que deviennent les données que nous envoyons à chatgpt ?
Par | | Actualités IA, Cas d'espèce IA, Règlementation IA, Solution IA Collectivité, Solution IA Entreprise | 7 minutes de lecture

Que deviennent les données que nous envoyons à ChatGPT ?

Madame Dupont pensait gagner du temps.
En réalité, elle exposait juridiquement son entreprise.


Sans le savoir, dans de nombreuses entreprises et collectivités, les usages de l’intelligence artificielle se développent de manière individuelle et non encadrée.

Par manque d’information, des collaborateurs utilisent des outils comme ChatGPT dans leur coin, copiant-collant mails, documents ou données parfois sensibles pour gagner du temps et améliorer la qualité de leur travail.

Ces pratiques sont souvent efficaces… mais elles peuvent engager la responsabilité juridique de l’organisation, notamment en matière de confidentialité des données et de RGPD, dès lors que des informations sortent du périmètre de l’entreprise ou de la collectivité.

Dans cet article, je fais le point sur une question centrale et encore trop peu comprise : que deviennent réellement les données que nous envoyons aux intelligences artificielles ?

J’explique les risques réels, les mécanismes de protection existants, et surtout les solutions concrètes qui permettent de continuer à bénéficier de l’IA tout en sécurisant les données — pour les particuliers, les entreprises et les collectivités territoriales.

Introduction — Le cas concret

Madame Dupont, secrétaire de direction dans l’entreprise Tartampion, voulait bien faire.

Pour répondre plus rapidement et plus précisément aux mails entrants, elle utilise régulièrement ChatGPT.

Sa méthode est simple :

  • Elle copie-colle les messages reçus,
  • Elle ajoute parfois des éléments internes pour contextualiser,
  • Elle récupère une réponse structurée et qualitative.

Résultat :

  • Gain de temps considérable,
  • Réponses jugées plus professionnelles,
  • Satisfaction des interlocuteurs.

Mais pour améliorer ses réponses, elle a parfois copié-collé :

  • Des données confidentielles,
  • Des éléments contractuels,
  • Des informations commerciales,
  • Des noms, prénoms et adresses mail de clients.

Sans le savoir, elle a transféré ces données vers un service externe.

La question devient alors légitime :

Que deviennent réellement les données que nous envoyons à ChatGPT ?

1️⃣ Où vont nos données quand nous utilisons ChatGPT ?

 

Avant de parler de risques ou de protection, il faut comprendre le mécanisme de base. Lorsque nous utilisons un outil comme ChatGPT, nous avons souvent l’impression de dialoguer avec une interface neutre et abstraite. En réalité, chaque interaction déclenche un traitement technique précis : transmission vers des serveurs, traitement algorithmique, éventuel stockage temporaire. Comprendre ce circuit est essentiel pour mesurer ce qui relève du fantasme… et ce qui relève du réel enjeu juridique.

Lorsque vous saisissez un prompt dans ChatGPT, plusieurs éléments entrent en jeu :

  • Les données que vous tapez,
  • Les métadonnées techniques (adresse IP, navigateur),
  • Éventuellement les fichiers que vous téléversez.

Ces données transitent vers les serveurs d’OpenAI.

Selon le type d’abonnement utilisé (gratuit, Team, Enterprise), le traitement et la conservation diffèrent.

 

Cas standard (compte gratuit ou individuel)

Les données peuvent être :

  • Stockées temporairement,
  • Utilisées pour améliorer les modèles,
  • Conservées selon la politique de confidentialité en vigueur.

Cela signifie que les contenus envoyés ne sont pas juridiquement “publics”, mais ils ne sont pas non plus totalement cloisonnés par défaut.

 

2️⃣ Peut-on voir nos données réapparaître ailleurs ?

 

C’est probablement la crainte la plus répandue : “Est-ce que ce que j’ai envoyé pourrait ressortir un jour dans une autre conversation ?” La question est légitime, mais elle mérite d’être traitée avec nuance. Le fonctionnement des modèles d’IA n’est pas celui d’une base de données qui redistribuerait mécaniquement des documents. Le risque existe, mais il ne se situe pas toujours là où on l’imagine. Il faut distinguer le risque technique, le risque statistique et le risque juridique.

 

C’est une crainte fréquente.

Techniquement :

  • ChatGPT ne “mémorise” pas vos données comme un moteur de recherche.
  • Il ne restitue pas volontairement des documents identifiables d’un utilisateur à un autre.

Cependant :

  • Les modèles sont entraînés sur de grandes masses de données.
  • Des fragments ou structures peuvent être statistiquement intégrés.

Le risque de voir un document précis ressortir est extrêmement faible.
Mais le risque juridique ne porte pas uniquement sur la restitution.

Il porte sur :

  • La transmission non autorisée,
  • L’absence de cadre,
  • La non-conformité RGPD.

3️⃣ Comment OpenAI protège-t-il les données ?

 

Il est tentant de réduire la question à une opposition binaire : outil dangereux ou outil sécurisé. La réalité est plus complexe. Les éditeurs de modèles comme OpenAI ont mis en place des mécanismes de protection, des niveaux d’abonnement différenciés et des engagements contractuels spécifiques. Encore faut-il savoir ce que couvrent réellement ces protections — et ce qu’elles ne couvrent pas.

OpenAI indique :

  • Chiffrement des données en transit (HTTPS/TLS),
  • Sécurisation des infrastructures,
  • Possibilité de désactiver l’utilisation des données pour l’entraînement (selon abonnement),
  • Contrats spécifiques pour les offres professionnelles.

Les offres ChatGPT Team et ChatGPT Enterprise prévoient :

  • Non-utilisation des données pour l’entraînement,
  • Stockage isolé,
  • Engagements contractuels renforcés.

Mais cela dépend du modèle souscrit.

 

4️⃣ Peut-on protéger ses données ?

 

La bonne nouvelle, c’est que la protection n’est pas impossible. La mauvaise, c’est qu’elle n’est jamais automatique. Sécuriser l’usage d’une IA suppose des choix : choix techniques, choix contractuels, mais surtout choix organisationnels. La protection ne repose pas uniquement sur la technologie ; elle dépend du cadre que l’on met en place autour d’elle.

 

🧍‍♂️ Pour un particulier

 

Pour un usage individuel, le niveau d’exposition est différent, mais pas inexistant. Un particulier peut transmettre sans y penser des informations sensibles : données bancaires, documents juridiques, informations de santé. Les outils grand public ne sont pas conçus pour devenir des coffres-forts numériques. La prudence repose donc avant tout sur les comportements.

Recommandations simples :

  • Ne jamais transmettre de données sensibles.
  • Désactiver l’historique si possible.
  • Éviter les documents identifiants.
  • Anonymiser avant d’envoyer.

Règle simple :

Si vous ne publieriez pas l’information sur internet, ne la copiez pas dans un outil IA public.

🏢 Pour une entreprise

 

Dès lors que l’on agit au nom d’une organisation, la question change de nature. Il ne s’agit plus seulement d’un usage personnel, mais d’un traitement de données pouvant engager la responsabilité du dirigeant. L’entreprise doit penser en termes de gouvernance, de traçabilité et de conformité réglementaire. Ce qui était un simple “gain de temps” individuel devient un sujet stratégique.

Il faut :

  1. Définir une politique interne d’usage IA.
  2. Identifier les données sensibles.
  3. Former les collaborateurs.
  4. Choisir un abonnement adapté (Team ou Enterprise).
  5. Vérifier les clauses contractuelles.
  6. Encadrer via la DSI ou le RSSI.

Au regard du RGPD :

  • Toute donnée personnelle doit être traitée avec base légale,
  • La transmission à un sous-traitant doit être encadrée,
  • Les flux hors UE doivent être maîtrisés.

Le dirigeant reste responsable du cadre.

 

🏛 Pour une collectivité

 

Dans une collectivité territoriale, la sensibilité est encore plus forte. Les données manipulées peuvent concerner des administrés, des dossiers sociaux, des marchés publics ou des informations stratégiques. L’usage non encadré d’une IA ne pose pas seulement une question de conformité ; il peut devenir un sujet politique et institutionnel.

