Sommaire · 5 sections
C'est la première question que pose un dirigeant de PME quand on lui parle d'IA. Pas « combien ça coûte », pas « est-ce que ça marche », mais « est-ce que mes données vont se retrouver dans la nature ? ». La crainte est légitime, et la réponse mérite mieux qu'un « ne vous inquiétez pas » rassurant. Elle dépend de l'outil que vous utilisez, de la version que vous avez choisie et de ce que vous y collez. Voici de quoi distinguer la peur fantasmée de la vraie vigilance.
Note : cet article n'est pas un conseil juridique. Pour des données sensibles (santé, données personnelles à grande échelle, secret industriel), faites valider vos choix par votre DPO ou un avocat spécialisé. L'objectif ici est de vous donner les bons réflexes et le bon vocabulaire pour poser les bonnes questions.
Où vont concrètement mes données quand j'utilise une IA ?
Commençons par le mécanisme, parce que beaucoup de craintes viennent d'un flou sur ce qui se passe vraiment. Quand vous tapez une question dans ChatGPT, Claude ou Gemini, votre texte (le prompt) quitte votre ordinateur et part sur les serveurs du fournisseur. Le modèle traite la demande là-bas, puis renvoie une réponse. Vos données ne « disparaissent » pas dans un nuage anonyme : elles transitent par une entreprise identifiée, qui devient de fait un sous-traitant au sens du RGPD dès que des données personnelles sont concernées.
Une fois arrivées chez le fournisseur, deux choses peuvent se produire. Première possibilité : vos données sont conservées un temps puis supprimées, et ne servent qu'à vous répondre. Deuxième possibilité : elles sont aussi utilisées pour améliorer le modèle, c'est-à-dire pour l'entraîner. C'est ce second cas qui inquiète, à juste titre. Si une donnée sert à l'entraînement, elle influence le comportement futur du modèle, et on ne peut pas garantir qu'aucune trace n'en ressortira jamais.
La bonne nouvelle, c'est que ce comportement n'est pas une fatalité. Il dépend entièrement de l'offre que vous avez souscrite. La mauvaise nouvelle, c'est que la majorité des gens utilisent la version par défaut, gratuite, sans avoir lu ce qu'elle implique. C'est exactement le terrain du shadow AI, ces usages non encadrés qui circulent déjà dans la plupart des PME.
Grand public ou offre pro, quelle différence pour mes données ?
La distinction la plus importante à comprendre, c'est celle entre une offre grand public et une offre professionnelle, entreprise ou API. Elle change tout du point de vue de la confidentialité.
Les versions grand public, souvent gratuites, sont conçues pour le particulier qui demande une recette ou un résumé d'article. Historiquement, plusieurs fournisseurs réutilisaient par défaut les conversations de ces versions pour entraîner leurs modèles, avec parfois une option de désactivation enfouie dans les réglages. Les pratiques évoluent et se durcissent, mais la règle de prudence reste : sur une version grand public, considérez que ce que vous tapez peut servir à autre chose qu'à vous répondre.
Les versions professionnelles (Team, Enterprise) et l'accès par API reposent sur une logique inverse. Le fournisseur s'engage contractuellement à ne pas utiliser vos données pour l'entraînement. Ce n'est pas une promesse marketing, c'est une clause dans les conditions, opposable juridiquement. Les grands acteurs proposent par ailleurs un contrat de sous-traitance (DPA, Data Processing Agreement) qui encadre le traitement des données personnelles conformément au RGPD.
| Critère | Version grand public (gratuite) | Offre pro / Entreprise / API |
|---|---|---|
| Données utilisées pour l'entraînement | Possible par défaut, parfois désactivable | Non, engagement contractuel |
| Contrat de sous-traitance (DPA) | Rarement disponible | Disponible et signable |
| Rétention des données | Variable, peu transparente | Définie et paramétrable |
| Engagement de confidentialité | Limité | Contractuel et opposable |
| Adapté à des données pro / clients | Non | Oui, sous conditions |
La conséquence pratique est claire. Pour un usage professionnel impliquant des données clients, des documents internes ou des informations stratégiques, une version grand public n'est pas le bon outil. L'écart de prix avec une offre pro est généralement modeste au regard du risque évité. Pour arbitrer entre un abonnement d'équipe et un accès API selon votre volume d'usage, notre comparatif abonnement IA d'équipe vs API détaille les coûts et les garanties associés.
