Freelances : peut-on utiliser l'IA avec les données de ses clients sans risque ?
Pas sans précaution : un freelance qui colle des données clients dans l'IA devient responsable de traitement RGPD, sans exemption de taille. Risques et parade.
Pas sans précaution. Un freelance peut utiliser l'IA au quotidien. Mais dès que vous y collez des données clients, le risque devient réel. Aux yeux du RGPD, c'est vous le responsable de traitement. Pas votre client. Pas l'éditeur de l'IA. Vous. La loi ne prévoit aucune exemption pour les indépendants. Vous devez une base légale, de la transparence et de la sécurité. Et coller un contrat client peut violer sa clause de confidentialité. La parade tient en un mot : anonymiser avant d'envoyer.
Seul ou en agence, vous êtes responsable de traitement
Le RGPD ne fixe aucun seuil de taille. Un freelance ou un auto-entrepreneur qui traite des données personnelles agit en général comme « responsable de traitement ». Le nom d'un client, un e-mail, une facture, un bon de commande : ce sont des données personnelles. Le régulateur britannique, l'Information Commissioner's Office (ICO), est clair. Il n'existe pas d'exemption pour les indépendants ni les micro-entreprises. Vous portez les mêmes obligations de base qu'une grande société.
Être responsable de traitement veut dire une chose simple. Vous devez respecter la loi, et pouvoir le prouver. C'est le principe de responsabilité de l'Article 5 du RGPD (le principe d'« accountability »). Vous devez aussi mettre en place des mesures techniques et organisationnelles pour garder les données en sécurité. Au Royaume-Uni, le UK GDPR (la version britannique du RGPD après le Brexit) et le Data Protection Act 2018 fixent ces règles. Dans l'Union européenne, le RGPD de l'UE fait de même.
Ce que la loi attend de vous
D'abord, une base légale. Avant de traiter une donnée personnelle, vous devez en choisir une valide. Le RGPD en prévoit six : le consentement, l'exécution d'un contrat, une obligation légale, l'intérêt vital, une mission d'intérêt public, et l'intérêt légitime. L'European Data Protection Board (EDPB) le rappelle dans son guide pour petites structures. Vous devez identifier votre base avant de commencer, pas après.
Ensuite, la transparence. Les personnes concernées doivent savoir comment vous utilisez leurs données. C'est l'objet des Articles 13 et 14 du RGPD (l'information à fournir). Vous devez indiquer les finalités, votre identité, les catégories de données, les destinataires et les droits des personnes. Si vous vous appuyez sur le consentement, il doit être libre, spécifique, éclairé et univoque. Un acte positif clair, donc. Pas de case pré-cochée. Et la personne peut le retirer à tout moment.
Un point pratique souvent oublié. En tant qu'indépendant responsable de traitement, vous devez en général vous déclarer auprès de l'ICO. Vous payez aussi la redevance annuelle de protection des données, sauf exemption valable. Et les sanctions ne dépendent pas de votre taille. L'ICO peut infliger jusqu'à 17 millions de livres (20 millions d'euros), ou 4 % du chiffre d'affaires mondial annuel. Le montant le plus élevé s'applique. Ce plafond vaut même pour une très petite activité.
La clause de confidentialité que vous risquez de violer
Il y a un risque plus discret que l'amende. Beaucoup de missions clients incluent une clause de confidentialité, ou un accord de non-divulgation (un NDA, pour « non-disclosure agreement »). Cette clause interdit de communiquer des informations confidentielles à des tiers. Or coller le document confidentiel d'un client dans une IA grand public transmet cette information à un fournisseur extérieur. Un fournisseur que la clause ne couvre pas. Et la divulgation non autorisée peut suffire à constituer la violation. Peu importe que l'outil stocke ou partage ensuite le contenu.
