiellement catastrophique.

Ce scénario n'est pas hypothétique. Il se joue chaque jour dans des centaines d'entreprises françaises, de la PME artisanale au cabinet de conseil structuré, sans que personne ne mesure vraiment ce qui vient de se passer. Des données clients — noms, coordonnées, informations contractuelles, situations personnelles — viennent d'être transmises à un système d'intelligence artificielle tiers, hébergé hors de l'Union européenne, sans cadre contractuel, sans analyse d'impact, sans consentement.

Le problème n'est pas ChatGPT en lui-même. L'outil est puissant, légitime, et son usage professionnel est parfaitement justifiable. Le problème, c'est la façon dont il est utilisé. Ou plutôt : la façon dont il est utilisé sans précautions.

Selon le guide pratique de la CNIL sur l'IA générative, de nombreux professionnels ignorent encore que l'utilisation d'outils comme ChatGPT avec des données personnelles constitue un traitement au sens du RGPD — et engage donc leur responsabilité juridique. Trois erreurs concentrent l'essentiel des risques. Voici lesquelles.

---

Erreur n°1 : coller des données clients brutes dans vos prompts

C'est l'erreur la plus répandue. Et de loin la plus dangereuse.

Dans la logique de l'utilisateur pressé, ChatGPT est un outil de productivité. On lui soumet un problème, il répond. La tentation est donc naturelle : pour obtenir une réponse précise et personnalisée, on donne des informations précises et personnalisées. Nom du client, montant du contrat, situation familiale, problème de santé, historique bancaire. Tout ce qui permet à l'IA de "comprendre le contexte".

Sauf que ce contexte, vous venez de l'envoyer quelque part.

ChatGPT, dans sa version standard accessible au grand public, transmet les données saisies aux serveurs d'OpenAI, société américaine soumise au droit américain. Ces données peuvent, selon les paramètres activés, être utilisées pour entraîner les modèles futurs. Ce n'est pas une théorie conspirationniste : c'est ce que précisent les recommandations de la CNIL sur le RGPD et l'IA générative, qui identifie explicitement le copier-coller de données non anonymisées comme l'une des pratiques les plus problématiques dans les organisations.

Le danger prend plusieurs formes. D'abord, une fuite potentielle si les systèmes d'OpenAI sont compromis. Ensuite, une utilisation des données à des fins de réentraînement, qui peut conduire à ce que ces informations réapparaissent — transformées, mais identifiables — dans des réponses générées pour d'autres utilisateurs. Enfin, une violation pure et simple du RGPD : vos clients n'ont pas consenti à ce que leurs données soient transmises à une IA tierce, et vous n'avez probablement pas signé d'accord de traitement en sous-traitance avec OpenAI.

La solution n'est pas d'abandonner ChatGPT. C'est d'anonymiser systématiquement avant de saisir. Remplacer "Marie Dupont, résidant au 12 rue des Lilas à Lyon, en procédure de divorce" par "une cliente, résidant dans une ville française, en situation familiale complexe". L'IA n'a pas besoin du nom pour vous aider à rédiger. Elle a besoin du contexte, pas de l'identité.

Comme le souligne le blog d'Onyri Sanitize, cette étape d'anonymisation ou de pseudonymisation préalable constitue le socle minimal d'une utilisation responsable. Ce n'est pas une contrainte technique complexe. C'est une discipline professionnelle à adopter.

---

Erreur n°2 : utiliser ChatGPT sans configurer les paramètres de confidentialité

Il existe une différence fondamentale entre utiliser ChatGPT et utiliser ChatGPT correctement configuré. La plupart des professionnels ignorent cette distinction — et paient le prix de cette ignorance sans jamais s'en rendre compte.

Par défaut, la version grand public de ChatGPT active l'historique des conversations. Chaque échange est conservé, analysé, et peut contribuer à l'amélioration des modèles. OpenAI le précise dans ses conditions d'utilisation. Mais qui lit vraiment les conditions d'utilisation d'un outil qu'on utilise entre deux réunions ?

C'est pourtant là que tout se joue. Comme l'explique l'Usine Digitale dans son analyse des erreurs de confidentialité avec ChatGPT, l'absence de paramétrage adapté revient à laisser les fenêtres ouvertes dans un bureau contenant des dossiers sensibles. Tout est potentiellement accessible, même si personne ne regarde activement.

Ce que vous pouvez — et devez — faire

Plusieurs options concrètes existent pour réduire l'exposition.

La première, immédiate : désactiver l'utilisation des données pour l'entraînement des modèles dans les paramètres de votre compte ChatGPT. OpenAI propose cette option depuis 2023. Elle n'est pas activée par défaut, mais elle est accessible en quelques clics dans les réglages de confidentialité.

La deuxième option, plus robuste : opter pour ChatGPT Enterprise ou l'API d'OpenAI avec un accord de traitement des données (DPA — Data Processing Agreement) signé. Dans ce cadre contractuel, OpenAI s'engage à ne pas utiliser vos données pour entraîner ses modèles. C'est le niveau minimal attendu pour une utilisation professionnelle conforme au RGPD, selon les lignes directrices publiées par la CNIL.

La troisième piste concerne le choix même de l'outil. Des solutions alternatives hébergées en Europe, ou des modèles déployés sur vos propres infrastructures, peuvent offrir un niveau de maîtrise bien supérieur. Ce n'est pas toujours possible pour une petite structure. Mais pour les entreprises qui traitent régulièrement des données sensibles — professionnels de santé, avocats, experts-comptables, conseillers financiers — c'est une question qui mérite d'être posée sérieusement.

