Puis-je entrer des donnees clients dans ChatGPT ?

C'est risque. Si vous entrez des donnees personnelles (noms, e-mails, plaintes, informations medicales), vous traitez ces donnees via un tiers. Vous avez alors besoin d'un accord de sous-traitance avec OpenAI, vous devez le mentionner dans votre registre des traitements, et vous devez informer les personnes concernees. Le conseil le plus sur : ne saisissez pas de donnees personnelles identifiables.

OpenAI est-il un sous-traitant au sens du RGPD ?

Avec la version gratuite de ChatGPT, OpenAI est souvent (co)responsable du traitement, car il peut utiliser les donnees pour l'entrainement. Avec la version Enterprise ou API, OpenAI agit comme sous-traitant et un DPA est disponible. Verifiez toujours les conditions specifiques de votre abonnement.

Dois-je inclure les outils IA dans mon registre des traitements ?

Oui, si vous traitez des donnees personnelles via ces outils. Documentez quel outil vous utilisez, quelles donnees y entrent, la finalite, la base juridique, et s'il existe un accord de sous-traitance.

Puis-je utiliser l'IA pour evaluer des candidatures ?

Uniquement sous des conditions strictes. La prise de decision automatisee concernant des personnes releve de l'Article 22 du RGPD. Les candidats ont le droit de ne pas etre soumis a une decision fondee uniquement sur un traitement automatise. Vous avez besoin d'une AIPD et devez garantir une intervention humaine.

Outils IA et Vie Privee - Implications RGPD pour les Entreprises

ChatGPT, Copilot, Midjourney - de plus en plus d'entrepreneurs utilisent des outils IA. Mais quelles donnees personnelles y entrent ? Qui est le sous-traitant ? Faut-il un accord de sous-traitance ? Cet article explique les implications du RGPD.

L’IA est partout, y compris dans votre entreprise

De plus en plus d’entreprises utilisent des outils IA au quotidien. ChatGPT pour rediger des e-mails, Copilot pour generer du code, Midjourney pour des images, ou des fonctions IA dans leur CRM pour analyser les donnees clients. Pratique, mais du point de vue du RGPD, il y a de serieuses implications.

La question centrale est simple : quelles donnees entrent dans l’outil IA et qu’en advient-il ?

Qu’est-ce qui rend les outils IA differents ?

Avec les logiciels traditionnels (votre systeme comptable, votre CRM), vous savez assez precisement ou se trouvent vos donnees et ce qu’il en advient. Avec les outils IA, c’est different :

Donnees d’entrainement. De nombreux modeles IA utilisent les saisies des utilisateurs pour ameliorer le modele. Ce que vous entrez peut donc etre traite de manieres inattendues.
Opacite. Vous ne savez pas exactement comment le modele gere vos donnees. Ou sont-elles stockees ? Combien de temps ? Qui y a acces ?
Serveurs hors UE. La plupart des grands fournisseurs IA (OpenAI, Google, Microsoft) traitent les donnees sur des serveurs americains. C’est un transfert de donnees personnelles vers un pays tiers.

Etude de cas : l’Italie interdit ChatGPT

En mars 2023, l’autorite italienne (Garante) a temporairement interdit ChatGPT. Les raisons :

Pas de base juridique valable pour la collecte et le traitement de donnees personnelles afin d’entrainer le modele
Pas de verification d’age, permettant aux mineurs un acces sans protection
Pas de transparence envers les utilisateurs sur ce qu’il advenait de leurs donnees
Pas de mecanisme pour que les personnes concernees exercent leurs droits (acces, suppression)

OpenAI a procede a des ajustements (politique de confidentialite clarifiee, possibilite de desactiver les donnees d’entrainement, verification d’age ajoutee) et ChatGPT a ete readmis. Mais le signal etait clair : les outils IA doivent respecter les memes regles RGPD que tout autre logiciel.

Les autorites europeennes ont depuis cree un groupe de travail conjoint specifiquement pour ChatGPT et les services IA similaires. Ce n’est pas un incident isole - c’est le debut d’une application structurelle.

