— Droit social

10 mai 2026 · 8 min de lecture

Pourquoi l’usage de comptes IA personnels est un risque que l’entreprise ne maîtrise pas

Lorsqu’un salarié utilise son compte ChatGPT, Mistral ou Claude personnel pour traiter des données de l’entreprise, plusieurs problèmes se combinent. Premier point : les informations saisies dans le prompt sont transmises au fournisseur du service, généralement hébergé hors de l’Union européenne, et peuvent — selon les conditions contractuelles applicables au compte gratuit ou personnel — servir à entraîner les modèles. Second point, plus préoccupant encore : tout l’historique reste sur le compte du salarié, qui en conserve l’accès indéfiniment, y compris après la rupture du contrat de travail.

Concrètement, des éléments couverts par le secret des affaires, des fiches client, des pièces de contentieux, des informations RH peuvent ainsi quitter l’entreprise sans qu’aucun mécanisme technique permette de les récupérer. Et c’est l’employeur — non le salarié — qui demeure responsable du traitement au sens du règlement général sur la protection des données. La CNIL l’a rappelé dans sa délibération n° 2025-047 du 5 juin 2025 portant recommandation sur l’application du RGPD aux systèmes d’IA.

Ce que l’employeur peut imposer (et comment)

Le pouvoir de direction de l’employeur l’autorise à fixer les outils utilisés dans l’entreprise. L’article L. 1121-1 du Code du travail précise toutefois la limite : aucune restriction aux droits et libertés ne peut être imposée si elle n’est pas justifiée par la nature de la tâche à accomplir et proportionnée au but recherché. L’enjeu de protection des données et du secret des affaires constitue une justification solide — la proportionnalité tient à ne pas interdire au-delà du nécessaire.

Concrètement, l’employeur peut : imposer l’usage exclusif de l’outil IA déployé par l’entreprise (version professionnelle de ChatGPT, Microsoft Copilot, Mistral Le Chat Pro ou autre) ; interdire la saisie de données de l’entreprise dans tout outil IA non autorisé ; interdire l’usage de comptes personnels durant le temps de travail ou pour des tâches professionnelles ; encadrer les types de données qui peuvent être traitées par IA (jamais : données client identifiables, données salariés, données sensibles).

Pour que ces règles soient opposables disciplinairement, elles doivent être formalisées dans une charte IA — annexée au règlement intérieur, intégrée à un accord d’entreprise, ou contractualisée au contrat de travail. Le simple courriel ou la note de service interne ne suffit pas pour fonder un licenciement.

La procédure pour rendre la charte opposable

Si la charte est annexée au règlement intérieur — choix recommandé pour les entreprises soumises à cette obligation —, la procédure prévue à l’article L. 1321-4 du Code du travail s’applique : consultation préalable du comité social et économique, dépôt au greffe du conseil de prud’hommes, communication à l’inspection du travail, mesures de publicité dans l’entreprise, et entrée en vigueur au minimum un mois après ces formalités.

L’article L. 1222-4 du Code du travail impose en outre que tout dispositif de collecte d’informations sur le salarié soit porté à sa connaissance préalable. Si la charte prévoit des contrôles techniques (filtrage des outils, journalisation des accès, surveillance d’usage), cette information préalable est impérative.

La Cour de cassation, dans un arrêt du 9 septembre 2020 (Cass. soc., n° 18-20.489), a confirmé qu’une charte informatique annexée au règlement intérieur s’impose au salarié au même titre que ce dernier. Cette jurisprudence est directement transposable aux chartes IA : annexion au RI, respect de la procédure de l’article L. 1321-4, et l’opposabilité disciplinaire est acquise.

Le point sensible du départ du salarié

C’est ici que l’enjeu se révèle dans toute son acuité. Lorsqu’un salarié quitte l’entreprise — démission, rupture conventionnelle, licenciement — son compte ChatGPT personnel reste son compte. Ni l’employeur, ni un éventuel administrateur IT n’y a accès. Tous les prompts saisis, les historiques, les fichiers attachés, les données extraites par le modèle demeurent à sa portée.

Les leviers juridiques classiques (clause de confidentialité du contrat de travail, obligation de discrétion, secret professionnel pour certaines fonctions, obligation de loyauté) restent applicables et permettent de rechercher la responsabilité du salarié en cas d’utilisation abusive postérieure. Mais l’effectivité d’une telle action est limitée — l’employeur doit connaître l’utilisation, la prouver, en démontrer le préjudice. La logique de prévention prime donc largement sur celle de la récupération.

C’est précisément la raison pour laquelle l’interdiction préalable, formalisée et opposable, constitue le meilleur outil. Il est plus simple de prévenir que de récupérer ce qui n’aurait jamais dû quitter l’entreprise.

La sanction disciplinaire en cas de violation

Une fois la charte IA opposable, sa violation peut faire l’objet d’une sanction disciplinaire, dans les conditions de droit commun. L’éventail s’étend de l’avertissement écrit, au blâme, à la mise à pied disciplinaire, jusqu’au licenciement pour cause réelle et sérieuse, voire pour faute grave en cas de circonstances aggravantes.

La gravité de la sanction sera appréciée par le juge prud’homal au regard de plusieurs critères : la nature des données concernées (la saisie d’un nom de prospect public ne se compare pas à la divulgation d’un fichier client complet ou d’éléments médicaux) ; le caractère répété ou isolé du manquement ; la formation et l’information préalables effectivement reçues par le salarié ; les avertissements antérieurs ; et la proportionnalité de la sanction. Une charte mal diffusée ou non accompagnée de formation expose l’employeur à un échec disciplinaire.

En pratique : nos conseils

1. Cartographiez les usages IA actuels : avant d’interdire, comprenez ce que font réellement vos équipes. Une charte qui ignore les pratiques sera contournée. Une charte qui les encadre est crédible.

2. Rédigez une charte IA dédiée : définissez la liste des outils autorisés (et interdits), les types de données qui peuvent être saisies, les usages permis, les contrôles, les sanctions encourues. Une charte courte et claire vaut mieux qu’un texte ignoré.

3. Déployez selon la procédure légale : annexion au règlement intérieur (consultation CSE, dépôt, publicité, délai d’un mois) ou accord d’entreprise. Pour les nouveaux entrants, doublez par une clause spécifique au contrat de travail.

4. Formez les équipes systématiquement : la formation préalable est à la fois une obligation issue de l’AI Act, un facteur d’efficacité réelle et un élément de preuve indispensable en cas de contentieux disciplinaire.

5. Mettez à disposition l’outil professionnel : interdire le compte personnel sans fournir l’alternative est une voie d’échec. ChatGPT Enterprise, Microsoft Copilot, Mistral Le Chat Pro et autres offrent les engagements contractuels nécessaires (pas d’entraînement sur vos données, journaux, hébergement européen possible).

6. Auditez périodiquement : vérifiez la diffusion de la charte, la formation effective des équipes, l’usage réel des outils. Le suivi documenté est aussi votre dossier en cas de contentieux.

7. Graduez la réponse disciplinaire : rappel à l’ordre puis avertissement écrit pour les manquements isolés non sensibles ; mise à pied ou licenciement pour les faits graves ou réitérés. La gradation crédibilise la sanction ultime.

Notre cabinet accompagne les dirigeants dans la rédaction de chartes IA adaptées à leur activité, leur déploiement conforme à la procédure légale et la gestion des contentieux disciplinaires liés à leur application. Anticiper, c’est protéger à la fois l’entreprise et la sécurité juridique des sanctions ultérieures.

---

---

À lire également

← Retour aux publications