L'utilisation d'outils d'intelligence artificielle générative tels que ChatGPT, Copilot ou Gemini s'est largement diffusée dans les entreprises. Salariés, managers et dirigeants y recourent quotidiennement pour rédiger des courriels, synthétiser des documents, générer du code ou analyser des données. Cette adoption rapide s'est toutefois faite sans cadre juridique clair dans de nombreuses organisations.
Derrière les gains de productivité apparents, l'usage de ces outils soulève des questions majeures en matière de protection des données personnelles, de confidentialité des informations et de conformité au Règlement général sur la protection des données (RGPD). L'IA générative en entreprise est-elle un outil licite ou une source de risques juridiques systémiques ?
Pourquoi l'usage de ChatGPT s'est imposé en entreprise
L'IA générative répond à des besoins opérationnels immédiats. Elle permet d'automatiser certaines tâches rédactionnelles, d'assister la prise de décision, d'améliorer la communication et d'accélérer la production de contenus. Dans un contexte de pression économique et de transformation numérique, ces outils apparaissent comme des leviers de compétitivité.
Cependant, leur intégration s'effectue souvent sans analyse juridique préalable. Dans de nombreuses entreprises, l'usage repose sur des initiatives individuelles des salariés, parfois sur des comptes personnels, sans information claire de la direction ni politique interne spécifique. Cette situation crée un décalage entre la pratique réelle et les exigences du droit de la protection des données.
ChatGPT et traitement de données personnelles au sens du RGPD
Dès lors qu'un salarié saisit dans un outil d'IA générative des informations relatives à une personne identifiable, il y a traitement de données à caractère personnel au sens de l'article 4, point 1, du RGPD. Peu importe que le traitement soit automatisé ou ponctuel : la simple saisie d'un nom, d'un numéro de client, d'une adresse électronique ou d'un élément de situation personnelle suffit à caractériser un traitement.
En pratique, de nombreux usages impliquent indirectement des données personnelles : rédaction de réponses à des clients, reformulation de courriels, analyse de dossiers, rédaction de comptes rendus ou de procédures internes. Lorsque ces informations sont envoyées à un prestataire tiers d'IA, le responsable du traitement reste juridiquement responsable de la licéité de cette communication, conformément à l'article 5, paragraphe 2, du RGPD.
La question centrale : qui est responsable du traitement ?
Dans un cadre professionnel, c'est l'employeur qui détermine les finalités et les moyens du traitement. Il est donc responsable du traitement au sens de l'article 4, point 7, du RGPD, même si l'initiative opérationnelle vient du salarié. Le fournisseur de l'outil d'IA agit quant à lui le plus souvent en tant que sous-traitant, au sens de l'article 4, point 8.
Cette qualification implique l'existence d'un contrat de sous-traitance conforme à l'article 28 du RGPD. Or, dans la majorité des cas, les entreprises utilisent des outils d'IA via des conditions générales standardisées, sans véritable analyse de conformité ni garanties suffisantes sur l'usage des données transmises.
Le risque des transferts de données hors de l'Union européenne
La plupart des outils d'IA générative sont exploités par des entreprises établies hors de l'Union européenne, notamment aux États-Unis. Toute transmission de données personnelles vers un État tiers constitue un transfert au sens du chapitre V du RGPD.
Depuis l'arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE, 16 juillet 2020, aff. C-311/18), les transferts vers les États-Unis ne sont licites que sous conditions strictes. Le nouveau cadre du Data Privacy Framework ne supprime pas l'obligation d'évaluer le niveau de protection effectif des données.
En l'absence d'analyse juridique documentée et de garanties contractuelles appropriées, l'utilisation d'un outil d'IA générative peut exposer l'entreprise à un transfert illicite de données personnelles.
Le problème spécifique de l'entraînement des modèles
Un risque majeur réside dans l'utilisation des données saisies pour l'entraînement ou l'amélioration des modèles d'IA. Si les données professionnelles injectées dans l'outil sont conservées ou réutilisées, il y a perte de maîtrise du responsable du traitement sur les données.