Les trois questions a se poser

1. Quelles donnees personnelles y entrent ?

Soyez honnete : vous arrive-t-il de coller un e-mail de plainte client dans ChatGPT pour formuler une reponse ? Collez-vous des CV dans un outil IA pour en faire un resume ? Saisissez-vous des noms et adresses e-mail de clients ?

Des que vous entrez des donnees personnelles identifiables, c’est un traitement au sens du RGPD. Peu importe que vous vouliez “juste rapidement” faire reecrire quelque chose.

2. Qui est le sous-traitant ?

La repartition des roles sous le RGPD est importante :

Responsable du traitement (vous) : vous determinez la finalite et les moyens du traitement
Sous-traitant (le fournisseur IA) : traite les donnees pour votre compte

Avec la version gratuite de ChatGPT, OpenAI est en partie co-responsable du traitement, car il peut utiliser vos saisies pour l’entrainement du modele. Avec ChatGPT Enterprise ou la version API, OpenAI agit comme sous-traitant et propose un accord de sous-traitance (DPA).

Cette distinction est cruciale. Avec un sous-traitant, vous avez le controle via un accord de sous-traitance. Avec un co-responsable, la situation est plus complexe et vous avez moins de controle sur ce qu’il advient des donnees.

3. Existe-t-il un accord de sous-traitance ?

Si vous utilisez un outil IA a des fins professionnelles et y envoyez des donnees personnelles, vous avez besoin d’un accord de sous-traitance (DPA). Verifiez :

Le fournisseur propose-t-il un DPA ? (Les versions Enterprise de ChatGPT, Copilot et Claude le font)
Ou les donnees sont-elles traitees ? (UE ou US ?)
Le fournisseur peut-il utiliser les donnees pour l’entrainement ? (Si oui, ce n’est pas un sous-traitant pur)
Quelles mesures de securite sont en place ?

Bonnes et mauvaises pratiques

Ce que vous POUVEZ faire

Utiliser l’IA pour des taches generiques ne necessitant pas de donnees personnelles : suggestions de texte, traductions de textes standards, brainstorming d’idees marketing
Anonymiser les donnees avant de les saisir : remplacer les noms par “Client A”, supprimer les adresses e-mail et numeros de telephone
Choisir un abonnement professionnel avec DPA si vous utilisez l’IA de maniere structurelle (ChatGPT Enterprise, Microsoft Copilot for Business, Claude for Work)
Desactiver les donnees d’entrainement la ou c’est possible
Documenter votre utilisation de l’IA dans votre registre des traitements
Elaborer une politique IA interne indiquant aux employes quels outils ils peuvent utiliser et quelles donnees ils peuvent ou non saisir. Consultez notre guide pratique pour creer une politique d’utilisation acceptable de l’IA

Ce que vous ne devez PAS faire

Coller des donnees clients dans la version gratuite de ChatGPT ou d’outils similaires
Faire resumer des CV par un outil IA sans DPA
Saisir des donnees medicales ou financieres dans un outil IA sans garanties strictes
Prendre des decisions automatisees sur des personnes (ex. : trier des candidats) sans intervention humaine et sans AIPD
Supposer que c’est sur parce que “tout le monde l’utilise” - la popularite n’est pas une base juridique

Que faire maintenant ?

Inventoriez les outils IA utilises par vous et vos employes
Evaluez par outil si des donnees personnelles y entrent
Verifiez si un DPA est disponible et si les donnees d’entrainement peuvent etre desactivees
Documentez l’utilisation de l’IA dans votre registre des traitements
Elaborez une politique IA interne avec des directives claires pour les employes
Envisagez une AIPD si vous utilisez l’IA pour le profilage, la prise de decision automatisee ou le traitement de donnees a grande echelle

auto_awesome Automatiser votre dossier RGPD ?

GDPRWise scanne votre site, detecte les traitements et les tiers, et vous aide a constituer votre dossier RGPD complet - y compris le registre des traitements et les accords de sous-traitance pour tous vos outils.

Lancez votre scan gratuit

Outils IA et Vie Privee : A Quoi Faut-il Faire Attention ?