Fondamentaux6 min de lecture

Confidentialité de l'IA pour les petites entreprises : le playbook

Non, être petit ne dispense pas du RGPD. Un playbook en 5 étapes pour que votre TPE-PME utilise l'IA sans exposer ses données.

Par Pierre de ONYRI

Oui, une petite entreprise peut utiliser l'IA sans danger. Mais la taille ne dispense de rien. Le RGPD s'applique à toute organisation, du travailleur indépendant au grand groupe. Coller un client, un salarié ou un chiffre financier dans un ChatGPT grand public expose des données personnelles. La bonne nouvelle : c'est gérable. Il suffit d'un playbook simple. Écrire une règle d'usage. Cartographier ce qui est sensible. Préférer une offre professionnelle. Anonymiser avant l'envoi. Former l'équipe. L'ICO le dit clairement : la conformité relève souvent du bon sens.

Petit ne veut pas dire exempté

« On est trop petits pour être concernés. » C'est faux. Le droit de la protection des données s'applique dès qu'on collecte des données personnelles. L'ICO, l'autorité britannique de la protection des données, le dit sans détour aux petites structures. Si vous détenez les coordonnées de clients ou de salariés, les règles vous concernent presque à coup sûr.

Le RGPD prévoit bien un allègement sous 250 salariés. Mais il est étroit. L'article 30(5) ne dispense que d'une chose : tenir un registre formel des activités de traitement. Et même cet allègement saute si le traitement est régulier, risqué, ou porte sur des données sensibles. En pratique, un CRM, une paie ou une boutique en ligne traitent des données en continu. L'allègement ne joue donc presque jamais. Il ne touche jamais les obligations de fond.

Aux États-Unis non plus, la taille ne protège pas. Le CCPA, la loi californienne sur la vie privée, s'applique aux entreprises à but lucratif dès qu'elles franchissent un seuil. Par exemple un chiffre d'affaires d'environ 25 millions de dollars, relevé chaque année pour l'inflation. Ou les données de 100 000 Californiens par an. Ou la moitié des revenus tirée de la vente de données. Beaucoup de très petites structures restent sous ces seuils. Le message n'est pas « le CCPA vise tout le monde ». C'est « petit ne veut pas dire exempté ».

L'ICO insiste sur un point rassurant. La conformité est atteignable, pas écrasante. Beaucoup de petites entreprises font déjà l'essentiel : mots de passe solides, documents sensibles détruits. Au Royaume-Uni, la plupart ne paient qu'une redevance annuelle modeste à l'ICO, de l'ordre de 52 à 78 livres. Les grandes structures, elles, paient 3 763 livres. C'est une redevance britannique, pas une amende ni un seuil du RGPD.

Le playbook en 5 étapes

Voici la colonne vertébrale. Cinq étapes, dans l'ordre, même sans responsable dédié à la confidentialité. Chacune est faisable en une après-midi.

  1. 1Écrivez une courte règle d'usage de l'IA : ce qu'on peut coller, ce qu'on ne peut pas.
  2. 2Cartographiez ce qui est sensible chez vous : données clients, dossiers du personnel, finances, secrets techniques.
  3. 3Préférez une offre professionnelle qui exclut l'entraînement par contrat — mais vérifiez les conditions, ne supposez rien.
  4. 4Anonymisez les données sensibles avant tout prompt : le contrôle qui marche avec n'importe quel outil.
  5. 5Formez l'équipe et rendez la voie sûre la plus simple.

Ce qui compte comme sensible

L'étape 2 mérite un mot. Les données du quotidien sont déjà des données personnelles. Noms de clients et de salariés. Adresses e-mail et postales. Numéros de téléphone. Coordonnées de paiement. Donc l'info banale collée dans l'IA pour un e-mail ou une question de paie entre pleinement dans le champ. Chaque famille ci-dessous mérite sa propre vigilance.

  • Données clients : noms, e-mails, historiques d'achat, tickets de support.
  • Dossiers du personnel : contrats, salaires, entretiens RH.
  • Finances : factures, relevés, marges, prévisions.
  • Secrets techniques : clés API, mots de passe, jetons d'accès.
Idée reçueLa réalité
« On est trop petits pour le RGPD »Le RGPD s'applique à toute taille, dès la première donnée personnelle
« L'allègement sous 250 salariés nous couvre »L'article 30(5) ne touche qu'un registre, et saute pour un traitement régulier
« Une offre grand public suffit »La CNIL conseille une offre pro qui ne réutilise pas vos saisies
« Anonymiser, c'est trop technique »Un outil le fait au moment du prompt, avec n'importe quelle IA
Petit ne veut pas dire exempté — mais la mise en conformité reste à votre portée.

Le contrôle qui marche avec n'importe quel outil

L'étape 4 est le cœur du playbook. Anonymiser, c'est appliquer un principe simple du RGPD : la minimisation. L'ICO le résume bien. Minimiser ne veut pas dire « ne traiter aucune donnée ». Cela veut dire ne traiter que les données dont vous avez réellement besoin. Une IA qui explique un contrat n'a pas besoin du vrai nom du client.

L'ICO rappelle aussi une évidence. Les obligations du RGPD s'appliquent pleinement à l'IA. Base légale, limitation des finalités, exactitude, responsabilité. Rien ne s'efface parce qu'une IA est dans la boucle. Anonymiser avant l'envoi honore ces règles sans ralentir l'équipe.

Schéma en étoile : à gauche, une boutique alimente trois flux ambre — une carte client, une carte employé, une carte finance, toutes exposées. Au centre, un nœud anonymiseur reçoit les trois flux et les convertit en un seul flux cobalt. À droite, une carte IA ne reçoit que des jetons cobalt empilés et une coche. Trois entrées, un anonymiseur, une sortie sûre.
D'après la guidance de l'ICO pour les petites structures et sur la minimisation des données dans l'IA, et les fiches TPE-PME de la CNIL.

En pratique, la méthode tient en quatre gestes. Repérez les données sensibles. Remplacez-les par des jetons réversibles. N'envoyez que le texte anonymisé. Restaurez les vraies valeurs dans la réponse, en local. La voie sûre devient la voie la plus simple.

C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles — client, salarié, finances, clés API — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. Votre équipe garde la vitesse de l'IA. Et vos données sensibles ne quittent jamais le navigateur, du nom du client à la clé API.

Questions fréquentes

Une petite entreprise peut-elle utiliser l'IA sans risque pour la confidentialité ?
Oui, à condition d'un cadre simple. La taille ne dispense de rien : le RGPD s'applique dès la première donnée personnelle. Écrivez une règle d'usage, repérez ce qui est sensible, préférez une offre professionnelle, anonymisez avant l'envoi, formez l'équipe. L'ICO rappelle que la conformité relève souvent du bon sens.
Le RGPD s'applique-t-il vraiment aux TPE-PME ?
Oui. Le RGPD s'applique à toute organisation, quelle que soit sa taille. L'allègement sous 250 salariés de l'article 30(5) est étroit. Il ne dispense que d'un registre formel, et saute pour un traitement régulier ou risqué. En pratique, un CRM ou une paie traite des données en continu. Les obligations de fond restent entières.
Comment utiliser l'IA sans exposer les données de mes clients ?
Anonymisez avant l'envoi. C'est la minimisation des données recommandée par l'ICO, appliquée au moment du prompt. Remplacez noms, e-mails, montants et clés par des jetons réversibles. L'IA raisonne sur la structure, sans voir les vraies valeurs. Vous restaurez les données ensuite, en local.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi