Pilier IA · RGPD

IA au travail : ce que dit le RGPD.

ChatGPT public n'est pas un outil RGPD-compliant pour les données sensibles. Voici ce que tu ne dois jamais partager, les alternatives RGPD (Mistral local, Le Chat France, Claude Enterprise), et une check-list 10 points à valider avant chaque prompt au travail.

Pourquoi ChatGPT public n'est pas RGPD-compliant pour les données sensibles.

Beaucoup de salariés français utilisent ChatGPT au quotidien pour rédiger des emails, structurer des comptes-rendus, préparer des transmissions. Très bien. Sauf qu'ils tapent dedans des informations qu'ils ne devraient pas y mettre.

Le RGPD (Règlement Général sur la Protection des Données, en vigueur depuis 2018) impose deux principes-clés : la licéité du traitement (tu dois avoir une base légale pour traiter une donnée personnelle) et la minimisation (tu ne dois traiter que ce qui est strictement nécessaire). Quand tu copies-colles dans ChatGPT les transmissions d'une nuit en EHPAD ou l'évaluation annuelle d'un de tes subordonnés, tu transfères ces données personnelles vers OpenAI, entreprise américaine, sur des serveurs potentiellement hors UE. Tu sors du cadre.

La CNIL a clarifié en 2024 sa position : ChatGPT en version grand public ne fournit aucune garantie contractuelle de non-réutilisation de tes données. Les conversations peuvent être utilisées pour entraîner les modèles. Si tu travailles dans la santé, le médico-social, l'éducation, le juridique, les RH, ou que tu manipules des secrets industriels, tu engages la responsabilité de ton employeur en utilisant ChatGPT public sur ces données.

Bonne nouvelle : il existe des alternatives RGPD. Et la check-list à valider avant chaque prompt est simple.

Données à NE JAMAIS partager avec une IA grand public.

4 catégories de données interdites. Si tu tapes une de ces informations dans ChatGPT public, Gemini, Mistral grand public, tu enfreins le RGPD et tu engages la responsabilité de ton employeur.

Données patient / usager (santé, médico-social)

Noms, prénoms, dates de naissance
Diagnostics, traitements, antécédents
Numéro de Sécurité sociale
Adresses, coordonnées, situations familiales
Transmissions ciblées nominatives (oral ou écrit)

Données salariés (RH, manager)

Noms et prénoms identifiables
Rémunérations individualisées
Évaluations annuelles, sanctions disciplinaires
Arrêts maladie, situations personnelles
Notes de réunion d'équipe nominatives

Données confidentielles entreprise

Secrets industriels (brevets en cours, R&D)
Données financières non publiques
Stratégie commerciale, listes clients
Documents marqués "confidentiel" ou "interne"
Identifiants techniques, mots de passe, tokens

Données personnelles tierces

Coordonnées d'un client / fournisseur identifiable
Emails reçus contenant des données personnelles
Informations sur des proches (famille, amis)
Photos identifiantes (visages, plaques d'immatriculation)
Tout ce que tu ne dirais pas en réunion publique

4 alternatives RGPD à ChatGPT public.

Toutes les IA ne se valent pas du point de vue RGPD. Voici les 4 options sérieuses pour un usage professionnel. Le choix dépend de la sensibilité de tes données, de ton budget, et de tes compétences techniques.

Mistral Local

Open-source, hébergeable sur ton propre serveur

Aucune donnée ne sort de ton infrastructure
Conforme RGPD par construction (tu héberges)
Modèles : Mistral 7B, Mixtral 8x7B, Mistral Large
Nécessite des compétences techniques pour le déploiement
Idéal pour les structures sensibles : santé, juridique, RH

Quand l'utiliser : Tu manipules des données patients ou salariés en volume.

Le Chat (Mistral AI, France)

SaaS français, version Pro/Entreprise

Hébergement en France/UE, conforme RGPD
Version Pro : pas d'entraînement sur tes données
Version Entreprise : SSO, audit logs, contrôle d'accès
Interface simple, accessible aux non-techniciens
Tarif : à partir de 15 € / utilisateur / mois pour Pro

Quand l'utiliser : Tu veux la souplesse de ChatGPT mais hébergée en France.

