ChatGPT et données clients : les réflexes RGPD à adopter
Utiliser un assistant IA pour reformuler un email ou résumer un document est devenu banal. Le réflexe à acquérir est de distinguer les cas où l’on manipule des données personnelles des cas où l’on ne le fait pas. Cette distinction change la nature de la précaution à prendre.
Ce que le RGPD encadre
Le RGPD s’applique dès qu’il y a traitement de données à caractère personnel : un nom, un email, un numéro de téléphone, un identifiant client. Saisir ces informations dans un outil externe constitue un transfert vers un tiers, qui doit reposer sur une base légale et des garanties appropriées. Ce n’est pas interdit par principe, mais cela ne s’improvise pas.
Les points d’attention habituels portent sur la finalité (pourquoi ces données sont-elles envoyées), la minimisation (n’envoie-t-on que le strict nécessaire), le lieu d’hébergement et la question de savoir si les données servent à entraîner le modèle.
Les réflexes à adopter
- Minimiser : retirer les éléments identifiants avant de soumettre un texte, quand la tâche ne les exige pas.
- Vérifier l’offre utilisée : les versions professionnelles précisent souvent la rétention et l’usage des données pour l’entraînement, contrairement à certaines versions grand public.
- Distinguer les usages : reformuler un texte générique n’a pas le même profil de risque que coller un fichier clients complet.
- Tracer les décisions : noter quels outils sont autorisés, pour quels usages, et le tenir à jour.
Version grand public ou version entreprise
Un même outil peut proposer des conditions très différentes selon l’offre. Les versions destinées aux entreprises encadrent généralement mieux la rétention et l’entraînement sur les données. Lire ces conditions avant de généraliser un usage évite bien des surprises. Il ne s’agit pas de désigner un outil comme dangereux et un autre comme sûr, mais de comprendre ce que chacun fait des données.
Le rôle de la visibilité
Un cadre RGPD n’a de valeur que s’il est appliqué. Or on ne peut appliquer une règle qu’à un usage que l’on voit. Cartographier les outils réellement utilisés est donc la première étape, avant même la rédaction d’une politique. La preuve de conformité, elle, repose sur des éléments datés : ce qui a été décidé, quand, et comment cela a été communiqué.
Ce contenu ne constitue pas un conseil juridique.
Découvrez ce que vos équipes envoient à l’IA — sans lire un mot des salariés.
Demander le Scan Safevero