Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Sécurité 30 avril 2026 9 min de lecture

ChatGPT en entreprise : risques réels, cas documentés et alternatives souveraines

ChatGPT est aujourd'hui l'outil le plus utilisé par les salariés sans validation de la DSI. 72 % des employés avouent y envoyer des informations professionnelles. Ce que peu d'entreprises réalisent : chaque prompt envoyé à ChatGPT transite vers des serveurs américains soumis au Cloud Act, peut être utilisé pour entraîner les modèles d'OpenAI, et constitue potentiellement une violation du RGPD. Voici ce que vous risquez réellement — et comment y remédier.

Ce qu'il faut retenir

  • ChatGPT est soumis au Cloud Act : toute donnée envoyée peut être saisie par la justice américaine
  • OpenAI peut utiliser vos prompts pour entraîner ses modèles (sauf opt-out explicite)
  • La CNIL a ouvert une enquête sur OpenAI en 2023 ; plusieurs autorités EU ont sanctionné ChatGPT
  • ChatGPT Enterprise réduit certains risques mais ne résout pas le Cloud Act structurellement

L'affaire Samsung : le cas d'école

En avril 2023, Samsung Electronics a subi trois incidents de fuite de données via ChatGPT en moins d'un mois. Des ingénieurs avaient collé du code source propriétaire pour le déboguer, partagé des notes de réunions confidentielles pour en faire des comptes-rendus, et soumis des données internes pour analyse. Samsung a immédiatement interdit ChatGPT en interne — mais les données étaient déjà parties.

Ce cas n'est pas isolé. Amazon, Apple, JPMorgan Chase, Goldman Sachs et la Deutsche Bank ont tous émis des restrictions ou interdictions totales de ChatGPT pour leurs salariés. Ces entreprises ont en commun d'avoir évalué sérieusement les risques légaux et de réputation.

72%des salariés envoient des infos pro dans des IA non autorisées
3fuites Samsung en moins d'un mois (2023)
20M€Amende RGPD max pour violation de données (4% CA)
0Notification si vos données sont saisies par la justice US

ChatGPT et le Cloud Act

OpenAI est une entreprise américaine dont les serveurs sont majoritairement hébergés chez Microsoft Azure (aux États-Unis et en Europe). À ce titre, OpenAI est intégralement soumis au Cloud Act américain : sur injonction des autorités américaines, OpenAI peut être contraint de remettre toutes les données qui lui sont confiées — y compris vos prompts et les réponses générées.

Concrètement : si votre entreprise est impliquée dans un litige commercial aux États-Unis, si vous êtes concurrent d'une entreprise américaine qui fait l'objet d'une enquête, ou si vos données présentent un intérêt pour le renseignement économique américain, elles sont potentiellement accessibles à des tiers sans que vous en soyez informé.

Le cas des professions réglementées

Avocats, médecins, notaires, experts-comptables : envoyer des données couvertes par le secret professionnel dans ChatGPT constitue potentiellement une violation pénale. La confidentialité professionnelle n'a pas de frontière géographique — transmettre ces données à un tiers non autorisé, même un outil IA, rompt le secret.

ChatGPT viole-t-il le RGPD ?

Plusieurs autorités européennes ont conclu que ChatGPT présente des incompatibilités sérieuses avec le RGPD :

  • Italie (mars 2023) : L'autorité Garante a temporairement banni ChatGPT, estimant qu'OpenAI collectait des données sans base légale valide et sans mécanisme de rectification pour les données incorrectes.
  • Pologne : La UODO a ouvert une procédure après des plaintes similaires.
  • France : La CNIL a reçu plusieurs plaintes et lancé une investigation en 2023.
  • CEPD (niveau européen) : Une task force dédiée coordonne les enquêtes nationales.

Les problèmes identifiés sont structurels : absence de base légale claire pour le traitement des données d'entraînement, impossibilité d'exercer le droit d'accès ou de rectification sur les données incorporées dans le modèle, et transferts vers les États-Unis sans garanties suffisantes au sens du RGPD.

Vos données servent-elles à entraîner ChatGPT ?

Par défaut, OpenAI indique dans ses conditions d'utilisation que les conversations peuvent être utilisées pour améliorer ses modèles. Un opt-out est disponible dans les paramètres du compte — mais il n'est pas activé par défaut, et de nombreux utilisateurs ne le connaissent pas.