Mes données quittent-elles l'Union européenne ?
C'est l'autre grande question, et elle est souvent mal posée. Beaucoup de dirigeants pensent qu'une donnée traitée hors UE est forcément non conforme. C'est plus subtil que ça.
La plupart des grands fournisseurs d'IA sont américains et hébergent une partie de leur infrastructure aux États-Unis. Dès qu'une donnée personnelle est traitée hors de l'Union européenne, on parle de transfert hors UE, qui doit reposer sur un cadre juridique précis : décision d'adéquation, clauses contractuelles types ou autre mécanisme prévu par le RGPD. Plusieurs fournisseurs proposent désormais un hébergement et un traitement localisés en Europe pour leurs offres entreprise, ce qui simplifie nettement la conformité.
Ce qu'il faut retenir : un transfert hors UE n'est pas interdit, mais il doit être encadré et documenté. Si vous traitez des données personnelles, vérifiez où le fournisseur héberge et traite vos données, et sur quelle base juridique repose un éventuel transfert. Pour les données les plus sensibles, exigez un traitement en Europe ou une solution hébergée sur votre propre infrastructure. Le sujet est traité en profondeur dans notre guide sur le RGPD appliqué à l'IA générative, qui reprend les positions récentes de la CNIL.
Votre PME est-elle prête pour la conformité IA ?
30 min en visio, on identifie vos angles morts conformité et on chiffre la mise en route. Gratuit.
Que vérifier avant de choisir un outil d'IA ?
Avant de déployer un outil dans votre entreprise, quatre vérifications suffisent à écarter l'essentiel du risque. Aucune ne demande de compétence technique pointue, seulement un peu de lecture.
La politique de rétention. Combien de temps le fournisseur conserve-t-il vos données, et pour quoi faire ? Une offre sérieuse documente clairement sa durée de conservation et propose souvent de la paramétrer, voire de désactiver toute conservation au-delà du temps de traitement. Si cette information est introuvable, c'est un signal.
Le contrat de sous-traitance (DPA). Dès que des données personnelles sont en jeu, vous avez besoin d'un DPA signé avec le fournisseur. Ce document est la pièce qui formalise ses obligations en tant que sous-traitant. Les grands acteurs le mettent à disposition en quelques clics pour leurs offres pro. Pas de DPA, pas de traitement de données personnelles serein.
La localisation des serveurs. Où vos données sont-elles hébergées et traitées ? Cherchez une mention explicite, idéalement la possibilité d'un traitement en Europe pour les usages sensibles. À défaut, vérifiez le cadre du transfert hors UE.
Les certifications. Des certifications comme ISO 27001 ou SOC 2 ne garantissent pas tout, mais elles attestent que le fournisseur a mis en place une démarche structurée de sécurité de l'information. Leur absence pour un outil que vous comptez utiliser sérieusement doit interroger.
Pour les secteurs très réglementés, ces vérifications se durcissent encore. Un cabinet médical, par exemple, devra s'assurer d'un hébergement certifié, comme nous le détaillons pour les données de santé et l'hébergement HDS.
Quels réflexes adopter au quotidien ?
Le meilleur outil du monde ne vous protège pas d'une mauvaise habitude. La sécurité tient autant à ce que vous envoyez qu'à qui vous l'envoyez.
Premier réflexe : n'envoyez jamais plus que nécessaire. Avant de coller un document dans une IA, demandez-vous si tous les éléments sont indispensables à votre demande. Un contrat dont vous voulez résumer une clause n'a pas besoin de contenir les noms, adresses et coordonnées bancaires des parties. Retirer ce qui ne sert pas réduit mécaniquement le risque.
