Données client et IA : 4 vérifications avant ChatGPT ou Copilot

« Peut-on mettre les fichiers de nos clients dans ChatGPT ? » C’est la question que me posent presque toutes les personnes que je forme à l’Intelligence Artificielle. La réponse sans ambigüité gêne plus d’un responsable. Cependant, des solutions existent.

Et la question devient urgente : selon le Baromètre France Num 2025 (Direction générale des Entreprises, 11 021 entreprises interrogées), 26 % des TPE/PME utilisent désormais des solutions d’intelligence artificielle — deux fois plus qu’en 2024 (13 %). Chez les PME, on atteint 34 %, et 51 % dans le secteur du numérique. L’usage le plus répandu : la génération de texte, voix ou image (22 %), exactement le terrain de ChatGPT et Copilot.

Voici ce qu’il faut absolument savoir avant de coller la moindre donnée client dans un outil d’IA générative — et les réflexes à adopter pour travailler intelligemment sans prendre de risques.

1. Vos données peuvent servir à entraîner le modèle

C’est le premier point que la plupart des utilisateurs ignorent : ce que vous saisissez dans un outil d’IA gratuit peut être utilisé pour améliorer le modèle. Autrement dit, vos données clients, vos fichiers adhérents, vos contrats — tout cela peut potentiellement alimenter les prochaines versions de l’outil.

La CNIL est très claire sur ce point dans ses recommandations IA et RGPD : dès lors que des données personnelles sont utilisées en entrée (dans vos prompts) ou générées en sortie, le RGPD s’applique. Les personnes concernées conservent leurs droits d’accès, de rectification, d’opposition et d’effacement — même quand leurs données ont transité par un modèle d’IA.

La bonne nouvelle : il est possible de désactiver cette option. Mais l’option n’est jamais au même endroit selon l’outil. Sur ChatGPT, elle se trouve dans les paramètres du compte, section « Contrôles des données ». Sur Copilot (Microsoft 365), les politiques d’entreprise s’appliquent différemment selon votre abonnement.

À vérifier systématiquement avant tout usage professionnel.

2. « Gratuit » et « confidentiel » font rarement bon ménage

Les versions grand public des outils d’IA (ChatGPT Free, Copilot standard, Gemini basic) ne proposent pas les mêmes garanties que leurs équivalents professionnels. Les versions payantes ou entreprise (ChatGPT Enterprise, Copilot M365, Claude for Business) incluent généralement :

- Des engagements contractuels sur la non-utilisation des données pour l’entraînement

- Des accords de traitement des données (DPA) conformes au RGPD

- Des logs d’audit et des contrôles d’accès renforcés

Pour une TPE qui traite des données sensibles (coordonnées clients, données de santé, données financières), la version gratuite n’est tout simplement pas adaptée à un usage professionnel régulier.

Exemple concret : un cabinet comptable qui colle un grand livre client dans la version gratuite d’un chatbot expose des données financières identifiantes à un traitement hors de son contrôle — et hors d’Europe le plus souvent. Le même travail dans une version entreprise avec DPA, ou après pseudonymisation (point suivant), change complètement le niveau de risque.

3. La pseudonymisation : votre meilleure alliée

Il existe une parade simple et efficace que j’enseigne dans toutes mes formations : la pseudonymisation. Avant de soumettre un document à l’IA, vous remplacez les données sensibles par des étiquettes neutres.

Exemples concrets :

- « Jean Dupont, 06 12 34 56 78 » → « CLIENT_A, TEL_A »

- « SIRET 123 456 789 » → « SIRET_ENTREPRISE_1 »

- « 14 rue des Lilas, Montpellier » → « ADRESSE_1 »

L’IA travaille aussi bien — voire mieux, car elle se concentre sur le fond — et vous n’avez jamais exposé de vraies données personnelles. À la fin, vous re-substituez les étiquettes avec les vraies valeurs.

Cette technique, issue des bonnes pratiques RGPD et encouragée par la CNIL au titre de la minimisation des données, est accessible à tous et ne nécessite aucun outil spécifique. Un simple tableau de correspondance dans Excel suffit.

4. Ce que dit la réglementation en 2026 : RGPD, CNIL et AI Act

Le cadre juridique s’est considérablement précisé. Trois textes à connaître :

Le RGPD reste la base. Or le Baromètre France Num 2025 montre que les TPE/PME ont encore du chemin : seules 41 % tiennent un registre des activités de traitement (pourtant obligatoire dans la plupart des cas) et 47 % ont désigné un délégué à la protection des données (DPO).