Pour ChatGPT Enterprise et l'API OpenAI, OpenAI affirme contractuellement ne pas utiliser les données pour l'entraînement. Mais cette garantie contractuelle ne résout pas le Cloud Act : le fait qu'OpenAI s'engage à ne pas utiliser vos données ne signifie pas que la justice américaine ne peut pas les demander.

Position de la CNIL et recommandations

La CNIL a publié des recommandations claires pour les entreprises utilisant des outils d'IA générative :

  • Réaliser une analyse d'impact (AIPD) avant tout déploiement de ChatGPT en contexte professionnel avec des données personnelles
  • Ne jamais soumettre de données sensibles (santé, judiciaire, financières, RH) à des LLM publics
  • Documenter la base légale du traitement et informer les personnes concernées
  • Préférer des solutions hébergées en Europe avec contrat DPA conforme au RGPD

ChatGPT Enterprise suffit-il à protéger l'entreprise ?

ChatGPT Enterprise apporte des améliorations réelles : désactivation de l'entraînement sur les données, chiffrement, contrôles administrateurs, SSO. Pour un usage avec des données faiblement sensibles, c'est acceptable.

Mais ChatGPT Enterprise ne résout pas les problèmes structurels :

  • OpenAI reste une entité américaine soumise au Cloud Act
  • Les données transitent toujours vers des serveurs américains (ou Azure EU — lui-même soumis au Cloud Act)
  • En cas de conflit légal US impliquant OpenAI ou Microsoft, vos données restent accessibles
  • Pas de certification SecNumCloud, HDS, ou équivalent européen

Pour les données vraiment sensibles — propriété intellectuelle, stratégie M&A, données RH, données patients — ChatGPT Enterprise ne suffit pas.

Les alternatives souveraines à ChatGPT

Le marché des LLM souverains a considérablement mûri. Plusieurs options permettent de bénéficier des capacités de l'IA générative sans exposer ses données :

SolutionHébergementCloud ActConformité EU
ChatGPT (gratuit)USAOui, totalNon
ChatGPT EnterpriseUSA / Azure EUOui, structurelPartielle
Mistral Le Chat ProFranceNonOui (RGPD)
LLM on-premise (Mistral, LLaMA)Vos serveursNonTotale
IA souveraine (Intelligence Privée)France certifiéNonTotale (HDS, ISO 27001)

Pour une entreprise qui traite des données sensibles, la seule option garantissant l'absence totale d'exposition au Cloud Act est un LLM déployé sur une infrastructure sans entité américaine dans la chaîne : soit on-premise, soit chez un hébergeur souverain français certifié.

L'alternative à ChatGPT pour votre entreprise

Intelligence Privée déploie des modèles LLM français (ELODIE, KEVINA 32B) sur votre infrastructure ou en cloud souverain. Même expérience que ChatGPT, zéro exposition au Cloud Act.

Voir une démo →

Questions fréquentes

Puis-je utiliser ChatGPT pour des données non personnelles ?

Si les données ne contiennent aucune information personnelle identifiable et aucun secret commercial, le risque RGPD est limité. Le risque Cloud Act reste présent pour tout secret d'affaires — les autorités US peuvent cibler des données non personnelles dans le cadre d'enquêtes commerciales ou antitrust.

ChatGPT est-il interdit par le RGPD ?

Pas interdit formellement, mais des enquêtes sont en cours dans plusieurs pays EU. L'Italie l'a temporairement suspendu en 2023. L'utilisation en contexte professionnel avec des données personnelles requiert une AIPD et des garanties contractuelles.

La version payante de ChatGPT est-elle plus sûre ?

ChatGPT Plus n'apporte pas de garanties supplémentaires pour les entreprises. ChatGPT Enterprise offre des protections contractuelles sur l'entraînement, mais ne résout pas l'exposition structurelle au Cloud Act.

Continuer la lecture

Sécurité

Fuite de données via les IA publiques

ChatGPT, Copilot exposent vos données. Cas Samsung, Cloud Act, solutions.

8 min
Conformité & Droit

Cloud Act : vos données sont-elles exposées ?

Le Cloud Act autorise les autorités US à accéder à vos données chez AWS, Azure ou OpenAI.

9 min
Sécurité

Shadow AI : risques et gouvernance

72% des salariés utilisent des outils IA non autorisés. Comment gérer.

7 min