L'utilisation d'outils d'intelligence artificielle generative tels que ChatGPT, Copilot ou Gemini s'est largement diffusee dans les entreprises. Salaries, managers et dirigeants y recourent quotidiennement pour rediger des courriels, synthetiser des documents, generer du code ou analyser des donnees. Cette adoption rapide s'est toutefois faite sans cadre juridique clair dans de nombreuses organisations.
Derriere les gains de productivite apparents, l'usage de ces outils souleve des questions majeures en matiere de protection des donnees personnelles, de confidentialite des informations et de conformite au Reglement general sur la protection des donnees (RGPD). L'IA generative en entreprise est-elle un outil licite ou une source de risques juridiques systemiques ?
Pourquoi l'usage de ChatGPT s'est impose en entreprise
L’IA generative repond a des besoins operationnels immediats. Elle permet d’automatiser certaines taches redactionnelles, d’assister la prise de decision, d’ameliorer la communication et d’accelerer la production de contenus. Dans un contexte de pression economique et de transformation numerique, ces outils apparaissent comme des leviers de competitivite.
Cependant, leur integration s’effectue souvent sans analyse juridique prealable. Dans de nombreuses entreprises, l’usage repose sur des initiatives individuelles des salaries, parfois sur des comptes personnels, sans information claire de la direction ni politique interne specifique. Cette situation cree un decalage entre la pratique reelle et les exigences du droit de la protection des donnees.
ChatGPT et traitement de donnees personnelles au sens du RGPD
Des lors qu’un salarie saisit dans un outil d’IA generative des informations relatives a une personne identifiable, il y a traitement de donnees a caractere personnel au sens de l’article 4, point 1, du RGPD. Peu importe que le traitement soit automatise ou ponctuel : la simple saisie d’un nom, d’un numero de client, d’une adresse electronique ou d’un element de situation personnelle suffit a caracteriser un traitement.
En pratique, de nombreux usages impliquent indirectement des donnees personnelles : redaction de reponses a des clients, reformulation de courriels, analyse de dossiers, redaction de comptes rendus ou de procedures internes. Lorsque ces informations sont envoyees a un prestataire tiers d’IA, le responsable du traitement reste juridiquement responsable de la liceite de cette communication, conformement a l’article 5, paragraphe 2, du RGPD.
La question centrale : qui est responsable du traitement ?
Dans un cadre professionnel, c’est l’employeur qui determine les finalites et les moyens du traitement. Il est donc responsable du traitement au sens de l’article 4, point 7, du RGPD, meme si l’initiative operationnelle vient du salarie. Le fournisseur de l’outil d’IA agit quant a lui le plus souvent en tant que sous-traitant, au sens de l’article 4, point 8.
Cette qualification implique l’existence d’un contrat de sous-traitance conforme a l’article 28 du RGPD. Or, dans la majorite des cas, les entreprises utilisent des outils d’IA via des conditions generales standardisees, sans veritable analyse de conformite ni garanties suffisantes sur l’usage des donnees transmises.
Le risque des transferts de donnees hors de l'Union europeenne
La plupart des outils d’IA generative sont exploites par des entreprises etablies hors de l’Union europeenne, notamment aux Etats-Unis. Toute transmission de donnees personnelles vers un Etat tiers constitue un transfert au sens du chapitre V du RGPD.
Depuis l’arret Schrems II de la Cour de justice de l’Union europeenne (CJUE, 16 juillet 2020, aff. C-311/18), les transferts vers les Etats-Unis ne sont licites que sous conditions strictes. Le nouveau cadre du Data Privacy Framework ne supprime pas l’obligation d’evaluer le niveau de protection effectif des donnees.
En l’absence d’analyse juridique documentee et de garanties contractuelles appropriees, l’utilisation d’un outil d’IA generative peut exposer l’entreprise a un transfert illicite de donnees personnelles.
Le probleme specifique de l'entrainement des modeles
Un risque majeur reside dans l’utilisation des donnees saisies pour l’entrainement ou l’amelioration des modeles d’IA. Si les donnees professionnelles injectees dans l’outil sont conservees ou reutilisees, il y a perte de maitrise du responsable du traitement sur les donnees.
