RGPD et ChatGPT : quelles données peut-on envoyer à une IA ?
Guide RGPD pour savoir quelles données envoyer à ChatGPT, lesquelles éviter et comment réduire le risque d'exposition.
La question revient dans toutes les entreprises : peut-on envoyer des données personnelles à ChatGPT ? La réponse courte est : pas sans cadre.
Le RGPD ne dit pas “l’IA est interdite”. Il impose que tout traitement de données personnelles respecte des principes : finalité, minimisation, transparence, sécurité, droits des personnes et responsabilité. La CNIL rappelle que la collecte et l’utilisation de données via un système d’IA doivent respecter le RGPD et les droits des personnes.
Données publiques, internes ou personnelles : ne mélangez pas tout
Pour décider si une donnée peut être envoyée à une IA, commencez par la classer.
Données publiques
Exemples : pages web, articles, fiches produits, contenus concurrents, résultats de recherche, mentions publiques. Ces données sont adaptées aux audits SEO, à l’analyse de marché et à la veille.
Données internes
Exemples : procédures, notes internes, documents de travail. Elles peuvent être utilisées avec prudence, selon leur niveau de confidentialité.
Données personnelles
Exemples : nom, email, adresse, identifiant client, données RH, données de santé, données financières. Ces données nécessitent une base, une finalité, une information et des mesures de protection.
Le cas particulier de ChatGPT Business et Enterprise
OpenAI indique que ses offres business donnent aux organisations la propriété et le contrôle de leurs données professionnelles, et que les modèles ne sont pas entraînés sur ces données par défaut. Cela réduit certains risques, mais ne supprime pas la responsabilité de l’entreprise.
Même avec une offre professionnelle, vous devez vous demander :
- pourquoi ces données sont envoyées ;
- si elles sont nécessaires ;
- si elles peuvent être anonymisées ;
- qui y a accès ;
- combien de temps elles sont conservées ;
- si les personnes concernées sont informées.
La règle de minimisation
La règle pratique est simple : envoyer le minimum utile.
Mauvais prompt : “Voici le dossier complet de Jean Dupont, client depuis 2019, avec son adresse, ses paiements et son litige. Rédige une réponse.”
Meilleur prompt : “Voici un cas client anonymisé : [CLIENT], contrat [TYPE], problème [RÉSUMÉ]. Rédige une réponse professionnelle.”
Quand anonymiser
Vous devez anonymiser ou pseudonymiser lorsque le résultat attendu ne dépend pas de l’identité exacte de la personne. Dans beaucoup de cas, l’IA n’a pas besoin du nom, de l’adresse ou du numéro client pour produire une réponse utile.
À lire : Anonymisation des prompts IA : redaction, masking, tokenisation
Peut-on envoyer un contrat client ?
Un contrat contient souvent des noms, prix, obligations, clauses confidentielles et informations commerciales. Il ne doit pas être envoyé brut dans un outil IA non validé.
À lire : Peut-on envoyer un contrat client dans ChatGPT ?
Conclusion
Le RGPD n’interdit pas ChatGPT. Il impose une discipline : classifier les données, limiter ce qui est envoyé, anonymiser ce qui peut l’être, choisir les bons outils et garder une gouvernance claire.
Liens recommandés :
- Anonymisation des prompts IA
- Peut-on envoyer un contrat client dans ChatGPT ?
- ChatGPT en entreprise et données sensibles
CTA : Avec TrustAI, exploitez les données publiques pour vos audits et gardez les données personnelles dans un cadre sécurisé. Essayer TrustAI 4 jours.
Essayez TrustAI 4 jours
Commencez par auditer votre site, votre SEO et vos concurrents. Passez ensuite au Vault quand les données deviennent privées.
Lancer TrustAIQuestions fréquentes
Peut-on envoyer des données personnelles à ChatGPT avec le RGPD ?
Cela dépend du contexte, de la base légale, du contrat, des garanties, de la finalité et de la minimisation. Dans le doute, il faut anonymiser, limiter ou éviter l'envoi.
Quelle est la règle de minimisation pour les prompts IA ?
La règle consiste à n'envoyer au modèle que les informations strictement nécessaires à la tâche, en retirant les identifiants, détails personnels et éléments confidentiels non indispensables.
Quelle alternative utiliser pour des données privées ?
Pour les données privées, il vaut mieux utiliser un espace contrôlé avec règles d'accès, masking, logs, politiques internes et protection par Vault ou DLP IA.