Les versions grand public ou « gratuites » des IA n'offrent pas les garanties d'une offre entreprise. Ces garanties se négocient par contrat. En version grand public, vos saisies peuvent être conservées ou relues. Et, sauf réglage désactivé, servir à améliorer le modèle. Un freelance seul n'a pas la couverture contractuelle d'un accord entreprise. Rappelons aussi une règle clé. Quand un service tiers traite des données pour votre compte — stockage cloud, outil d'e-mailing, plateforme en ligne —, c'est à vous d'avoir un contrat écrit. C'est l'exigence de l'Article 28 du UK GDPR (les contrats responsable–sous-traitant).
| Vous pensez | La réalité |
|---|---|
| « Je suis trop petit pour le RGPD » | Aucun seuil de taille : un indépendant est responsable de traitement |
| « C'est l'IA qui est responsable des données » | Le responsable, c'est vous, dès la saisie |
| « Coller un document ne risque rien » | Cela peut violer la clause de confidentialité du client |
| « Mon compte grand public me couvre » | Pas de contrat Article 28, pas de garantie entreprise |
- Ne collez jamais un document sous NDA sans l'avoir anonymisé.
- N'envoyez que le strict nécessaire, pas le dossier entier.
- Vérifiez votre base légale et informez vos clients.
- Déclarez-vous à l'ICO et payez la redevance si elle s'applique.
La parade : anonymiser avant d'envoyer
Bonne nouvelle : vous n'avez pas à choisir entre vitesse et sécurité. La solution tient en une étape. Anonymisez les données clients avant de les envoyer à l'IA. Remplacez chaque nom, e-mail ou numéro par un jeton réversible. L'IA travaille sur le texte anonymisé. Vous récupérez ensuite les vraies valeurs de votre côté. Vous gardez la vitesse. Vous protégez le client. Et vous réduisez votre exposition au RGPD.
- 1Repérez les données clients dans votre texte.
- 2Remplacez-les par des jetons réversibles, côté navigateur.
- 3Envoyez seulement le texte anonymisé à l'IA.
- 4Restaurez les vraies valeurs dans la réponse, en local.
C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. L'IA n'y voit que des jetons — pas les identités de vos clients. Vous travaillez vite, et le contrat de confidentialité reste intact.
Questions fréquentes
- Est-il risqué pour un freelance d'utiliser l'IA avec des données clients ?
- Oui, si vous collez ces données en clair. En tant qu'indépendant, vous êtes responsable de traitement au sens du RGPD, sans exemption liée à votre taille. Vous devez une base légale, de la transparence et de la sécurité. Et un document sous clause de confidentialité peut violer le contrat. La parade : anonymiser les données clients avant l'envoi.
- Un freelance doit-il se déclarer auprès de l'ICO ?
- En général, oui, au Royaume-Uni. Un indépendant qui traite des données personnelles comme responsable de traitement doit le plus souvent se déclarer à l'ICO et payer la redevance annuelle, sauf exemption valable. Les sanctions ne dépendent pas de la taille : elles montent jusqu'à 17 millions de livres, ou 4 % du chiffre d'affaires mondial.
- Coller un contrat client dans ChatGPT viole-t-il la confidentialité ?
- Cela peut suffire. Si le contrat contient une clause de confidentialité ou un NDA, coller le document dans une IA grand public transmet l'information à un tiers non couvert. La divulgation non autorisée peut à elle seule constituer la violation, même si l'outil ne stocke rien ensuite. Anonymiser le document avant l'envoi évite ce risque.
Sources et références
- Nouvelle check-list d'auto-évaluation en protection des données pour les indépendants (aucune exemption de taille ; obligations et sanctions du responsable de traitement) — Information Commissioner's Office (ICO)
- Traiter licitement les données personnelles — guide protection des données pour petites entreprises (les six bases légales, transparence et consentement) — European Data Protection Board (EDPB)
- Que sont un « responsable » et un « sous-traitant » ? (rôle de responsable de traitement et contrat écrit de l'Article 28) — Information Commissioner's Office (ICO)
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt