ChatGPT est-il conforme au RGPD britannique ?
ChatGPT grand public n'est pas conforme au RGPD britannique en soi : dès que vous y saisissez une donnée personnelle, vous devenez responsable de traitement.
Non : ChatGPT grand public n'est pas « conforme au RGPD britannique » en soi. La conformité n'est pas une propriété de l'outil. C'est une propriété de la façon dont vous l'utilisez. Dès que vous entrez une donnée personnelle dans ChatGPT, c'est vous — ou votre organisation — qui décidez pourquoi et comment cette donnée est traitée. Vous devenez donc le responsable de traitement au sens du UK GDPR et du Data Protection Act 2018. C'est vous qui portez la responsabilité légale, pas OpenAI.
Pourquoi la conformité dépend de vous, pas de l'outil
Le UK GDPR est la version britannique du RGPD, après le Brexit. Le Data Protection Act 2018 (DPA 2018) est la loi britannique qui l'accompagne. Les deux fixent les règles quand vous traitez des données personnelles.
Voici le point clé. Quand vous collez le nom d'un client, un e-mail ou un dossier RH dans ChatGPT, vous traitez une donnée personnelle. Vous décidez du « pourquoi » et du « comment ». Cela fait de vous le responsable de traitement. Le régulateur britannique, l'Information Commissioner's Office (ICO), est clair là-dessus. Les obligations du UK GDPR s'appliquent en entier à l'IA. On ne peut pas les écarter au motif que l'IA est probabiliste ou opaque.
Concrètement, tout reste dû : base légale, loyauté, transparence, limitation des finalités, minimisation des données, exactitude et responsabilité (« accountability »). Ces principes valent pour tout traitement de données personnelles via un outil d'IA.
Ce que l'ICO attend : base légale, DPIA, transparence
Trois attentes reviennent sans cesse dans la guidance de l'ICO. Prenons-les une par une.
D'abord, la base légale. Chaque usage de données personnelles dans l'IA en demande une. L'ICO précise que la bonne base peut différer selon la phase. La phase d'entraînement du modèle et la phase de déploiement (le modèle qui tourne sur des données réelles) ne se traitent pas pareil. Vous devez identifier et documenter la base pour chaque activité.
Ensuite, le DPIA. Un DPIA est une analyse d'impact sur la protection des données. L'ICO indique que l'usage de l'IA sur des données personnelles est, dans la grande majorité des cas, un traitement à haut risque. Cela déclenche l'obligation légale de faire un DPIA au titre de l'Article 35. L'IA figure sur la liste ICO des technologies innovantes qui exigent un DPIA. Et si un risque élevé demeure malgré tout, vous devez consulter l'ICO avant de démarrer.
Enfin, la transparence. Quand vous collectez des données personnelles, les personnes doivent recevoir une information claire. En clair : la finalité et la base légale, dans un langage simple, avant que leurs données soient utilisées. En décembre 2024, l'ICO a publié sa réponse à une série de consultations sur l'IA générative, lancée en janvier 2024. Sa conclusion : l'intérêt légitime est sans doute la seule base viable pour collecter des données afin d'entraîner ces modèles (par exemple le web scraping). Mais c'est un test difficile à satisfaire. Et une transparence faible autour de l'entraînement pourrait devenir un terrain d'action pour le régulateur.
Grand public ou entreprise : la différence qui compte
Le UK GDPR (Article 28) exige un contrat écrit avec votre sous-traitant. OpenAI propose un Data Processing Addendum (DPA) et des clauses responsable/sous-traitant pour ses offres business : ChatGPT Business, ChatGPT Enterprise et l'API. Ce contrat vous aide à cocher l'exigence de l'Article 28.
L'expérience ChatGPT grand public, elle, ne fournit pas de DPA signé. Vous avez peu de contrôle sur la rétention, la localisation des données, et sur le fait que vos saisies servent ou non à améliorer les modèles. C'est pourquoi la guidance britannique traite l'usage de ChatGPT grand public pour de la donnée personnelle comme un cas à haut risque.
Le réglage d'entraînement creuse encore l'écart. Sur les offres personnelles (Free, Plus, Pro), vos conversations peuvent, par défaut, servir à améliorer les modèles. Sauf si vous coupez le réglage d'entraînement dans les paramètres. OpenAI indique ne pas entraîner sur les données business (Team, Enterprise, API), sauf accord explicite du client. Cette différence par défaut est au cœur des mises en garde contre le collage de données clients ou RH dans ChatGPT grand public.
| Vous pensez | La réalité (UK GDPR) |
|---|---|
| « ChatGPT est conforme au RGPD britannique » | L'outil ne l'est pas en soi — c'est votre usage qui l'est ou non |
| « OpenAI est responsable de mes données » | Vous devenez responsable de traitement dès la saisie |
| « Un compte grand public suffit au travail » | Pas de DPA signé, donc l'Article 28 n'est pas couvert |
| « Pas besoin de DPIA pour un simple chat » | L'IA sur données perso est traitée comme un haut risque → DPIA |
La parade : réduire le périmètre avant l'envoi
Il existe un levier simple, reconnu par la guidance britannique : la minimisation des données. Le principe est direct. N'entrez que la donnée personnelle strictement nécessaire. Et retirez ou anonymisez les identifiants avant d'envoyer le texte à une IA externe.
La logique est mécanique. Moins il y a de données personnelles qui quittent votre organisation, plus le périmètre traité rétrécit. Donc votre exposition au UK GDPR rétrécit aussi. Attention : la dé-identification n'est pas infaillible. Un risque résiduel de ré-identification peut subsister. Mais réduire à la source reste la mesure la plus efficace.
- N'envoyez que le strict nécessaire — pas le dossier complet.
- Anonymisez les noms, e-mails et identifiants avant l'envoi.
- Pour un usage pro régulier, préférez une offre business avec DPA signé.
- Documentez votre base légale et faites le DPIA quand l'ICO l'exige.
- 1Identifiez la donnée personnelle dans votre texte.
- 2Remplacez-la par des jetons réversibles côté navigateur.
- 3Envoyez seulement le texte anonymisé à l'IA.
- 4Restaurez les valeurs réelles dans la réponse, en local.
C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur, et seul un texte anonymisé atteint le modèle. ChatGPT n'y trouve que des jetons — pas les identités réelles. Vous réduisez ainsi le périmètre de données personnelles qui quitte votre organisation, ce que le UK GDPR et l'ICO attendent au titre de la minimisation.
Questions fréquentes
- ChatGPT est-il conforme au RGPD britannique ?
- Pas en soi. ChatGPT grand public n'est pas « conforme au UK GDPR » comme un produit ; la conformité dépend de votre usage. Dès que vous y entrez une donnée personnelle, vous devenez responsable de traitement au sens du UK GDPR et du Data Protection Act 2018. Vous portez alors les obligations : base légale, transparence, et souvent un DPIA.
- Ai-je besoin d'un DPIA pour utiliser ChatGPT avec des données personnelles ?
- Le plus souvent, oui. L'ICO indique que l'usage de l'IA sur des données personnelles est, dans la grande majorité des cas, un traitement à haut risque. Cela déclenche l'obligation de DPIA au titre de l'Article 35. Si un risque élevé subsiste, vous devez consulter l'ICO avant de démarrer.
- Un compte ChatGPT grand public suffit-il pour un usage professionnel ?
- Pour de la donnée personnelle, non. Le compte grand public ne fournit pas de DPA signé, exigé par l'Article 28 du UK GDPR, et vos saisies peuvent par défaut servir à l'entraînement. Les offres business (avec DPA) et l'anonymisation avant l'envoi réduisent le risque.
Sources et références
- ICO — Guidance on AI and data protection (application du UK GDPR à l'IA : base légale, transparence, loyauté, responsabilité) — Information Commissioner's Office (ICO)
- ICO — When do we need to do a DPIA? (l'IA et les technologies innovantes comme déclencheurs d'un DPIA obligatoire) — Information Commissioner's Office (ICO)
- Osborne Clarke — ICO updates its views on using personal data in generative AI in the UK (réponse à la consultation de décembre 2024, base légale et transparence) — Osborne Clarke LLP
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt