Vos équipes utilisent déjà ChatGPT. Qu'est-ce que ça implique pour vos données clients ?

Quand un collaborateur saisit des informations sur un client dans un outil IA grand public, la responsabilité au sens du RGPD reste celle de l'entreprise, pas celle du collaborateur. Les articles 4(7) et 24 désignent comme responsable de traitement celui qui détermine les finalités et les moyens. Or, pour ce type de traitement, le RGPD prévoit un contrat de sous-traitance avec le prestataire (article 28). Les versions grand public de ces outils n'en proposent pas, et les saisies y alimentent par défaut le réentraînement du modèle.

Aucune de ces conséquences n'est hypothétique. Dans beaucoup de bureaux, c'est déjà la réalité aujourd'hui.

Ce que ça donne sur un chantier

Deux situations concrètes, courantes dans les bureaux.

Un conducteur de travaux rentre d'une réunion. Les notes sont dans son carnet, le compte rendu doit être propre et partir ce soir. Il colle son texte scanné dans ChatGPT et demande un CR structuré. Le document contient le nom du maître d'ouvrage, l'adresse du chantier, un numéro de lot, des contacts téléphoniques. Dans ce cas, des données personnelles se retrouvent sur des serveurs américains, hors du cadre contractuel prévu par le RGPD, le réentraînement actif par défaut.

Un chargé d'affaires reçoit un CCTP de 90 pages pour une soumission. Il n'a pas le temps de tout lire. Il charge le document dans ChatGPT pour en avoir un résumé rapide. Le CCTP contient le nom du maître d'ouvrage, celui du bureau d'études, des coordonnées, parfois des données techniques liées à des bâtiments identifiables. Même constat.

Les deux collaborateurs ont agi efficacement. L'outil a probablement bien fonctionné. Et dans les deux cas, des données personnelles ont circulé sans le contrat de sous-traitance que le RGPD prévoit pour ce type d'outil.

Pourquoi c'est répandu

Le calcul est compréhensible : l'outil fait gagner du temps, tout de suite.

Une étude internationale de Software AG, en octobre 2024 auprès de salariés de bureau, estimait qu'environ la moitié utilisait des outils IA non approuvés par leur employeur. Le Data Privacy Benchmark 2024 de Cisco va dans le même sens, avec 48 % des répondants qui reconnaissaient y avoir saisi des informations d'entreprise non publiques.

Les équipes trouvent les outils utiles. Elles les utilisent. L'encadrement arrive après, ou pas.

Ce phénomène a un nom, le shadow AI. Le BTP y est particulièrement exposé : des équipes terrain qui travaillent vite, des bureaux sans DSI dédiée, des documents volumineux à traiter.

Ce que dit le RGPD, sans le détour

L'article 4(1) du RGPD définit les données personnelles comme toute information se rapportant à une personne physique identifiable. Dans le bâtiment, la plupart des documents clients entrent dans cette catégorie. Dès qu'un nom de maître d'ouvrage, une adresse ou un numéro de lot identifiant figure dans un compte rendu ou un devis, les données sont personnelles. Les données purement techniques, sans lien avec une personne identifiable, font exception, et leur qualification revient à l'entreprise en tant que responsable de traitement. Dans le doute, mieux vaut les considérer comme personnelles.

L'article 44 et suivants encadrent les transferts de ces données hors de l'Union européenne. Dès qu'un prestataire externe traite des données personnelles pour le compte de l'entreprise, le RGPD prévoit un contrat de sous-traitance (article 28). C'est la condition de base.

Outils grand public ou outils professionnels : ce que ça change

La question juridique centrale porte sur la version utilisée, non sur l'outil lui-même. Dans les outils IA accessibles au grand public, la version détermine la situation réelle.

Les versions grand public n'offrent généralement pas de contrat de sous-traitance et utilisent les saisies pour le réentraînement, souvent par défaut. Les versions professionnelles proposent en règle générale un tel contrat et désactivent le réentraînement. Ce sont deux situations juridiques très différentes, pour parfois le même outil.

Cela n'est pas une recommandation d'achat ni une matrice de versions. Les conditions des fournisseurs évoluent, et la question de quelle version est adaptée à quelles données dépend du cas d'usage. Avant d'engager des données clients, le bon réflexe est de vérifier quelle version est en service.

Sur le transfert vers les États-Unis, l'EU-US Data Privacy Framework encadre ces flux depuis juillet 2023. Il est actuellement contesté devant la justice européenne. Les Clauses Contractuelles Types (SCC) constituent le socle complémentaire habituel. Pour tout fournisseur soumis au droit américain, un risque résiduel lié au Cloud Act existe, quelle que soit la localisation des serveurs. La mesure qui change vraiment la donne est de n'y transmettre que des données anonymisées, c'est-à-dire d'en retirer les éléments identifiants (noms, adresses, numéros) de sorte qu'aucune personne ne soit identifiable, même indirectement. Une simple pseudonymisation ne suffit pas, car les données restent alors personnelles et soumises au RGPD. À défaut, le plus simple reste un outil hébergé en Europe avec contrat de sous-traitance.

Le principe de réponse

Le shadow AI naît d'un besoin réel. Interdire l'usage sans rien proposer ne résout rien : le comportement se déplace, il ne disparaît pas.