Le point central, que Le Monde Informatique résume avec clarté, est celui de la maîtrise. Utiliser un outil sans en comprendre les paramètres, c'est déléguer des décisions critiques à quelqu'un d'autre — en l'occurrence, à une entreprise américaine dont les intérêts ne sont pas nécessairement alignés avec vos obligations réglementaires.

Un compte ChatGPT non configuré, partagé entre plusieurs collaborateurs, sans politique d'usage interne définie, c'est une porte entrouverte sur les données de tous vos clients. La fermer ne prend pas longtemps. Ne pas le faire peut coûter très cher.

---

Erreur n°3 : ne pas documenter ni encadrer l'usage de l'IA dans vos processus

Il y a une erreur que peu de professionnels identifient spontanément comme un risque. Pas d'action spectaculaire, pas de fuite visible, pas d'incident apparent. Juste une absence. L'absence de documentation.

Pourtant, c'est peut-être la faille la plus structurelle des trois.

Le RGPD impose aux entreprises d'être en mesure de démontrer leur conformité — c'est le principe d'accountability. Concrètement, cela signifie que si un client vous demande ce que vous faites de ses données, ou si la CNIL ouvre une enquête à votre sujet, vous devez pouvoir répondre précisément : quelles données sont traitées, par quels outils, avec quels sous-traitants, sur quelle base légale, avec quelles mesures de sécurité.

Si ChatGPT fait partie de vos processus — même de façon ponctuelle, même "juste pour rédiger des emails" — il doit apparaître dans votre registre des activités de traitement. C'est une obligation légale, pas une recommandation.

Or, comme l'indique la CNIL dans son guide sur l'IA générative et les données personnelles, la majorité des organisations qui utilisent des outils d'IA générative ne les ont pas intégrés à leur documentation RGPD. Soit parce qu'elles ignorent que c'est nécessaire, soit parce qu'elles considèrent l'usage comme trop mineur pour mériter attention. Dans les deux cas, le résultat est identique : une non-conformité caractérisée.

Le registre des traitements, premier réflexe à adopter

Ce document — que toute organisation traitant des données personnelles doit tenir — doit désormais inclure les usages de l'IA. Quel outil utilisé, pour quelle finalité, avec quelles catégories de données, chez quel sous-traitant, avec quelles garanties contractuelles.

Ce n'est pas une formalité bureaucratique creuse. C'est la preuve que vous avez réfléchi à ce que vous faites avant de le faire.

L'autre volet de la documentation concerne la formation et la sensibilisation des équipes. Un collaborateur qui utilise ChatGPT pour traiter des données clients sans avoir été informé des risques n'est pas fautif. L'organisation qui ne l'a pas formé, si.

Le blog d'Onyri Sanitize recommande de formaliser une politique d'usage interne de l'IA, aussi simple soit-elle : quels outils sont autorisés, dans quelles conditions, avec quelles données, et selon quelles procédures d'anonymisation préalable. Ce document n'a pas besoin de faire vingt pages. Il a besoin d'exister, d'être partagé, et d'être appliqué.

Il y a aussi un enjeu de confiance client que les entreprises sous-estiment souvent. De plus en plus de donneurs d'ordre intègrent dans leurs appels d'offres ou leurs audits fournisseurs des questions relatives à l'usage de l'IA et à la gestion des données associées. Ne pas être en mesure de répondre à ces questions devient, progressivement, un handicap commercial autant qu'un risque juridique.

L'absence de documentation, c'est un peu comme conduire sans assurance. Tant qu'il ne se passe rien, personne ne le sait. Dès qu'il se passe quelque chose, les conséquences sont disproportionnées par rapport à l'effort qu'il aurait fallu pour être en règle.

---

Ce que ces trois erreurs ont en commun — et comment les corriger

Revenons un instant sur ce qui relie ces trois erreurs.

Elles ne sont pas le fruit de mauvaises intentions. Elles sont le fruit d'une adoption rapide, enthousiaste, d'un outil perçu comme neutre. ChatGPT ressemble à un moteur de recherche sophistiqué. On l'interroge, il répond. On n'a pas l'impression de "traiter des données". Et pourtant, c'est exactement ce qui se passe.

La première erreur — copier des données brutes — touche à l'usage quotidien. La deuxième — négliger les paramètres de confidentialité — relève de la configuration technique. La troisième — absence de documentation — engage la gouvernance organisationnelle. Ensemble, elles dessinent une organisation qui utilise l'IA comme elle utiliserait un stylo : sans se demander si le stylo enregistre ce qu'elle écrit.

Les correctifs sont à la portée de toutes les structures, y compris les plus petites. Anonymiser avant de saisir. Configurer les paramètres de confidentialité. Signer un accord de traitement avec OpenAI si vous utilisez la version professionnelle. Mettre à jour votre registre des traitements. Former vos équipes. Rédiger une politique d'usage interne.

Aucune de ces actions n'est techniquement complexe. Toutes requièrent une prise de décision délibérée — c'est-à-dire, précisément, ce qui distingue une utilisation professionnelle d'une utilisation imprudente.

Le sujet de la protection des données n'est pas une contrainte imposée de l'extérieur par des régulateurs abstraits. C'est une question de respect envers les personnes qui vous font confiance. Vos clients vous confient leurs informations parce qu'ils pensent que vous en prendrez soin. Cette attente est légitime. La décevoir — même par négligence, même sans intention malveillante — reste une trahison de cette confiance.

ChatGPT peut être un atout réel pour votre productivité. Il peut vous aider à rédiger, analyser, synthétiser, structurer. Mais cet atout ne vaut que si vous le maniez avec la rigueur qu'il requiert. Les outils changent. L'exigence de responsabilité, elle, ne change pas.