Deuxième réflexe : pseudonymisez quand c'est possible. Remplacez les noms, identifiants et données sensibles par des marqueurs génériques avant d'envoyer un texte. L'IA travaille tout aussi bien sur « le client A » que sur le vrai nom, et vos données nominatives ne quittent jamais votre poste. C'est l'un des gestes les plus simples et les plus efficaces.
Troisième réflexe : utilisez les outils validés par l'entreprise. Tout l'enjeu d'une politique d'IA est de fournir à vos équipes des comptes professionnels conformes, pour qu'elles n'aient pas besoin de basculer sur une version personnelle gratuite. La manière même de formuler les requêtes compte aussi : nos 12 règles pour sécuriser vos prompts en entreprise prolongent directement cette logique côté usage.
La bonne nouvelle, c'est que ces réflexes deviennent vite automatiques. Une équipe formée et équipée d'outils validés utilise l'IA tous les jours sans exposer l'entreprise. La vigilance n'est pas une paranoïa qui paralyse, c'est une hygiène qui libère.
Questions fréquentes
Si j'utilise ChatGPT gratuit, OpenAI peut-il lire mes conversations ?
Sur une version grand public, vos conversations transitent par les serveurs du fournisseur et peuvent être conservées, voire utilisées pour améliorer le modèle selon les réglages. Ce n'est pas un humain qui lit en continu vos échanges, mais vos données sortent de votre périmètre. Pour un usage professionnel, passez sur une offre pro qui s'engage à ne pas réutiliser vos données.
Une offre payante garantit-elle vraiment que mes données ne servent pas à l'entraînement ?
Oui, lorsque cet engagement figure dans les conditions contractuelles, ce qui est le cas des offres Team, Enterprise et API des grands fournisseurs. C'est une clause opposable, pas une simple promesse. Vérifiez-la noir sur blanc avant de souscrire, et conservez le contrat.
Faut-il forcément un outil hébergé en Europe ?
Pas systématiquement. Un transfert hors UE est possible s'il est encadré par un mécanisme prévu au RGPD. Pour des données peu sensibles, une offre pro internationale avec DPA convient souvent. Pour des données personnelles à grande échelle ou sensibles, privilégiez un traitement en Europe, et faites valider le montage par votre DPO.
La pseudonymisation suffit-elle à être conforme RGPD ?
Elle réduit fortement le risque mais ne dispense pas du cadre. Une donnée pseudonymisée reste une donnée personnelle au sens du RGPD si la ré-identification est possible. C'est un excellent réflexe complémentaire, pas un substitut au DPA, à la base légale et aux autres obligations.
Comment savoir si l'outil de mon prestataire est sûr ?
Demandez-lui les mêmes éléments que pour un outil direct : politique de rétention, DPA, localisation des données, certifications. Un prestataire sérieux répond sans difficulté. S'il élude ou ne sait pas, c'est qu'il n'a probablement pas traité la question, et que le risque retombe sur vous.
La question n'est pas de savoir si l'IA est dangereuse pour vos données, mais quel outil vous choisissez et comment vous l'utilisez. Une version grand public collée de documents clients, c'est un vrai risque. Une offre pro avec DPA, des données pseudonymisées et une équipe formée, c'est un usage maîtrisé et parfaitement défendable. Chez VantaCrew, nous aidons les PME à choisir des outils conformes, à poser les bons réflexes et à déployer l'IA sans exposer l'entreprise. Pour faire le point sur ce qui circule déjà dans vos équipes, commencez par notre analyse du shadow AI en PME.
Antoine Pecheux
Cofondateur · Ops and ProductCofondateur et Chef des Opérations de VantaCrew. Pilote l'Active Pool de builders IA seniors : sourcing, qualification, matching projet × profil.
Vous aimerez aussi
Sélectionné pour vous parmi nos publications similaires.