Une réponse pragmatique commence par distinguer les types de données. Des métrés, des calculs de structure, des plans sans information personnelle identifiable ne tombent pas sous les règles de transfert des articles 44 et suivants. Un compte rendu avec le nom du maître d'ouvrage, si. L'entreprise peut définir des catégories claires pour ses équipes sans que ça ressemble à une contrainte.

Pour les usages qui impliquent des données personnelles, des outils hébergés en Europe avec contrat de sous-traitance (art. 28) existent. Ce contrat engage le prestataire à ne pas utiliser les données à d'autres fins, dont le réentraînement.

Une règle claire et simple fonctionne souvent mieux qu'une interdiction. Une courte liste de ce qu'on ne met jamais dans un outil public, pourquoi, et quelles alternatives existent. L'efficacité de cette règle tient à ce qu'elle s'applique aux bonnes catégories de données. Et c'est précisément cette classification qui est le point difficile. Une heure de formation sur les bases du RGPD appliquées aux outils IA aide plus qu'une note de service, et constitue un point de départ concret. La proportionnalité de l'effort dépend des usages réels dans l'entreprise.

L'EU AI Act a inscrit cette logique dans la loi. Son article 4 oblige les entreprises qui déploient des outils IA à veiller, dans toute la mesure du possible, à ce que leurs collaborateurs disposent d'un niveau de compétence suffisant pour comprendre les implications de ces outils. Cette obligation s'applique depuis le 2 février 2025 ; les autorités de surveillance nationales pourront la faire respecter à partir du 2 août 2026. Le texte ne prescrit pas de formation spécifique : c'est la compétence qui compte, pas le format. Cette disposition est en cours de révision dans le cadre du Digital Omnibus (accord politique de mai 2026, pas encore publié au Journal officiel) ; dans l'état actuel du droit, la version originale de l'article 4 reste en vigueur.

Ce que ça révèle dans les bureaux

Avant de décider quoi faire, il est utile de cartographier ce qui se passe déjà.

Quelques signes que des outils IA non encadrés circulent :

• Des comptes rendus ou devis présentent soudainement une mise en forme plus soignée que d'habitude, sans que personne n'ait changé de logiciel.
• Des collaborateurs mentionnent avoir « demandé à l'IA » pour reformuler un mail ou résumer un document, sans préciser lequel.
• Il n'existe pas de liste des outils numériques utilisés par les équipes dans leur travail quotidien.
• La question « quels outils IA utilisez-vous ? » génère des réponses différentes selon les interlocuteurs.

Aucun de ces signaux n'est une faute. Ce sont des indices que l'usage existe et qu'il mérite une attention.

---

Questions fréquentes

Est-ce interdit d'utiliser ChatGPT au travail ?

Non, pas en soi. L'utiliser avec des données clients suppose en revanche un traitement pour lequel le RGPD prévoit un contrat de sous-traitance (art. 28), que les versions grand public ne fournissent pas. Les versions professionnelles proposent généralement un tel contrat et désactivent le réentraînement par défaut. La version utilisée change beaucoup la situation, et les conditions évoluent : vérifier avant d'engager des données clients.

Est-ce que ChatGPT utilise mes données pour s'entraîner ?

Sur les versions grand public, le réentraînement est activé par défaut. L'utilisateur peut le désactiver dans les paramètres, mais la démarche reste à sa charge. Les versions professionnelles le désactivent en principe par défaut et proposent un contrat de sous-traitance (DPA). Les conditions des fournisseurs changent ; s'y référer au moment de prendre une décision.

Qui est responsable si un employé met des données clients dans ChatGPT ?

L'entreprise. Les articles 4(7) et 24 du RGPD désignent le responsable de traitement comme celui qui détermine les finalités et les moyens. Le fait qu'un collaborateur agisse de sa propre initiative ne transfère pas cette responsabilité.

Mes données partent-elles aux États-Unis ?

Sur les versions grand public, oui, en standard. L'EU-US Data Privacy Framework encadre ces transferts depuis juillet 2023, mais il est actuellement contesté devant la justice européenne (affaire C-703/25 P). Les Clauses Contractuelles Types (SCC) constituent le socle complémentaire habituel. Deux voies : n'y transmettre que des données anonymisées (une simple pseudonymisation ne suffit pas, les données resteraient personnelles), ou utiliser un outil hébergé en Europe avec contrat de sous-traitance.

J'ai déjà mis des données clients dans ChatGPT. Suis-je en danger ?

Les saisies passées ne peuvent pas être récupérées. Ce qui est possible dès aujourd'hui : mettre en place des règles claires pour les nouveaux usages, désactiver dans les paramètres du compte la contribution au réentraînement, et faire l'inventaire de ce qui a circulé. C'est précisément ce genre d'état des lieux que couvre un audit des usages IA.

---

Si vous vous demandez quelle proportion des usages IA dans votre bureau implique aujourd'hui des données personnelles, la réponse est rarement nulle. La question utile porte sur lesquels, dans quelle mesure, et sous quel encadrement contractuel.

---

Ce contenu est fourni à titre informatif général. Il ne constitue pas un conseil juridique et ne remplace pas l'avis d'un avocat spécialisé en protection des données. Pour votre situation spécifique, consultez un conseiller juridique.