Guide7 min de lecture

Peut-on confier des données clients à ChatGPT sans risque ?

Non, pas en version grand public : les données clients sont des données personnelles et leur saisie engage votre responsabilité RGPD. Ce qui réduit le risque.

Par Pierre de ONYRI

Non : coller des données clients (noms, e-mails, téléphones, adresses, historiques d'achat, tickets de support) dans la version grand public de ChatGPT n'est pas sûr du point de vue de la conformité. Ces informations sont des données personnelles, et le simple fait de les saisir engage la responsabilité de votre entreprise au titre du RGPD — vous restez responsable de traitement, même si un fournisseur tiers traite ensuite les données. Le réflexe de prudence : ne jamais y verser de données clients identifiables, ou les anonymiser au préalable. Deux voies réduisent le risque sans renoncer à l'outil — les anonymiser côté utilisateur, ou passer par une offre entreprise contractualisée.

Pourquoi des données clients dans ChatGPT, c'est un problème RGPD

Dès qu'une donnée permet d'identifier une personne — un nom, un e-mail, un numéro de téléphone, l'historique d'un compte — c'est une donnée personnelle. L'entreprise qui décide de la saisir dans un outil d'IA reste responsable de traitement : elle demeure légalement comptable de l'usage qui en est fait, et supporte la responsabilité juridique si l'outil mésuse l'information. Or transférer ces données vers un fournisseur d'IA sans base légale viole le RGPD. Le consentement est rarement disponible — vos clients n'ont généralement pas accepté ce transfert — et les personnes concernées doivent être informées au titre des articles 13 et 14. La CNIL, dans ses recommandations de février 2025, précise qu'en principe les personnes doivent être informées lorsque leurs données alimentent un modèle d'IA.

Grand public vs entreprise : la différence qui change tout

Le risque n'est pas le même selon l'offre. Par défaut, OpenAI peut réutiliser les conversations de la version grand public de ChatGPT pour entraîner ses modèles, sauf si vous vous désinscrivez (opt-out). À l'inverse, les offres entreprise/business et l'API n'utilisent pas par défaut les entrées et sorties pour l'entraînement, et conservent les données de l'API environ 30 jours avant suppression (sauf obligation légale). C'est ce que détaillent les pages OpenAI « Enterprise privacy » et le centre d'aide « How your data is used to improve model performance ». Pour un usage conforme avec des données personnelles, on attend aussi un accord de traitement (DPA) et un encadrement des transferts — absents d'un simple compte grand public utilisé sans contrat.

CritèreChatGPT grand publicOffre entreprise / API contractualisée
Réutilisation pour l'entraînementOui par défaut (sauf opt-out)Non par défaut
Accord de traitement (DPA)Absent sans contratPrévu
RétentionVariable, peu encadréeAPI ~30 jours puis suppression
Encadrement des transferts hors UENon négociéSCC / DPA en place
D'après les pages OpenAI « Enterprise privacy » et le centre d'aide « How your data is used to improve model performance ».

Les risques concrets : amende, fuite, perte de confiance

Ce ne sont pas des risques théoriques. Le 20 décembre 2024, l'autorité italienne de protection des données (Garante) a infligé une amende de 15 millions d'euros à OpenAI, lui reprochant d'avoir utilisé des données personnelles pour entraîner ChatGPT sans base légale adéquate, d'avoir violé le principe de transparence et l'obligation d'information, l'absence d'un dispositif de vérification d'âge approprié, et le défaut de notification d'une violation de données survenue le 20 mars 2023 (OpenAI a annoncé faire appel). L'EDPB, dans son opinion 28/2024 adoptée en décembre 2024, rappelle d'ailleurs qu'il incombe aux responsables de traitement de gérer correctement les risques liés à l'IA générative sur tout le cycle de vie, et fournit un test en trois étapes pour évaluer si l'intérêt légitime peut servir de base légale.

  • Sanction financière : la violation du RGPD expose à des amendes — l'affaire Garante en est l'illustration chiffrée.
  • Fuite technique : aucun service en ligne n'est à l'abri. Le 20 mars 2023, un bug de la bibliothèque open source redis-py a permis à des utilisateurs de voir des titres de conversations d'autrui et a exposé, pour environ 1,2 % des abonnés ChatGPT Plus actifs sur une fenêtre donnée, des données de paiement (nom, e-mail, adresse de facturation, quatre derniers chiffres et expiration de carte).
  • Fuite interne : en mars 2023, peu après avoir autorisé ChatGPT, Samsung a constaté au moins trois cas de fuite d'informations internes par ses employés — code source collé pour déboguer, notes de réunion confidentielles, optimisation d'une séquence de test — ce qui l'a conduit à restreindre l'outil.
  • Perte de confiance : au-delà de l'amende, l'exposition de données clients abîme durablement la relation et la réputation.
Schéma : en haut, une fiche client (nom, e-mail, téléphone en ambre) est collée telle quelle dans ChatGPT et arrive lisible chez le fournisseur (donnée exposée) ; en bas, la même fiche passe par une anonymisation qui remplace les valeurs par des jetons cobalt avec une coche, et seul le texte neutralisé atteint l'IA.
D'après l'EDPB (opinion 28/2024), CIO Dive et The Hacker News ; offres OpenAI « Enterprise privacy » et politique de transferts (DPA, SCC / Data Privacy Framework) citées par leur nom.

Les deux parades qui réduisent vraiment le risque

Renoncer à l'IA n'est pas la seule option. Deux voies permettent de l'utiliser sur des cas clients tout en maîtrisant le risque, et elles peuvent se combiner :

  1. 1Anonymiser ou pseudonymiser les données clients avant l'envoi — remplacer les identifiants par des jetons réversibles côté utilisateur, de sorte que les valeurs réelles ne quittent jamais l'environnement contrôlé. L'IA ne voit que des jetons.
  2. 2Passer par une offre entreprise contractualisée — DPA signé, clauses contractuelles types (SCC), non-réutilisation pour l'entraînement, rétention limitée — plutôt qu'un compte grand public sans cadre.
  3. 3Dès qu'on intègre systématiquement ChatGPT à des processus impliquant des données personnelles, mener une analyse d'impact (AIPD/DPIA), très probablement requise.

Sur les transferts hors UE, ce cadrage compte aussi : les données saisies dans ChatGPT peuvent être transférées vers les États-Unis. OpenAI déclare encadrer ces transferts par des clauses contractuelles types (SCC) ou s'appuyer sur la décision d'adéquation du Data Privacy Framework (juillet 2023) — éléments décrits dans son Data Processing Addendum, mais qui supposent un contrat, pas un simple compte grand public.

C'est exactement le rôle d'ONYRI Sanitize sur la première parade : le moteur repère les noms, e-mails, téléphones et autres identifiants et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping jeton↔valeur restent dans votre navigateur — seul un texte anonymisé atteint l'outil. Ce que ChatGPT reçoit, journalise ou réutilise ne contient alors que des jetons, jamais les données réelles de vos clients.

Questions fréquentes

Peut-on mettre des données clients dans ChatGPT sans risque ?
Non, pas dans la version grand public. Les données clients (noms, e-mails, téléphones, historiques) sont des données personnelles : les saisir engage votre responsabilité RGPD en tant que responsable de traitement, sans base légale ni information des personnes. Le réflexe sûr est de ne jamais y verser de données identifiables, ou de les anonymiser avant l'envoi.
Mon entreprise est-elle responsable si OpenAI mésuse les données ?
Oui. En décidant de saisir des données clients dans l'outil, votre entreprise reste responsable de traitement et demeure légalement comptable de leur usage, même quand un fournisseur tiers les traite. La responsabilité juridique vous incombe si l'outil mésuse l'information.
Comment utiliser l'IA sur des données clients en restant conforme ?
Deux voies, combinables : anonymiser les données avant l'envoi (jetons réversibles côté utilisateur, les vraies valeurs ne quittent pas votre environnement) et/ou passer par une offre entreprise contractualisée (DPA, SCC, non-réutilisation pour l'entraînement, rétention limitée). Une analyse d'impact (AIPD) est très probablement requise dès l'intégration systématique.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi