IA et RGPD : ce que les entreprises doivent absolument savoir

Si l’IA séduit autant, c’est parce qu’elle permet de gagner du temps sur des tâches très concrètes. Elle synthétise, reformule, propose des structures de texte. Elle apporte une clarté immédiate. Mais l’outil ne connaît ni le contexte, ni l’entreprise, ni la nature sensible de la donnée. Il ne sait pas qu’un document interne doit rester interne. Il répond à ce qu’on lui donne, sans distinction entre un texte public et un contenu confidentiel. Ce décalage crée un risque invisible : celui de transmettre, sans le vouloir, une information qui n’aurait jamais dû quitter le périmètre de l’entreprise. Parce qu’un copier-coller ne prend en effet qu’une seconde, on peut facilement en sous-estimer les conséquences. Pourtant, chaque texte envoyé dans une IA est potentiellement traité hors de l’Union européenne, sans base contractuelle valable au regard du RGPD.

Et ce qui vaut pour la donnée personnelle vaut aussi pour la donnée stratégique, qui relève souvent de la confidentialité commerciale ou interne.

Ce qui est réellement en jeu : comprendre les risques pour mieux les maîtriser

Données personnelles, données sensibles et informations stratégiques : trois réalités à ne jamais mélanger

Lors des sessions de formation que nous animons auprès de cabinets d’avocats (Advocare, Fidantzia), d’entreprises comme Transaxio Hôtel ou de services RH, un élément essentiel est débattu : l’IA traiterait toutes les informations de la même manière. C’est en partie vrai… et c’est précisément là que réside le risque d’une rupture de confidentialité.

Les données personnelles « simples » (nom, prénom, email, identifiant interne) ne posent pas le même enjeu que les données sensibles au sens strict du RGPD, c’est-à-dire celles qui demandent une vigilance maximale. On y retrouve les informations relatives à la santé, à la situation pénale, à l’origine, aux opinions, aux adhésions syndicales, à des situations familiales particulières, ou encore à une procédure disciplinaire en cours. Du côté des entreprises, une autre catégorie revient quotidiennement : les informations stratégiques, qui ne relèvent pas juridiquement du RGPD mais ont une valeur critique pour la structure. Cela inclut un bilan, un prévisionnel, un plan de développement, une clause contractuelle interne, une discussion de négociation, ou encore des informations techniques propres à une activité. Dans des secteurs comme l’hôtellerie, la finance, l’immobilier ou le conseil, ces données valent parfois bien plus qu’un fichier RH. Ce qui inquiète les professionnels formés n’est pas seulement la nature de la donnée, mais la manière dont elle circule. Car l’IA, elle, ne fait aucune distinction. Elle reçoit un texte brut, sans comprendre qu’une phrase contient un arrêt maladie, qu’une autre évoque un redressement fiscal ou qu’un fichier attaché détaille une stratégie d’acquisition. Pour elle, tout est simplement un contenu à analyser, sans considération de confidentialité.

Et c’est précisément pour cela que l’effort d’analyse doit être fait en amont, par l’utilisateur. L’outil ne filtre rien. La vigilance relève de la responsabilité de l’entreprise.

L’absence de contrat de traitement : un point aveugle qui expose l’entreprise

Un autre sujet, souvent méconnu des équipes les plus rigoureuses, tient à un point juridique pourtant fondamental : Le Chat de Mistral ou ChatGPT ne sont pas des sous-traitants au sens du RGPD.

Dans le fonctionnement classique d’un logiciel utilisé par une entreprise, la relation est encadrée par un contrat de traitement des données (DPA) qui précise :

  • quelles données sont traitées ;
  • dans quel périmètre ;
  • avec quelles garanties ;
  • selon quelles obligations de sécurité.

Avec ChatGPT et la majorité des IA génératives généralistes actuelles, ce cadre n’existe pas. Cela signifie très simplement que toute donnée personnelle transmise dans le modèle peut être considérée comme un transfert hors UE, sans base légale valide. Même si l’usage paraît anodin, même s’il s’agit d’un court extrait inséré pour “améliorer une formulation”, même si la donnée n’est visible que quelques secondes. Techniquement et juridiquement, une fois la donnée envoyée, elle quitte le périmètre contrôlé par l’entreprise. Et dans certains cas, le risque n’est pas seulement réglementaire : il est aussi déontologique, commercial ou stratégique.

Ce vide contractuel ne signifie pas qu’il faut renoncer à l’IA, mais qu’il est indispensable de l’utiliser en connaissance de cause, avec des règles très simples qui protègent l’organisation, ses clients et ses salariés.