Or, le RGPD impose le principe de limitation des finalites, prevu a l’article 5, paragraphe 1, point b. Les donnees collectees pour la gestion d’un client ou d’un salarie ne peuvent pas etre reutilisees pour entrainer un modele d’IA sans base legale distincte. Dans la plupart des cas, une telle reutilisation serait incompatible avec la finalite initiale du traitement.
Exemple concret : un usage banal aux consequences juridiques reelles
Une entreprise de conseil utilise ChatGPT pour reformuler des reponses destinees a ses clients. Un consultant copie-colle un extrait de dossier contenant le nom du client, sa situation contractuelle et des elements financiers. Ces donnees sont envoyees a un outil d'IA heberge hors de l'Union europeenne.
Juridiquement, plusieurs manquements apparaissent. Il y a transmission de donnees personnelles a un tiers sans information prealable des personnes concernees, en violation des articles 13 et 14 du RGPD. Il existe un transfert vers un pays tiers sans garantie adequate, en meconnaissance des articles 44 et suivants. Enfin, l’entreprise n’a mis en place aucune mesure technique empechant la reutilisation potentielle des donnees a des fins d’entrainement du modele, en contradiction avec l’article 25 sur la protection des donnees des la conception.
Ce qui semble etre un simple gain de temps devient ainsi un risque juridique caracterise.
Position des autorites de controle
Les autorites europeennes de protection des donnees ont rapidement alerte sur ces usages. Le Comite europeen de la protection des donnees (CEPD) rappelle que l’IA generative doit respecter l’ensemble des principes du RGPD, notamment la minimisation des donnees, la limitation des finalites et la securite du traitement.
La CNIL a precise que les entreprises doivent interdire l’injection de donnees personnelles ou confidentielles dans des outils d’IA non maitrises et mettre en place des politiques internes specifiques. Elle considere que l’absence de cadre organisationnel constitue un manquement aux obligations de responsabilite prevues a l’article 24 du RGPD.
Vers une double contrainte : RGPD et IA Act
L’entree en application progressive du reglement europeen sur l’intelligence artificielle (IA Act) va renforcer ces exigences. Les systemes d’IA utilises dans un cadre professionnel devront respecter des obligations de gouvernance, de documentation et de gestion des risques.
Le RGPD continuera de s’appliquer parallelement pour tout traitement de donnees personnelles. Les entreprises seront donc soumises a une double exigence : conformite aux regles relatives aux donnees personnelles et conformite aux regles specifiques aux systemes d’IA.
Quelles obligations concretes pour les entreprises ?
Une entreprise ne peut plus tolerer un usage informel et non encadre de l’IA generative. Elle doit definir une politique interne claire sur les outils autorises, interdire l’injection de donnees personnelles identifiantes, et former les salaries aux risques juridiques associes.
Elle doit egalement analyser les conditions contractuelles des fournisseurs d’IA, verifier les mecanismes de transfert de donnees hors UE, et documenter les mesures prises conformement au principe d’accountability pose a l’article 5, paragraphe 2, du RGPD.
Dans certains cas, une analyse d’impact relative a la protection des donnees (AIPD) peut etre requise si l’usage presente un risque eleve pour les droits et libertes des personnes, au sens de l’article 35 du RGPD.
L'utilisation de ChatGPT au travail n'est pas illegale en soi, mais elle devient rapidement une bombe juridique lorsqu'elle s'effectue sans cadre, sans analyse et sans maitrise des flux de donnees. Derriere un outil de productivite se cachent des enjeux fondamentaux de confidentialite, de souverainete des donnees et de respect des droits des personnes.
L'IA generative impose un changement de culture juridique dans l'entreprise. Elle ne peut plus etre utilisee comme un simple logiciel bureautique. Elle doit etre integree dans une gouvernance des donnees structuree, conforme au RGPD et anticipant les exigences de l'IA Act.
A defaut, l'entreprise s'expose non seulement a des sanctions administratives, mais aussi a une perte de confiance de ses clients, de ses partenaires et de ses salaries. Le veritable enjeu n'est donc pas de savoir si l'IA peut etre utilisee, mais a quelles conditions juridiques elle peut l'etre durablement.