 

Les enjeux sont encore plus sensibles :

  • Données administratives,
  • Données sociales,
  • Données de santé,
  • Informations stratégiques.

Il est fortement recommandé :

  • D’éviter les outils grand public pour données sensibles,
  • D’exiger des solutions hébergées en Europe,
  • De consulter le DPO,
  • D’intégrer l’IA dans la gouvernance numérique.

 

5️⃣ Quel modèle choisir ?

 

Toutes les solutions ne présentent pas le même niveau d’exposition. Entre un outil gratuit grand public, une offre professionnelle contractuellement encadrée et un modèle isolé en local, les implications juridiques et organisationnelles varient fortement. Le choix du modèle n’est pas qu’une question budgétaire ; c’est une décision de gestion du risque.

Trois grandes options existent :

 

1️⃣ Modèle public (gratuit)

 

Adapté à :

    • Tests,
    • Usages non sensibles.

Non adapté à :

    • Données confidentielles,
    • Contexte RGPD exigeant.

2️⃣ Modèle professionnel (Team / Enterprise)

 

Adapté à :

    • Entreprises structurées,
    • Encadrement juridique,
    • Gouvernance formalisée.

Plus sécurisé contractuellement.

 

3️⃣ Modèle isolé en local (LLM privé)

 

Option la plus sécurisée.

Principe :

    • Le modèle d’IA est installé sur des serveurs internes.
    • Les données ne sortent pas de l’organisation.
    • Aucun transfert externe.

Schéma simplifié :

Utilisateur → Serveur interne IA → Réponse
(les données ne quittent pas l’infrastructure)

Avantages :

    • Maîtrise totale des données,
    • Conformité facilitée,
    • Absence de transfert vers un tiers.

Inconvénients :

    • Coût,
    • Maintenance,
    • Performance parfois inférieure aux modèles cloud.

6️⃣ Comment utiliser ChatGPT dans le respect du RGPD ?

 

Le RGPD ne mentionne pas spécifiquement l’intelligence artificielle, mais ses principes s’appliquent pleinement : minimisation des données, limitation des finalités, sécurité, traçabilité. L’enjeu n’est pas d’interdire l’IA, mais de l’intégrer dans le cadre existant de conformité. Cela suppose méthode et formalisation.

 

Il faut distinguer :

  • Outil d’assistance rédactionnelle,
  • Traitement de données personnelles,
  • Automatisation décisionnelle.

Bonnes pratiques :

  • Anonymiser les données,
  • Limiter les informations transmises,
  • Documenter les usages,
  • Intégrer l’IA dans le registre de traitements,
  • Vérifier les transferts hors UE,
  • Former les équipes.

L’IA ne dispense pas des obligations RGPD.
Elle les renforce.

 

7️⃣ Le vrai sujet : gouvernance avant technologie

 

Au fond, la question des données renvoie à un sujet plus large : qui décide des usages de l’IA dans l’organisation ? Tant que les pratiques restent individuelles et invisibles, le risque est diffus. Dès qu’un cadre est posé, la technologie redevient un outil au service d’une stratégie. La sécurité des données commence par une décision de gouvernance.

La question n’est pas seulement :

Où vont nos données ?

Mais :

Avons-nous décidé collectivement ce que nous acceptons d’envoyer ?

Sans cadre, les usages se développent de manière invisible.

La sécurité des données n’est pas un sujet technique.
C’est un sujet de décision stratégique. Je vous propose un audit IA stratégique rapide ou à plusieurs niveau.

 

Le premier service que je rends consiste, pour une administration ou une entreprise à faire le point sur l’existant dans une session de cadrage stratégique IA. Nous faisons le point sur l’existant et en concertation, je vous propose de cadrer votre déploiement IA en vous proposant la solution IA la plus adaptée à votre cas de figure.

Article rédigé avec l’aide de Chat GPT, sur une idée originale (et structurée) de Frédéric Bénot.

Ils peuvent vous intéresser ...

Retour en haut