Cas concret (tentation fréquente) Acceptable ? Point de risque identifié
Reformuler un mail interne neutre (organisation, calendrier, logistique). Oui, si anonymisé Retirer tout nom, date sensible ou information identifiable avant envoi.
Demander à l’IA d’améliorer une explication destinée à un client. Oui, avec prudence Ne jamais transmettre de données personnelles, de contrats, de plaintes ou d’historique client.
Faire reformuler un arrêt maladie, une absence, un congé maternité/paternité. Non Donnée de santé / donnée personnelle sensible → interdite dans une IA généraliste.
Préparer un résumé d’un dossier juridique en cours pour “clarifier la rédaction”. Non Secret professionnel, stratégie juridique, faits identifiables → risque déontologique et RGPD majeur.
Demander à l’IA de vulgariser une jurisprudence complexe. Oui, si texte public Ne jamais envoyer d’extrait de dossier, de noms, de pièces ; vérifier que l’IA ne “fabrique” pas de faux arrêts.
Faire relire un extrait de CV, de paie, d’entretien annuel ou d’échange disciplinaire. Non Contient systématiquement des données personnelles / RH strictement confidentielles.
Demander à l’IA de résumer un prévisionnel, une analyse financière ou une stratégie commerciale. Non Donnée stratégique interne → risque concurrentiel et perte de maîtrise de l’information.
Envoyer une page de notes personnelles sans noms, pour demander une structuration. Oui Contenu acceptable si aucune donnée personnelle, confidentielle ou stratégique n’a été laissée.
Utiliser l’IA pour améliorer un post LinkedIn juridique. Oui, si contenu générique Jamais de dossiers, décisions internes, communications clients ou avis juridiques confidentiels.

Sur le terrain : des erreurs fréquentes, parfois commises sans avoir conscience des enjeux de confidentialité

Dans les cabinets d’avocats : l’arbitrage entre exigence juridique et gain de temps

Dans les formations que nous menons auprès d’avocats, une tentation revient souvent : gagner quelques minutes en demandant à l’IA de reformuler une analyse, de résumer un arrêt ou de clarifier un passage complexe. L’intérêt est compréhensible : le quotidien d’un cabinet est dense, rythmé, souvent sous pression. Mais c’est précisément dans ce contexte que l’usage de l’IA peut devenir problématique.

La première limite, évidente mais pourtant largement méconnue, tient à la fiabilité juridique. Une IA généraliste ne possède pas un accès structuré et garanti à la jurisprudence, ni aux bases de données juridiques auxquelles les professionnels sont abonnés. Elle ne distingue pas un arrêt majeur d’une décision de portée limitée, n’intègre pas les mises à jour récentes et peut produire des analyses reposant sur des textes dépassés. Dans certains cas, elle invente même des décisions, mélange des références ou attribue un sens erroné à un extrait réel.

Mais au-delà de l’erreur, le risque véritable se situe ailleurs. Un dossier en cours contient toujours des éléments qui, pour un cabinet, relèvent du secret professionnel : des faits précis, des stratégies envisagées, des positions juridiques en construction, des documents internes, des dates, des noms, des hypothèses encore non arbitrées. Ce sont ces éléments qui donnent sa substance à une analyse juridique et ce sont précisément ceux que l’on ne peut jamais transmettre à une IA généraliste.

Dès qu’un avocat copie-colle un extrait “pour reformulation”, il peut (parfois sans en avoir conscience) transmettre :

  • la qualification juridique envisagée,
  • une chronologie de faits,
  • une stratégie de défense ou d’attaque,
  • une référence à un point fragile du dossier,
  • une indication permettant d’identifier un client ou un tiers,
  • un extrait de pièce, même très court.

Ces éléments ne relèvent pas seulement du RGPD. Ils relèvent de la confidentialité absolue, de la responsabilité professionnelle et de la déontologie. C’est pourquoi un contenu juridique réellement fiable ne peut jamais être produit sans s’appuyer sur la pratique réelle du cabinet : ses dossiers, sa jurisprudence interne, sa vision du droit, sa façon d’exercer. Or cette matière, par nature sensible, ne doit à aucun moment transiter par une IA généraliste.

Bien utilisée, l’IA peut aider à structurer une pensée ou à clarifier une explication destinée à un client.

Mal utilisée, elle peut exposer une information stratégique, altérer une analyse ou produire une note qui semble crédible mais repose sur une jurisprudence inexistante.

Et dans un métier où chaque mot engage une responsabilité, cette nuance est absolument centrale.