Les recommandations CNIL sur l’IA. Depuis 2024, la CNIL publie des fiches pratiques dédiées à l’IA : base légale, information des personnes, exercice des droits, sécurité (la Commission alerte notamment sur des risques propres à l’IA comme l’injection de prompts ou l’extraction de données depuis un modèle). Si vous développez ou personnalisez un outil d’IA, ces fiches sont votre référence.

L’AI Act (règlement UE 2024/1689). En vigueur depuis le 1^er août 2024, il s’applique par étapes. Deux points concernent déjà toutes les entreprises, y compris les TPE :

- Depuis le 2 février 2025, les pratiques d’IA à risque inacceptable sont interdites et l’article 4 impose une obligation de maîtrise de l’IA (« AI literacy ») : toute organisation qui utilise des systèmes d’IA doit s’assurer que son personnel est suffisamment formé.

- Actualité mai 2026 : l’accord provisoire « Digital Omnibus » du 7 mai 2026 entre le Conseil et le Parlement européen reporte les obligations des systèmes à haut risque (annexe III : RH, crédit, santé, éducation…) du 2 août 2026 au 2 décembre 2027. Un répit pour se préparer — pas une dispense : les sanctions prévues peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Autrement dit : former ses équipes à l’IA n’est plus seulement une bonne pratique, c’est une obligation réglementaire déjà applicable.

5. Le vrai enjeu : la gouvernance, pas seulement la sécurité

Le sujet n’est pas « quelle IA est la plus sûre ». Le vrai sujet, c’est la gouvernance que vous mettez en place dans votre équipe. Et l’enjeu est réel : plus d’un tiers des TPE/PME déclarent avoir déjà subi un incident de cybersécurité, et seulement 44 % utilisent l’authentification multi-facteurs pourtant recommandée par la CNIL (Baromètre France Num 2025).

Concrètement, cela signifie :

- Définir quelles données peuvent être utilisées avec l’IA (publiques, internes, confidentielles, sensibles)

- Former votre équipe aux bonnes pratiques — une seule personne imprudente suffit à créer une faille, et c’est désormais une exigence de l’AI Act

- Choisir les bons outils selon votre niveau de sensibilité des données

- Documenter vos usages dans votre registre de traitements RGPD

C’est précisément ce que j’aborde dans mes formations IA pour TPE/PME et pour les organisations de tous secteurs : repartir autonome et serein, pas dépendant d’un prestataire ou vulnérable face aux risques.

Se former : deux programmes concrets

Champs & Algorithmes — IA générative appliquée au monde agricole : conçu pour les Chambres d’Agriculture et les organisations professionnelles agricoles, ce parcours couvre les usages de ChatGPT, Copilot, Claude et Mistral, la protection des fichiers adhérents et la méthode de prompt C.L.A.I.R.E.

Manager avec l’IA — pour les dirigeants et managers de TPE/PME : gouvernance des données, charte d’usage IA, pseudonymisation, automatisations responsables. Deux jours pour piloter l’IA dans votre structure au lieu de la subir.

Ces formations sont éligibles aux financements OPCO. Découvrir les programmes →

En résumé : la checklist avant d’utiliser l’IA avec vos données clients

1. Vérifier les paramètres de confidentialité de l’outil (désactiver l’entraînement sur vos données)

1. Choisir une version professionnelle si vous traitez des données sensibles

1. Pseudonymiser systématiquement avant de soumettre un document

1. Mettre en place une politique d’usage de l’IA et former l’équipe (obligation AI Act art. 4 depuis février 2025)

1. Mettre à jour votre registre RGPD en conséquence — seules 41 % des TPE/PME le font aujourd’hui, soyez dans les bonnes

Sources officielles

- Baromètre France Num 2025 — Direction générale des Entreprises, septembre 2025

- Fiches pratiques IA — CNIL, recommandations sur l’application du RGPD aux systèmes d’IA

- Calendrier d’application de l’AI Act — règlement UE 2024/1689, mis à jour avec l’accord Digital Omnibus de mai 2026

Besoin d’un diagnostic ou d’un accompagnement sur mesure ? Audit de vos usages IA, rédaction de votre charte de données, mise en conformité RGPD/AI Act ou formation de vos équipes : contactez-nous ou découvrez mes programmes de formation IA pour TPE/PME.

Sylvain Guéraiche est fondateur d’Agence Stratégies (Béziers/Montpellier), Activateur France Num, formateur Marketing et IA pour les entreprises, les chambres d’agriculture, les grands groupes et les organismes de formation (OF). Il intervient notamment sur les enjeux de confidentialité et de gouvernance des données dans l’IA générative et la formation des équipes.