En 2025, la quasi-totalité des PME utilisent au moins un outil IA dans leur quotidien — souvent sans politique claire sur les données. C'est compréhensible : les outils sont simples, les gains sont immédiats, et la CNIL n'a pas encore frappé à votre porte. Mais le cadre légal existe, et il est temps de s'y conformer simplement.
Le vrai problème : vos données sortent souvent de France
Quand un collaborateur colle un contrat client dans ChatGPT pour en extraire les points clés, que se passe-t-il avec ces données ? Elles partent vers les serveurs d'OpenAI, aux États-Unis. Si votre plan ChatGPT ne précise pas le contraire — ce qui est souvent le cas pour les plans grand public — ces données peuvent être utilisées pour améliorer les modèles.
Ce n'est pas anodin si :
- Vous traitez des données personnelles de clients (noms, emails, téléphones…)
- Vous envoyez des informations financières ou commerciales confidentielles
- Vous êtes dans un secteur réglementé (santé, finance, juridique…)
- Vos contrats clients incluent des clauses de confidentialité
Rappel légal : Le RGPD s'applique dès que vous traitez des données personnelles de résidents européens. L'utilisation d'un outil IA est un traitement de données comme un autre — ce n'est pas optionnel.
Les 5 questions à se poser pour chaque outil IA
1. Où sont hébergées les données ?
Union européenne ? États-Unis ? La plupart des grands acteurs (OpenAI, Google, Microsoft) proposent des options d'hébergement européen sur leurs offres enterprise. Un hébergement UE avec des garanties contractuelles (clauses contractuelles types) est la situation idéale.
2. Vos données servent-elles à entraîner le modèle ?
Sur les plans gratuits ou grand public, la réponse est souvent oui par défaut (bien que vous puissiez vous désinscrire). Sur les plans enterprise ou API, la réponse est généralement non. Vérifiez les conditions générales et activez les bons paramètres.
3. Avez-vous un DPA (Data Processing Agreement) ?
Tout sous-traitant qui traite vos données doit signer un DPA avec vous. ChatGPT Teams et Enterprise, Microsoft 365, Google Workspace Business — tous proposent ce document. Sans DPA signé, vous n'êtes pas en règle vis-à-vis du RGPD.
4. Vos collaborateurs sont-ils informés ?
Le RGPD impose d'informer vos salariés de l'utilisation des données dans le cadre de leur travail. Une note interne sur les usages autorisés de l'IA, les données que l'on ne met jamais dans un outil IA, et les outils validés par l'entreprise — c'est la base minimale.
5. Avez-vous une politique IA écrite ?
Une "Charte IA" d'une page suffit pour commencer. Elle définit : quels outils sont autorisés, quelles données ne doivent jamais y entrer, qui valide les nouveaux outils, et comment signaler un incident. Ce document vous protège aussi en cas d'audit.
Le tableau des grands acteurs et leur conformité
| Outil | Hébergement EU | DPA disponible | Données pour entraînement |
|---|---|---|---|
| ChatGPT (plan gratuit) | Non ✗ | Non ✗ | Oui par défaut ✗ |
| ChatGPT Teams / Enterprise | Partiel ≈ | Oui ✓ | Non ✓ |
| Copilot M365 (Business) | Oui ✓ | Oui (MPA) ✓ | Non ✓ |
| Gemini Workspace (Business) | Oui ✓ | Oui ✓ | Non ✓ |
| Mistral (API / Le Chat Entreprise) | France ✓ | Oui ✓ | Non ✓ |
La solution pragmatique pour une PME
Pas besoin de tout bloquer pour être conforme. Une approche en 3 niveaux fonctionne bien :
Approche 3 niveaux : (1) Données internes non sensibles → outils grand public OK avec précautions. (2) Données clients / contrats → uniquement outils avec DPA signé. (3) Données sensibles ou secteur réglementé → solutions souveraines (Mistral, hébergement privé) ou exclusion totale.
Ce que la CNIL recommande concrètement
La CNIL a publié des recommandations sur l'IA générative. Les points clés pour les PME :
- Pas de données personnelles identifiantes dans des outils sans DPA signé
- Former les collaborateurs avant de déployer un outil IA en production
- Documenter les traitements IA dans votre Registre des Activités de Traitement (RAT)
- Préférer les API (avec contrats) aux interfaces grand public pour les usages professionnels
À retenir en 30 secondes
- Les plans gratuits d'IA ne conviennent pas aux données professionnelles sensibles
- Copilot M365 et Gemini Workspace Business sont conformes RGPD nativement
- Mistral offre l'hébergement souverain français pour les secteurs très réglementés
- Un DPA (accord de sous-traitance) est obligatoire pour tout outil traitant vos données clients
- Une Charte IA d'une page suffit pour commencer — pas besoin d'attendre la perfection