Dans les services RH : des données personnelles qui exigent une vigilance absolue

Les services RH collectent et traitent chaque jour des informations d’une sensibilité extrême, dont l’IA peut fragiliser la confidentialité. Certaines données relèvent du cœur même de la vie privée : un congé maternité, un arrêt maladie, une demande d’aménagement de poste, une situation familiale complexe, une procédure disciplinaire, une difficulté ponctuelle confiée au service RH, un différend en cours, un changement de rémunération…

Ce sont précisément les informations qui ne doivent jamais quitter l’environnement interne. Et pourtant, dans le rythme soutenu du quotidien, il peut sembler tentant de copier-coller un extrait “pour clarifier un mail”, “rendre un message plus neutre” ou “expliquer une situation délicate”. C’est précisément dans ces moments que se joue l’essentiel : une seule phrase contenant une donnée de santé, un motif d’absence, une tension interne ou une mention implicite de situation familiale suffit à créer une violation du RGPD. Et au-delà de la réglementation, c’est la relation de confiance avec les salariés qui est en jeu.

Car toute donnée RH transmise à une IA sort du périmètre de maîtrise de l’entreprise, même si son volume est minime ou si l’intention était uniquement de gagner du temps.

Dans les structures à données stratégiques : la nécessité d’un cadre avant toute utilisation de l’IA

Certaines organisations ne manipulent pas toujours des données sensibles au sens strict du RGPD, mais gèrent quotidiennement des informations qui constituent un véritable capital stratégique : éléments financiers internes, analyses d’exploitation, orientations d’investissement, clauses contractuelles, bilans d’activité ou projections. Ce sont des données qui dessinent l’avenir de l’entreprise, structurent ses décisions et conditionnent ses négociations.

Lorsque nous sommes intervenus au profit de l’équipe de Transaxio Hôtel, la démarche était justement exemplaire :  mettre en place un cadre clair avant d’autoriser les usages individuels de l’IA. L’objectif n’était pas de corriger une pratique risquée, mais au contraire d’éviter qu’elle n’apparaisse. Les équipes souhaitaient comprendre ce qui peut être transmis, ce qui doit rester en interne et comment utiliser l’IA de manière pragmatique, sans mettre en péril la confidentialité ou la valeur de ces informations. Dans ce type de structures, l’enjeu dépasse la conformité réglementaire. Une donnée stratégique, même neutre en apparence, peut révéler beaucoup : une tendance financière, une orientation de marché, une estimation d’actif ou une hypothèse de négociation. L’exposer dans une IA revient à la sortir instantanément du périmètre maîtrisé de l’entreprise, sans possibilité de retour en arrière.

C’est précisément là que se situe la prudence : non pas dans la crainte de l’outil, mais dans la compréhension lucide de ce qu’une information stratégique représente pour la structure, et de ce que son exposition pourrait induire. L’enjeu n’est pas uniquement juridique, il est aussi économique, concurrentiel et opérationnel.

Travailler sereinement avec l’IA : poser un cadre simple et partagé

Utiliser l’IA de manière sereine ne repose pas sur une accumulation de règles complexes, mais sur une distinction simple : ce qui peut être partagé sans risque, et ce qui doit absolument rester dans l’environnement interne de l’entreprise. Cela implique de retirer les éléments identifiants, d’anonymiser les données sensibles, de travailler sur des extraits neutres ou sur des versions réécrites à froid, débarrassées de tout élément confidentiel. L’objectif n’est pas de limiter l’outil, mais de l’utiliser sans exposer la structure, ses clients ou ses salariés.

Ce discernement gagne en efficacité lorsqu’il s’inscrit dans un cadre partagé. Un manuel interne, même très concis, apporte immédiatement de la clarté : il précise ce qui ne doit jamais être envoyé, rappelle les principes d’anonymisation, structure les bonnes pratiques et formalise le rôle de l’humain dans la validation. Il sert autant de repère que de protection, pour l’entreprise comme pour les collaborateurs qui utilisent l’IA au quotidien. Car, au-delà de toute règle technique, un principe demeure constant : l’IA propose, mais l’humain décide. Ce sont les équipes qui vérifient, ajustent, confirment et engagent leur responsabilité. Dans les organisations qui manipulent des données sensibles ou stratégiques, cette distinction est essentielle. Elle garantit que l’IA reste un outil d’appui, jamais un espace de dépôt pour des informations qui n’auraient jamais dû quitter le périmètre interne.

Conclusion : maîtriser l’outil, protéger les données, renforcer le métier

L’intelligence artificielle ne met pas en péril la confidentialité lorsqu’elle est utilisée avec discipline. Elle devient au contraire un appui précieux pour clarifier, structurer, organiser et soulager le quotidien.

Le véritable enjeu n’est ainsi pas la technologie, mais la manière dont elle s’intègre dans la pratique professionnelle. L’agence Iltze accompagne les entreprises, cabinets et équipes RH qui souhaitent utiliser l’IA sans se mettre en risque. Notre rôle est d’apporter un cadre, du discernement et une méthode, pour que l’IA soutienne le métier sans jamais en compromettre l’exigence.

Avec une approche adaptée et un usage éclairé, elle devient un levier de qualité, et non un danger pour la confidentialité.