Claude Enterprise (Anthropic)

SaaS américain, contrat entreprise

Pas d'entraînement sur tes données (engagement contractuel)
SSO, audit logs, conformité SOC 2
Disponibilité région UE selon contrat
Modèles : Claude Opus, Sonnet, Haiku
Tarif sur devis (à partir de plusieurs milliers €/an)

Quand l'utiliser : Tu veux le meilleur niveau d'IA disponible et tu peux signer un DPA.

ChatGPT Enterprise (OpenAI)

SaaS américain, contrat entreprise

Pas d'entraînement sur tes données (engagement contractuel)
SSO, audit logs, contrôles admin
Encryption at-rest et in-transit
Région UE proposée dans certains contrats
Tarif sur devis

Quand l'utiliser : Tu veux ChatGPT mais avec un DPA et des garanties contractuelles.

Check-list 10 points avant de prompter au travail.

Avant chaque prompt sensible, passe ces 10 questions en revue. Si une seule réponse est « non » ou « je ne sais pas », arrête-toi et change d'outil ou de prompt.

1
Je n'ai partagé aucun nom, prénom, ni identifiant personnel.
2
Je n'ai partagé aucune donnée de santé (diagnostic, traitement, situation médicale).
3
Je n'ai partagé aucune information sur un patient, usager ou élève identifiable.
4
Je n'ai partagé aucune information RH nominative sur un collègue ou subordonné.
5
Je n'ai partagé aucune donnée marquée « confidentielle » ou « interne entreprise ».
6
Je n'ai partagé aucun secret industriel, mot de passe, token ou identifiant technique.
7
Je sais quelle IA j'utilise (ChatGPT public ? Le Chat Pro ? Mistral local ?) et son statut RGPD.
8
Si j'utilise une IA grand public, l'historique de conversation est désactivé (ou j'utilise un compte non identifiable à mon employeur).
9
J'ai vérifié que mon employeur a une charte d'usage de l'IA et je la respecte.
10
Je sais que ce que je tape peut potentiellement servir à entraîner un modèle (sauf engagement contractuel contraire).

En cas de doute :anonymise. Remplace les noms par « Patient A », « Collègue B », « Client C ». Supprime les dates précises. Génère une situation fictive équivalente. L'IA t'aidera autant, sans risque.

Cadre légal et sanctions.

Le RGPD(Règlement UE 2016/679) est applicable depuis mai 2018. Il s'applique à toute organisation qui traite des données personnelles de personnes situées dans l'UE. Une donnée personnelle, c'est toute information qui permet d'identifier directement ou indirectement une personne physique.

En complément du RGPD, l'AI Act européen (entré progressivement en vigueur depuis 2024) impose des obligations supplémentaires pour les usages d'IA à risque : transparence, traçabilité, supervision humaine. Le secteur santé, RH, justice, éducation est particulièrement visé.

En cas de violation, les sanctions CNIL peuvent atteindre4 % du chiffre d'affaires mondial de l'entreprise (ou 20 millions €, le plus élevé des deux). Au-delà du financier, c'est ta responsabilité personnelle qui peut être engagée si tu as agi en connaissance de cause sans respecter la charte interne de ton employeur.

Bonne pratique : demande à ton employeur s'il existe une charte d'usage de l'IA. Si oui, lis-la. Si non, propose-en une — c'est un projet sur lequel les coachs Kariér accompagnent les équipes (voir Kariér Entreprises).

Mini-formations associées.

Tarif Kariér mini-formation IA : 600 à 1 200 € net de taxe selon le parcours, finançable CPF. Exonération pour les demandeurs d'emploi (sous conditions France Travail).

45 min · CPF

IA & RGPD : les bases pour les salariés

Voir la formation

1h · CPF

Rédiger une charte d'usage IA d'équipe

Voir la formation

1h30 · CPF

IA en santé : RGPD et secret médical

Voir la formation

1h · CPF

Esprit critique face aux IA génératives

Voir la formation