PI & IA – Vous utilisez ChatGPT en entreprise ? Attention à vos données clients

— Droit des nouvelles technologies & IA

10 mai 2026 · 5 min de lecture

Vous avez copié l’email d’un client dans ChatGPT pour gagner du temps. Vous avez demandé à votre assistant IA de synthétiser vos contrats, vos tarifs, ou vos offres commerciales. Confortable ? Peut-être. Légal ? Pas toujours.

Ce qu’il faut retenir

→ Copier-coller des données clients dans ChatGPT viole le RGPD : vous transférez des données personnelles hors UE sans base légale.

→ OpenAI stocke vos données sur ses serveurs américains — le Privacy Shield est invalidé depuis 2020.

→ Les solutions conformes existent : ChatGPT Team (~20 €/mois) ou Enterprise avec DPA et hébergement UE.

→ En 2026, l’AI Act renforce les obligations : transparence, documentation, supervision humaine obligatoire.

→ Formez vos équipes : la CNIL contrôle déjà l’usage des IA en RH à partir de l’automne 2026.

Comprenez d’abord le risque

Depuis 2022, ChatGPT et autres IA génératives ont explosé dans les entreprises. Mais beaucoup de dirigeants oublient une règle simple : les données clients ne sont pas à vous seul. Elles appartiennent à vos clients, et la loi européenne les protège.

Dès que vous copiez-collez un nom de client, un email, un extrait de contrat identifiant ou un numéro de facture dans ChatGPT, vous avez partagé des données personnelles avec OpenAI, une entreprise américaine. Et le RGPD s’active.

Le RGPD impose qu’avant de traiter des données personnelles, vous ayez une base légale. Envoyer les données de votre client à ChatGPT « pour rédiger un email plus vite » n’entre dans aucune catégorie autorisée. De plus, ChatGPT stocke les données sur des serveurs aux États-Unis. Depuis l’invalidation du Privacy Shield en 2020, transférer des données UE vers les USA est strictement encadré.

Quelles données pouvez-vous envoyer à ChatGPT ?

La règle est simple : seules les données anonymisées ou non identifiantes. Vous pouvez demander à ChatGPT de rédiger un email type, d’améliorer une clause contractuelle générique, ou de résumer une stratégie sans vos chiffres ni vos clients.

En revanche, il est interdit de copier l’intégralité d’un email client, de mettre votre liste de clients pour « analyser les tendances », de coller un contrat signé avec noms et montants, ou d’uploader un dossier RH avec données salarié.

En 2026, l’AI Act renforce les obligations

Depuis le 2 août 2026, le Règlement européen sur l’IA (AI Act) s’applique pleinement. Si votre PME utilise une IA pour prendre des décisions RH, analyser des risques de crédit, ou faire de l’analyse prédictive sur vos clients, des obligations renforcées s’appliquent : documentation technique, qualité de données, supervision humaine, audit.

La CNIL a annoncé qu’elle contrôlerait intensément les systèmes IA en RH à partir de l’automne 2026. Si vous êtes PME et utilisez une IA pour recruter ou évaluer sans respecter ces règles, vous serez exposée.

En pratique : nos conseils

1. Dès demain, faites un audit de 30 minutes de votre utilisation de ChatGPT : supprimez l’historique si des données clients y figurent.

2. Mettez à jour votre politique de sécurité informatique : « Ces données ne vont JAMAIS dans une IA grand public. »

3. Documentez vos autorisations d’IA : quel outil, quelles données, quelle protection, qui supervise.

4. Passez des contrats (DPA) avec vos prestataires IA : ChatGPT Team/Enterprise inclut ces garanties.

5. Informez vos clients : si vous utilisez une IA pour traiter leurs données.