Les 5 risques concrets quand vous utilisez ChatGPT avec des données clients

Chaque jour, des milliers de professionnels français collent des données clients dans ChatGPT. Noms, adresses, montants de contrats, données médicales, informations financières. La plupart le font sans réaliser les risques concrets que cela implique pour leur entreprise et leurs clients. Voici 5 dangers documentés que vous devez connaître.

Risque 1 — Vos données alimentent l'entraînement du modèle

Quand vous tapez un texte dans ChatGPT, ce texte ne disparaît pas après votre session. Par défaut, OpenAI utilise vos conversations pour entraîner ses futurs modèles. C'est écrit dans leurs conditions d'utilisation.

Concrètement, cela signifie que les noms de vos clients, les détails de leurs dossiers, les montants de leurs contrats peuvent être ingérés dans le modèle. Et une fois qu'une donnée a servi à l'entraînement, il est techniquement impossible de la "retirer".

OpenAI propose une option pour désactiver l'entraînement sur vos données. Mais cette option :

• N'est pas activée par défaut — il faut aller la chercher dans les paramètres
• Ne concerne que l'interface web, pas toutes les intégrations tierces
• Ne garantit pas que les données déjà envoyées soient exclues rétroactivement
• Ne supprime pas le fait que vos données transitent par les serveurs d'OpenAI

En 2023, Samsung a interdit ChatGPT après que des ingénieurs ont accidentellement divulgué du code source propriétaire via l'outil. Le code avait déjà été ingéré.

Risque 2 — Le transfert hors UE et le Cloud Act

Les serveurs d'OpenAI sont situés aux États-Unis. Chaque fois que vous envoyez des données dans ChatGPT, vous effectuez un transfert de données personnelles hors de l'Union européenne.

Ce transfert pose deux problèmes majeurs :

• Violation potentielle du RGPD : le transfert de données vers les États-Unis nécessite des garanties spécifiques (clauses contractuelles types, évaluation d'impact du transfert). La plupart des entreprises qui utilisent ChatGPT n'ont aucune de ces garanties en place.
• Le Cloud Act américain : cette loi de 2018 permet aux autorités américaines d'exiger l'accès aux données stockées par les entreprises US, où que ces données soient physiquement hébergées. Vos données clients sont donc potentiellement accessibles aux services de renseignement américains.

Pour les entreprises soumises au RGPD, ce transfert non encadré constitue une infraction qui peut être sanctionnée. Pour mieux comprendre ces enjeux, consultez notre comparatif détaillé entre IA locale et cloud.

Risque 3 — Les fuites de données involontaires

Le risque ne vient pas seulement d'OpenAI. Il vient aussi de vos propres collaborateurs.

Sans politique claire d'utilisation de l'IA, vos équipes utilisent ChatGPT comme elles le souhaitent. Un commercial colle un devis avec les coordonnées complètes du client. Un RH demande de l'aide pour rédiger un courrier de licenciement avec le nom du salarié. Un comptable soumet un bilan avec les chiffres réels.

Ces pratiques créent ce qu'on appelle le "Shadow AI" : une utilisation non contrôlée de l'intelligence artificielle dans l'entreprise. Selon une étude Gartner, plus de 55 % des salariés utilisent des outils IA non approuvés par leur employeur.

Le problème : une fois la donnée envoyée, vous n'avez aucun moyen de la récupérer ou de la supprimer. Pas de bouton "annuler". Pas de droit à l'oubli effectif sur un modèle entraîné.

Risque 4 — La violation du secret professionnel

Si vous êtes avocat, médecin, expert-comptable, notaire ou tout autre professionnel soumis au secret professionnel, l'utilisation de ChatGPT avec des données clients constitue potentiellement une violation de vos obligations déontologiques.

Le secret professionnel est absolu. Il couvre toutes les informations confiées par le client dans le cadre de la relation professionnelle. En envoyant ces informations à un serveur tiers situé aux États-Unis, vous :

• Divulguez des informations couvertes par le secret à un tiers non autorisé (OpenAI)
• Perdez le contrôle sur la confidentialité de ces informations
• Vous exposez à des sanctions disciplinaires de votre ordre professionnel
• Engagez votre responsabilité civile et pénale

Le Conseil national des barreaux a d'ailleurs publié des recommandations claires sur ce sujet. Pour approfondir, lisez notre article sur l'IA et le secret professionnel.

Risque 5 — L'absence de traçabilité et de contrôle

Quand un client vous demande "comment sont protégées mes données ?", que répondez-vous si vous utilisez ChatGPT ?

Le RGPD impose aux entreprises de pouvoir démontrer leur conformité (principe d'accountability). Cela implique de documenter les traitements, de savoir où vont les données, et de pouvoir prouver que des mesures de protection adéquates sont en place.

Avec ChatGPT :

• Pas de registre des traitements : vous ne savez pas quelles données ont été envoyées, par qui, et quand
• Pas de contrat de sous-traitance conforme à l'article 28 du RGPD avec OpenAI
• Pas d'audit possible : vous ne pouvez pas vérifier ce qu'OpenAI fait réellement de vos données
• Pas de notification en cas de fuite côté OpenAI

En cas de contrôle de la CNIL ou de plainte d'un client, cette absence de traçabilité est un facteur aggravant. Pour en savoir plus sur les sanctions possibles, consultez notre guide complet RGPD et IA.

Comment se protéger tout en utilisant l'IA

La solution n'est pas de renoncer à l'IA. C'est de choisir une IA qui respecte la confidentialité de vos données par conception.

Une IA locale comme PrivacyDesk AI élimine les 5 risques listés ci-dessus :

• Pas d'entraînement sur vos données : le modèle tourne en local, vos données ne quittent jamais votre machine
• Pas de transfert hors UE : tout reste sur votre bureau, dans vos locaux
• Pas de fuite vers un tiers : aucune connexion internet nécessaire pour le traitement
• Secret professionnel préservé : aucune donnée n'est partagée avec un sous-traitant
• Traçabilité totale : vous contrôlez l'intégralité de l'infrastructure

Vous obtenez la même puissance de l'IA — rédaction, analyse, synthèse, traduction — sans aucun des risques liés au cloud. C'est le principe fondamental de l'IA locale : la performance sans le compromis.