Les risques liés aux données sensibles
Utiliser ChatGPT ou Gemini au quotidien est devenu un réflexe pour beaucoup de professionnels. Mais chaque prompt que vous envoyez est potentiellement lu, stocké et utilisé par le fournisseur de l'IA. C'est un risque majeur si vous y incluez des données sensibles.
En décembre 2024, l'autorité italienne de protection des données (Garante) a infligé une amende de 15 millions d'euros à OpenAI (ChatGPT) pour absence de base légale dans le traitement des données, manquement à l'information des utilisateurs et défaut de vérification d'âge. Clearview AI a reçu 30,5 millions d'euros d'amende aux Pays-Bas pour collecte non autorisée d'images faciales.
Ce que les LLMs font de vos données
Quand vous envoyez un message à ChatGPT ou Gemini (en version grand public), voici ce qui peut se passer :
Les données à ne JAMAIS partager avec l'IA
| Catégorie | Exemples concrets | Risque |
|---|---|---|
| Données personnelles (PII) | Noms, adresses, n° de sécu, emails personnels de clients | Violation RGPD, amendes jusqu'à 4% du CA mondial |
| Données financières | N° de carte bancaire, bilans financiers non publics, comptes | Fraude financière, vol d'identité |
| Données médicales | Dossiers patients, diagnostics, traitements | Violation du secret médical |
| Secrets commerciaux | Code source, algorithmes, stratégies, prix fournisseurs | Perte d'avantage concurrentiel |
| Données RH | Salaires, évaluations, données disciplinaires | Violation de la vie privée des employés |
| Identifiants techniques | Mots de passe, clés API, tokens d'authentification | Accès non autorisé aux systèmes |
| Communications privilégiées | Échanges avocat-client, secret professionnel | Perte du secret professionnel |
Cas pratique — Le piège du copier-coller
⛔ Ce prompt contient : nom complet, email, téléphone, montant de facture, n° SIRET, CA — toutes des données personnelles et commerciales sensibles !
✅ Aucune donnée personnelle, le résultat sera tout aussi utilisable — il suffira de personnaliser ensuite.
À retenir
- Par défaut, ChatGPT et Gemini stockent vos conversations et peuvent les utiliser pour l'entraînement
- Des réviseurs humains peuvent lire vos conversations
- Ne jamais partager : données personnelles, financières, médicales, secrets commerciaux, identifiants
- Toujours anonymiser avant d'envoyer à l'IA, pas après
- Amende réelle : 15M€ pour OpenAI en Italie (décembre 2024)
Paramètres de sécurité : ChatGPT et Gemini
La bonne nouvelle : ChatGPT et Gemini proposent des paramètres de confidentialité que vous pouvez configurer pour limiter l'utilisation de vos données. Voici le guide pas à pas pour sécuriser votre utilisation.
🔧 ChatGPT — Désactiver l'entraînement sur vos données
Par défaut, le toggle "Improve the model for everyone" est activé sur les plans Free, Plus et Pro. Cela signifie que vos conversations sont utilisées pour entraîner les futurs modèles d'OpenAI. Le désactiver n'affecte pas votre expérience — vous gardez l'historique et toutes les fonctionnalités.
Étape par étape (sur ordinateur)
Profil → Settings → Data Controls → "Improve the model for everyone" → OFF
Sur mobile : Menu hamburger → Profil → Data Controls → Toggle OFF
Le mode "Temporary Chat" (mode incognito)
ChatGPT propose aussi un mode de conversation éphémère :
| Caractéristique | Conversation normale | Temporary Chat |
|---|---|---|
| Sauvegarde dans l'historique | Oui | Non |
| Utilisée pour l'entraînement | Oui (si toggle activé) | Non |
| Met à jour la mémoire | Oui | Non |
| Conservation serveur | Indéfinie | 30 jours (vérification d'abus) |
| Comment l'activer | Par défaut | Icône bulle de conversation en haut à droite |
Pour un usage professionnel quotidien : désactivez le toggle "Improve the model" (une seule fois, c'est permanent). Pour les sujets les plus sensibles : utilisez en plus le Temporary Chat à chaque conversation.
🔧 Gemini — Désactiver l'enregistrement de l'activité
Par défaut, le paramètre "Gemini Apps Activity" (ou "Keep Activity") est activé. Cela signifie que Google sauvegarde vos conversations et peut les utiliser pour améliorer ses services. Des réviseurs humains peuvent aussi les examiner.
Étape par étape
• "Turn off" : arrête la sauvegarde future
• "Turn off and delete activity" : arrête ET supprime l'historique existant
myactivity.google.com/product/gemini → "Keep activity" → Turn off
Ou via Gemini : Settings & help → Activity → Turn off
Important : Même avec le paramètre désactivé, Google conserve les conversations pendant 72 heures pour assurer le fonctionnement du service.