Or, le RGPD impose le principe de limitation des finalités, prévu à l'article 5, paragraphe 1, point b. Les données collectées pour la gestion d'un client ou d'un salarié ne peuvent pas être réutilisées pour entraîner un modèle d'IA sans base légale distincte. Dans la plupart des cas, une telle réutilisation serait incompatible avec la finalité initiale du traitement.
Exemple concret : un usage banal aux conséquences juridiques réelles
Une entreprise de conseil utilise ChatGPT pour reformuler des réponses destinées à ses clients. Un consultant copie-colle un extrait de dossier contenant le nom du client, sa situation contractuelle et des éléments financiers. Ces données sont envoyées à un outil d'IA hébergé hors de l'Union européenne.
Juridiquement, plusieurs manquements apparaissent. Il y a transmission de données personnelles à un tiers sans information préalable des personnes concernées, en violation des articles 13 et 14 du RGPD. Il existe un transfert vers un pays tiers sans garantie adéquate, en méconnaissance des articles 44 et suivants. Enfin, l'entreprise n'a mis en place aucune mesure technique empêchant la réutilisation potentielle des données à des fins d'entraînement du modèle, en contradiction avec l'article 25 sur la protection des données dès la conception.
Ce qui semble être un simple gain de temps devient ainsi un risque juridique caractérisé.
Position des autorités de contrôle
Les autorités européennes de protection des données ont rapidement alerté sur ces usages. Le Comité européen de la protection des données (CEPD) rappelle que l'IA générative doit respecter l'ensemble des principes du RGPD, notamment la minimisation des données, la limitation des finalités et la sécurité du traitement.
La CNIL a précisé que les entreprises doivent interdire l'injection de données personnelles ou confidentielles dans des outils d'IA non maîtrisés et mettre en place des politiques internes spécifiques. Elle considère que l'absence de cadre organisationnel constitue un manquement aux obligations de responsabilité prévues à l'article 24 du RGPD.
Vers une double contrainte : RGPD et IA Act
L'entrée en application progressive du règlement européen sur l'intelligence artificielle (IA Act) va renforcer ces exigences. Les systèmes d'IA utilisés dans un cadre professionnel devront respecter des obligations de gouvernance, de documentation et de gestion des risques.
Le RGPD continuera de s'appliquer parallèlement pour tout traitement de données personnelles. Les entreprises seront donc soumises à une double exigence : conformité aux règles relatives aux données personnelles et conformité aux règles spécifiques aux systèmes d'IA.
Quelles obligations concrètes pour les entreprises ?
Une entreprise ne peut plus tolérer un usage informel et non encadré de l'IA générative. Elle doit définir une politique interne claire sur les outils autorisés, interdire l'injection de données personnelles identifiantes, et former les salariés aux risques juridiques associés.
Elle doit également analyser les conditions contractuelles des fournisseurs d'IA, vérifier les mécanismes de transfert de données hors UE, et documenter les mesures prises conformément au principe d'accountability posé à l'article 5, paragraphe 2, du RGPD.
Dans certains cas, une analyse d'impact relative à la protection des données (AIPD) peut être requise si l'usage présente un risque élevé pour les droits et libertés des personnes, au sens de l'article 35 du RGPD.
L'utilisation de ChatGPT au travail n'est pas illégale en soi, mais elle devient rapidement une bombe juridique lorsqu'elle s'effectue sans cadre, sans analyse et sans maîtrise des flux de données. Derrière un outil de productivité se cachent des enjeux fondamentaux de confidentialité, de souveraineté des données et de respect des droits des personnes.
L'IA générative impose un changement de culture juridique dans l'entreprise. Elle ne peut plus être utilisée comme un simple logiciel bureautique. Elle doit être intégrée dans une gouvernance des données structurée, conforme au RGPD et anticipant les exigences de l'IA Act.
À défaut, l'entreprise s'expose non seulement à des sanctions administratives, mais aussi à une perte de confiance de ses clients, de ses partenaires et de ses salariés. Le véritable enjeu n'est donc pas de savoir si l'IA peut être utilisée, mais à quelles conditions juridiques elle peut l'être durablement.