01Le vrai niveau de risque pour une PME
Parlons franchement. Le risque d'un gros contrôle CNIL sur une PME qui utilise ChatGPT pour rédiger des emails est faible. Mais il existe, et deux scénarios le font exploser :
- Fuite de données clients : une donnée personnelle envoyée à une IA grand public finit potentiellement dans son entraînement, avec risque de ressortir ailleurs.
- Plainte d'un salarié ou client : si vous ne pouvez pas justifier de mesures prises, la CNIL applique la norme — qui est stricte.
Le bon réflexe : se mettre à niveau proportionnellement. Pas besoin d'un DPO à temps plein pour une PME de 15 personnes. Besoin impératif de 3 choses : contrats à jour, charte IA interne, et catégorisation claire des données.
02Pourquoi le ChatGPT gratuit est un piège
ChatGPT gratuit, Claude gratuit, Mistral Le Chat gratuit : tous ces services utilisent vos prompts pour entraîner leurs modèles, sauf à changer l'option dans les paramètres (et même là, ce n'est pas garanti sur la durée).
Problème : si un collaborateur colle un email client contenant des données personnelles, ça part en apprentissage. Vous êtes en infraction, et vous ne pouvez pas le justifier en contrôle.
Solution simple : passer sur des plans payants avec clauses "no training on your data" :
- ChatGPT Team / Enterprise : données non utilisées pour l'entraînement
- Claude for Work : idem
- Mistral Le Chat Pro / Enterprise : idem, en plus hébergé EU
03Les contrats IA à signer
Pour chaque outil IA utilisé traitant des données personnelles, vous devez signer un DPA (Data Processing Agreement). C'est le contrat qui encadre le traitement.
Disponibilité :
- OpenAI : DPA téléchargeable depuis l'espace admin Team/Enterprise
- Anthropic : DPA inclus dans le contrat Teams/Enterprise
- Mistral : DPA côté contrat, hébergement EU garanti
- Google Workspace : DPA via l'admin Workspace
Action : signer les DPA pour les outils IA utilisés. Temps : 30 min par outil.
04Qu'est-ce qu'on peut donner à l'IA ?
Règle de catégorisation simple :
| Type de donnée | Règle |
|---|---|
| Donnée publique (nom d'entreprise, site, produit) | OK sur n'importe quel outil |
| Donnée interne non sensible (compte-rendu réunion générique) | OK sur outils payants avec DPA |
| Donnée personnelle client / salarié (nom, email, téléphone) | OK seulement si DPA signé + option no-training activée |
| Donnée sensible (santé, biométrie, juridique sensible) | Outils souverains (Mistral on-prem) ou interdiction totale |
| Donnée stratégique (contrats en cours, stratégie commerciale) | Prudence extrême, privilégier Mistral ou Claude Enterprise |
05Cadrer l'usage de l'équipe (charte IA)
Une charte IA interne tient en 1 page. Elle liste :
- Les outils autorisés (avec noms + comptes pro)
- Ce qui est permis (rédaction, analyse, traduction, résumé)
- Ce qui est interdit (données clients en clair, données RH, stratégie)
- L'obligation de relire toute sortie IA avant envoi client
- Le point de contact en cas de doute (souvent le DPO ou le dirigeant)
La charte est signée par chaque collaborateur à l'onboarding (et mise à jour annuellement).
06Le plan d'action conformité en 7 étapes
- Cartographier les outils IA utilisés (sondage équipe, 30 min)
- Fermer les comptes gratuits sur outils à risque
- Basculer sur plans payants avec DPA
- Signer les DPA (30 min par outil)
- Rédiger la charte IA interne (1 page, 1h avec juriste)
- Former l'équipe (1h sur les bonnes pratiques)
- Revue annuelle + mise à jour charte + registre des traitements
Coût total pour une PME de 20 personnes : 300-500 €/mois récurrents (outils payants) + 2 000-4 000 € one-shot (juriste + formation).