Tableau récapitulatif comparatif
| Critère | ChatGPT (Free/Plus/Pro) | ChatGPT Enterprise/Business | Gemini (grand public) | Gemini Workspace |
|---|---|---|---|---|
| Entraînement par défaut | OUI ⚠️ | NON ✅ | OUI ⚠️ | NON ✅ |
| Toggle pour désactiver | "Improve the model for everyone" | Pas nécessaire | "Gemini Apps Activity" | Pas nécessaire |
| Mode éphémère | Temporary Chat | Temporary Chat | Non disponible | N/A |
| Révision humaine | Possible | Non par défaut | Possible | Non par défaut |
| Chiffrement | TLS en transit | AES-256 + TLS 1.2+ | TLS en transit | TLS + chiffrement repos |
À retenir
- ChatGPT : Settings → Data Controls → "Improve the model for everyone" → OFF
- Gemini : myactivity.google.com/product/gemini → "Keep activity" → Turn off
- Pour les sujets sensibles : utiliser le Temporary Chat sur ChatGPT
Bonnes pratiques en entreprise
Au-delà des paramètres individuels, l'utilisation de l'IA en entreprise nécessite une politique structurée. La CNIL a publié en juillet 2025 ses recommandations définitives. Voici comment les appliquer concrètement.
Les recommandations de la CNIL (juillet 2025)
Les 5 techniques d'anonymisation
Avant d'envoyer du contenu à un LLM, appliquez l'une de ces techniques :
| Technique | Principe | Exemple |
|---|---|---|
| 1. Pseudonymisation | Remplacer les noms par des codes | "Jean Dupont" → "Client_A" ; "Société ABC" → "Entreprise_X" |
| 2. Généralisation | Remplacer les détails par des catégories | "Acquérir XYZ Corp pour 5M€" → "Acquisition d'un concurrent par une PME tech" |
| 3. Masquage par entité | Remplacer par des balises typées | "[PERSONNE_1] a appelé le [TELEPHONE_1] à [DATE_1]" |
| 4. Suppression pure | Supprimer complètement les données sensibles | Retirer tous les noms, montants et coordonnées avant envoi |
| 5. Remplacement synthétique | Remplacer par des valeurs fictives réalistes | "Martin Durand, 42 ans, 3 500€/mois" → "Paul Bernard, 38 ans, 3 200€/mois" |
L'anonymisation doit se faire AVANT que l'IA ne voie les données, pas après. Une fois envoyées, les données sont potentiellement stockées et ne peuvent plus être récupérées.
Cas pratique — Rédiger une charte IA d'entreprise
Contexte : Votre DG vous demande de rédiger une charte d'utilisation de l'IA pour les 80 collaborateurs de votre cabinet de conseil.
Outil recommandé : ChatGPT (rédaction structurée de document formel)
Rédige une charte d'utilisation de l'IA générative pour un cabinet de conseil en management (80 personnes, clients grands comptes et PME). La charte doit couvrir :
1. Les outils autorisés (ChatGPT, Gemini) et les paramètres de sécurité obligatoires
2. Les types de données interdites dans les prompts (avec exemples concrets)
3. Les techniques d'anonymisation à appliquer systématiquement
4. Les usages autorisés et interdits (liste claire)
5. La procédure en cas d'erreur (données sensibles envoyées par inadvertance)
6. Les sanctions en cas de non-respect
Format : document professionnel structuré, prêt à signer. Ton : clair, ferme mais pédagogique. 600 mots max.
Cas pratique — Audit de vos usages IA
Mon entreprise (PME de 40 personnes, secteur immobilier) utilise :
- ChatGPT Plus pour rédiger des annonces immobilières et répondre aux emails clients
- Gemini pour analyser des documents juridiques (baux, compromis)
- MidJourney pour créer des visuels d'illustration
Réalise un audit rapide en identifiant :
1. Les risques potentiels (RGPD et confidentialité) pour chaque usage
2. Les actions correctives prioritaires
3. Les bonnes pratiques déjà en place (si applicable)
Format : tableau avec colonnes (Usage | Risque identifié | Niveau | Action corrective)
Checklist de sécurité — À afficher au bureau
- ☐ Mon prompt contient-il des noms de personnes réelles ? → Anonymiser
- ☐ Mon prompt contient-il des données financières précises ? → Généraliser
- ☐ Mon prompt contient-il des données clients (emails, téléphones) ? → Supprimer
- ☐ Mon prompt contient-il du code source ou des mots de passe ? → Ne pas envoyer
- ☐ Mon prompt contient-il des stratégies confidentielles ? → Reformuler en termes génériques
- ☐ Ai-je bien désactivé l'entraînement sur mes outils ? (Leçon 2)
- ☐ Le sujet est-il très sensible ? → Utiliser le Temporary Chat (ChatGPT)
À retenir
- La CNIL recommande de ne jamais partager de données sensibles dans les IA grand public
- Privilégiez les comptes professionnels (ChatGPT Business, Gemini Workspace) qui ne s'entraînent pas sur vos données
- 5 techniques d'anonymisation : pseudonymisation, généralisation, masquage, suppression, remplacement synthétique
- Chaque entreprise devrait avoir une charte IA qui définit les usages autorisés et interdits
- L'anonymisation se fait AVANT l'envoi, jamais après