ChatGPT est-il conforme au RGPD ? Ce que les entreprises doivent savoir
« Conforme au RGPD » n'est pas un badge. Tout dépend de l'usage et de qui est responsable de traitement. Le point pour les entreprises, sources à l'appui.
« ChatGPT est-il conforme au RGPD ? » n'a pas de réponse en oui ou non. Le RGPD (Règlement général sur la protection des données) ne certifie pas un outil. Il encadre un traitement précis et l'organisation qui le décide. Quand une entreprise colle des données personnelles de l'UE dans ChatGPT, c'est l'entreprise qui devient le responsable de traitement. Ce sont ses obligations : une base légale (article 6), la minimisation des données (article 5), et un contrat de sous-traitance (article 28) avec le fournisseur. L'appli grand public ne fournit pas ce contrat signé par défaut. La bonne nouvelle : anonymiser les données personnelles avant le prompt réduit fortement le risque.
« Conforme au RGPD » n'est pas un badge
Le RGPD ne fonctionne pas comme un label posé sur un logiciel. La conformité s'attache à un traitement donné. Elle s'attache aussi à l'organisation qui décide pourquoi et comment des données personnelles sont utilisées.
Voici le point clé pour une entreprise. Vous collez le nom, l'email ou le dossier d'un client dans ChatGPT. À cet instant, c'est vous le responsable de traitement. L'outil utilisé n'absorbe pas vos obligations. Elles restent les vôtres.
Les devoirs du responsable de traitement
Le responsable de traitement doit satisfaire plusieurs obligations à la fois. Elles ne sont pas optionnelles. Voici les trois qui pèsent le plus dans le cas d'un prompt IA.
- Une base légale valide (article 6) : consentement, contrat ou intérêt légitime, par exemple. Sans base légale, le traitement est illicite.
- La minimisation des données (article 5(1)(c)) : ne traiter que des données adéquates, pertinentes et limitées au strict nécessaire.
- Un contrat de sous-traitance (article 28) : dès qu'une autre société traite ces données pour votre compte, un contrat écrit est requis. On l'appelle souvent un DPA (Data Processing Agreement, accord de traitement des données).
Le RGPD exige aussi de la transparence envers les personnes concernées. Elles doivent savoir que leurs données sont traitées. Elles gardent leurs droits : accès, rectification, opposition, effacement. Ces principes ne s'effacent pas parce qu'une IA entre en jeu.
L'appli grand public et le DPA manquant
L'appli ChatGPT grand public n'est pas conçue pour cela par défaut. Elle ne fournit pas de contrat de sous-traitance signé au titre de l'article 28 pour ce type d'usage. Or ce contrat est requis dès qu'un tiers traite les données personnelles d'autrui pour votre compte.
OpenAI propose des offres entreprise séparées. Elles incluent un DPA et des contrôles de données, comme un réglage pour exclure vos saisies de l'entraînement des modèles. Mais c'est un cadre distinct, à activer volontairement. Ce n'est pas l'expérience grand public par défaut.
Le régulateur français, la CNIL, confirme le principe pour toute IA. Quiconque utilise des données personnelles pour développer ou déployer un système d'IA doit fixer une finalité explicite et légitime dès le départ. Il doit informer les personnes concernées. Il doit respecter leurs droits. Et il ne doit traiter que les données nécessaires.
L'affaire Garante : ce que l'enforcement montre vraiment
Le risque n'est pas théorique. L'autorité italienne, le Garante, a infligé une amende de 15 millions d'euros à OpenAI en décembre 2024. Les motifs : la base légale des données d'entraînement, la transparence envers les utilisateurs, et l'absence de vérification d'âge adéquate.
Il faut être précis sur la suite. Cette amende a ensuite été annulée. Le 18 mars 2026, la Cour de Rome (jugement n° 4153/2026) a écarté la sanction. Mais elle l'a fait sur un motif de compétence, pas sur le fond. En clair : l'autorité irlandaise (Data Protection Commission) était devenue l'autorité chef de file pour OpenAI. Le Garante n'était donc pas compétent pour rendre la décision finale.
Ce que la Cour n'a pas dit compte tout autant. Elle n'a pas jugé OpenAI conforme au RGPD. Les questions de fond sur la base légale et la transparence n'ont pas été tranchées. Elles restent ouvertes. L'annulation était procédurale, rien de plus.
| Ce qu'on entend | Ce qui est exact |
|---|---|
| « ChatGPT est conforme au RGPD » | La conformité tient à l'usage et à qui est responsable de traitement, pas à l'outil |
| « L'appli grand public suffit pour traiter des données clients » | Elle ne fournit pas de contrat de sous-traitance (article 28) signé par défaut |
| « L'amende du Garante a été annulée, donc OpenAI était en règle » | Annulation sur la compétence (autorité irlandaise chef de file), pas sur le fond |
| « C'est l'outil qui porte les obligations RGPD » | Le responsable de traitement, c'est vous : base légale, minimisation, contrat |
La parade : minimiser et anonymiser avant le prompt
La façon la plus concrète de réduire votre exposition RGPD est simple. Minimisez et anonymisez les données personnelles avant qu'elles n'entrent dans le prompt. Retirez les noms, les coordonnées, les identifiants avant que le texte n'atteigne un modèle externe.
Le résultat est direct. Moins de données personnelles sont traitées par un tiers, tout simplement. Cela sert exactement le principe de minimisation de l'article 5. Vous obtenez l'aide de l'IA. Vous gardez la matière sensible hors de portée.
Voici la méthode, étape par étape.
- 1Repérez les données personnelles dans votre texte : noms, emails, téléphones, identifiants clients.
- 2Remplacez chaque valeur par un jeton réversible, côté navigateur.
- 3Envoyez seulement le texte anonymisé au modèle d'IA.
- 4Restaurez les vraies valeurs dans la réponse, en local.
C'est le rôle d'ONYRI Sanitize. Le moteur repère les données sensibles — noms, emails, identifiants, montants — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. L'IA n'y trouve que des jetons, jamais vos données personnelles réelles. Vous servez le principe de minimisation du RGPD, sans renoncer à l'aide de l'IA.
Questions fréquentes
- ChatGPT est-il conforme au RGPD ?
- Il n'y a pas de réponse en oui ou non. « Conforme au RGPD » n'est pas un badge posé sur un outil. La conformité dépend de l'usage et de qui est responsable de traitement. Quand une entreprise colle des données personnelles de l'UE dans ChatGPT, c'est elle le responsable. Elle doit une base légale (article 6), la minimisation (article 5) et un contrat de sous-traitance (article 28). L'appli grand public ne fournit pas ce contrat signé par défaut.
- Mon entreprise peut-elle mettre des données clients dans ChatGPT ?
- Pas sans précaution. Vous devenez alors le responsable de traitement, avec une base légale à justifier et un contrat de sous-traitance à avoir. L'appli grand public ne fournit pas ce DPA par défaut ; OpenAI propose des offres entreprise séparées qui l'incluent. Le plus simple reste d'anonymiser les données personnelles avant le prompt, pour en traiter le moins possible via un tiers.
- L'amende du Garante contre OpenAI a-t-elle été annulée ?
- Oui, mais sur un point de compétence, pas sur le fond. Le Garante avait infligé 15 millions d'euros en décembre 2024. Le 18 mars 2026, la Cour de Rome (jugement n° 4153/2026) a annulé la sanction car l'autorité irlandaise était devenue chef de file. La Cour n'a pas jugé OpenAI conforme au RGPD : les questions de base légale et de transparence restent ouvertes.
Sources et références
- Règlement général sur la protection des données (Règlement (UE) 2016/679) — articles 5, 6 et 28 — EUR-Lex (Office des publications de l'Union européenne)
- Développement des systèmes d'IA : les recommandations de la CNIL pour respecter le RGPD — CNIL (autorité française de protection des données)
- Rapport des travaux menés par le ChatGPT Taskforce (ChatGPT et données personnelles) — Comité européen de la protection des données (EDPB)
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt