PI & IA – ChatGPT, Mistral, Claude en entreprise : la position ferme de la CNIL

— Droit des nouvelles technologies & IA

10 mai 2026 · 7 min de lecture

Vos équipes utilisent déjà ChatGPT, Mistral ou Claude — pour rédiger des courriers, traiter des données clients, préparer des analyses. Depuis ses recommandations de 2025, la CNIL a tracé une ligne claire : utiliser une IA générative avec des données personnelles n’est ni interdit ni libre. C’est un traitement RGPD, qui se prépare et se sécurise.

Ce qu’il faut retenir

→ La CNIL a publié sa quatrième recommandation IA-RGPD le 5 juin 2025 (délibération n° 2025-047), confirmant que les systèmes d’IA relèvent pleinement de la protection des données personnelles.

→ Coller des données personnelles dans un prompt (nom de client, dossier salarié, contrat) revient à transférer ces données au fournisseur du modèle — souvent hébergé hors UE.

→ L’employeur reste responsable du traitement : c’est à lui de définir les usages autorisés, d’informer les personnes concernées et de garantir la confidentialité des données.

→ Une analyse d’impact (AIPD) est en pratique nécessaire dès que l’usage présente un risque élevé pour les droits des personnes — ce qui est très fréquent en RH, juridique et relation client.

→ Sans cadre clair, vous risquez à la fois une sanction CNIL (jusqu’à 4 % du CA mondial) et un litige avec vos salariés ou vos clients en cas de fuite.

Le vrai problème : ce qui sort de votre entreprise quand vous tapez un prompt

L’usage d’IA générative en entreprise pose une difficulté souvent sous-estimée. Lorsqu’un salarié saisit dans ChatGPT le nom d’un client, le contenu d’un courriel reçu, un extrait de contrat ou une fiche RH, ces données sont transmises au fournisseur du service — généralement situé hors UE — et peuvent, selon les conditions contractuelles, servir à entraîner les modèles ou être conservées.

Cette opération constitue un traitement de données personnelles au sens du RGPD. Et l’entreprise — non le salarié — en est juridiquement responsable. La CNIL l’a confirmé dans sa délibération n° 2025-047 du 5 juin 2025, qui adopte une recommandation sur l’application du RGPD au développement des systèmes d’intelligence artificielle. Si cette recommandation cible la phase de conception et d’entraînement, le principe qu’elle affirme — la pleine application du RGPD aux systèmes d’IA — vaut tout autant pour leur utilisation par les entreprises.

Ce que la CNIL exige aujourd’hui

Les recommandations de 2025 reprennent une logique fondamentale : le RGPD s’applique pleinement aux systèmes d’IA, qu’il s’agisse des données utilisées pour l’entraînement, des données mémorisées dans le modèle ou de celles saisies dans les prompts utilisateurs.

Concrètement, l’entreprise utilisatrice doit identifier la base légale du traitement (intérêt légitime, exécution du contrat, consentement selon les cas), informer les personnes concernées que leurs données peuvent être traitées via un outil d’IA, déterminer une durée de conservation, garantir la sécurité des transmissions, et permettre l’exercice des droits (accès, rectification, opposition, effacement).

Pour les usages présentant un risque élevé — ce qui est très fréquent dans la fonction RH, le juridique, la relation client ou le médical —, une analyse d’impact relative à la protection des données (AIPD) doit être menée préalablement. La CNIL recommande également une réflexion explicite sur la minimisation : ne saisir dans un prompt que ce qui est strictement nécessaire à la tâche.

Le piège classique : les usages individuels non encadrés

La situation la plus risquée n’est pas un projet IA structuré et encadré — c’est l’usage diffus, individuel, par les collaborateurs, avec leur compte ChatGPT personnel. Sans charte interne, sans liste d’outils autorisés, sans formation, l’entreprise reste responsable de ce qui sort par cette porte ouverte.

Plusieurs sanctions CNIL en 2024 et 2025, dans d’autres secteurs, démontrent que l’absence de cadre constitue en soi un manquement : le responsable de traitement doit être en mesure de prouver, par sa documentation, qu’il a structuré ses usages.

En pratique : nos conseils

1. Adoptez une charte d’usage de l’IA : définissez la liste des outils autorisés (et interdits), les types de données qui peuvent être saisies (jamais : données client identifiables, données salariés, données de santé, données sensibles), les usages permis et les contrôles. Une charte courte et claire vaut mieux qu’un document long ignoré.

2. Privilégiez les versions « entreprise » : ChatGPT Enterprise, Microsoft Copilot, Mistral Le Chat Pro et autres offrent des engagements contractuels — pas d’entraînement sur vos données, hébergement européen possible, journaux. Le compte personnel d’un salarié ne donne aucune de ces garanties.

3. Menez une AIPD pour les usages sensibles : utilisation d’IA en RH (tri de CV, évaluations), en juridique (analyse de pièces avec données nominatives), en relation client (chatbot, scoring) — l’analyse d’impact est requise. Ce travail vaut aussi pour la conformité AI Act.

4. Informez vos salariés et vos clients : les personnes dont les données peuvent être traitées via un outil d’IA doivent en être informées. Mettez à jour vos politiques de confidentialité et vos contrats de travail le cas échéant.

5. Formez vos équipes : la majorité des fuites involontaires viennent d’une méconnaissance — copier un mail confidentiel dans un prompt est un réflexe rapide aux conséquences durables. Une formation courte et concrète change le risque réel.

L’utilisation de l’IA générative en entreprise n’est pas un sujet d’opposition entre innovation et conformité : c’est un sujet de méthode. Notre cabinet accompagne les dirigeants dans la mise en place d’une charte d’usage adaptée à leur activité, l’analyse d’impact des cas sensibles et la sécurisation contractuelle avec les fournisseurs d’outils IA.