ChatGPT et RGPD en 2026 : le guide honnête pour les PME
Lundi matin, votre assistante comptable colle dans ChatGPT le contrat que vient d’envoyer un nouveau client. Elle veut un résumé rapide des clauses importantes avant la réunion de 10h. Trois secondes plus tard, elle a sa synthèse. Problème réglé.
Enfin, presque.
Ce qu’elle vient de faire, en pratique, c’est envoyer un contrat commercial — avec le nom du client, ses conditions négociées, probablement quelques données personnelles — vers des serveurs situés aux États-Unis, exploités par une entreprise américaine soumise à une législation différente de la nôtre. Dans la plupart des cas, ce contrat pourra être conservé au moins 30 jours, analysé par des systèmes automatiques, et selon la version de ChatGPT utilisée, potentiellement intégré à l’entraînement d’un modèle futur.
Personne ne lui a expliqué ça. Et elle n’est pas la seule dans votre entreprise à faire ce genre de chose plusieurs fois par jour.
Ce qui se passe vraiment quand vos collaborateurs utilisent ChatGPT
Tout le monde parle de ChatGPT comme d’un outil unique. Il y en a en réalité plusieurs versions, avec des règles très différentes.
La version gratuite ou ChatGPT Plus (celle que 90 % de vos collaborateurs utilisent avec leur compte perso) : par défaut, vos conversations peuvent être utilisées pour améliorer les futurs modèles d’OpenAI. Vous pouvez désactiver cette option dans les paramètres, mais encore faut-il le savoir, et chaque utilisateur doit le faire de son côté. Les données sont stockées sur des serveurs américains et peuvent être conservées jusqu’à 30 jours même après désactivation de l’historique, pour des raisons de surveillance contre les abus.
ChatGPT Team et ChatGPT Enterprise (les versions payantes pour entreprise) : c’est déjà beaucoup mieux. Par défaut, les données ne servent pas à entraîner les modèles. OpenAI propose un DPA (accord de traitement de données) signable. Le chiffrement est renforcé. Mais vos données transitent et sont stockées aux États-Unis.
Les autres outils du marché fonctionnent globalement sur les mêmes logiques. Claude (Anthropic), Gemini (Google), Copilot (Microsoft) : chacun a ses versions grand public et ses versions entreprise, avec des niveaux de protection variables. Microsoft 365 Copilot, par exemple, applique le principe de “Commercial Data Protection” par défaut pour les comptes pro — mais c’est une brique parmi d’autres.
Le point commun de tous ces outils : les données quittent l’Europe.
Ce que dit le RGPD, sans jargon
Trois principes du RGPD sont directement concernés par l’usage d’une IA américaine :
La finalité. Vous avez le droit de traiter les données de vos clients et de vos salariés pour des finalités précises, identifiées, et portées à leur connaissance. Envoyer leurs données à un tiers non prévu (OpenAI, Microsoft, Google), pour un traitement non annoncé (génération de résumé, extraction, rédaction), ça sort du périmètre que vous leur avez annoncé.
Les transferts hors UE. Le RGPD encadre strictement l’envoi de données personnelles hors de l’Union européenne. Depuis juillet 2023, un nouveau cadre appelé Data Privacy Framework autorise à nouveau les transferts vers les États-Unis pour les entreprises qui y adhèrent (OpenAI, Microsoft et Anthropic y sont certifiés). Mais ce cadre est fragile : il a déjà été contesté devant la Cour de justice de l’Union européenne, comme ses deux prédécesseurs (Safe Harbor et Privacy Shield) qui ont tous deux été invalidés. Et même avec ce cadre, les autorités américaines peuvent légalement accéder à ces données via le FISA 702.
La minimisation. Vous n’êtes censé traiter que les données strictement nécessaires à la finalité. Quand votre collaborateur copie-colle un contrat entier de 15 pages pour obtenir un résumé, il envoie 95 % de données qui n’avaient rien à faire dans la requête.
Traduction pratique : l’usage non encadré d’une IA américaine pour traiter des données clients, RH ou sensibles constitue un point de non-conformité RGPD probable. En cas de contrôle de la CNIL, c’est difficile à défendre.
Les 3 scénarios à risque dans une PME française
Voici ce qu’on voit concrètement chez nos clients :
Le RH. Tri de CV via ChatGPT. Rédaction d’emails difficiles à des salariés. Analyse d’un entretien annuel. Résumé d’un contrat de travail. Toutes ces opérations impliquent des données personnelles sensibles au sens du RGPD, parfois des données de santé ou syndicales. Elles quittent l’Europe sans que la personne concernée ait donné son consentement éclairé.
Les clients. Rédaction de devis à partir d’un cahier des charges client. Analyse d’un email difficile. Traduction d’un contrat. Synthèse d’un compte-rendu de réunion. On envoie régulièrement à OpenAI des informations commercialement stratégiques sur des entreprises qui vous font confiance, et parfois leurs données personnelles.
La R&D et la stratégie. Brainstorming sur un nouveau produit. Rédaction d’une offre de réponse à appel d’offres. Analyse d’un brevet concurrent. C’est peut-être le risque le plus sournois : ce ne sont pas des données personnelles (donc pas directement RGPD), mais ce sont vos actifs concurrentiels qui partent sur des serveurs tiers. Samsung l’a appris à ses dépens en 2023 quand des ingénieurs ont fait “réviser” du code propriétaire par ChatGPT.
Les alternatives, classées par niveau de contrôle
Il ne s’agit pas de renoncer à l’IA — elle fait gagner du temps réel à vos équipes. Il s’agit d’ajuster le curseur selon la sensibilité de ce que vous traitez. Voici les cinq options, du moins contrôlé au plus souverain.
Option 1 : interdire ChatGPT dans l’entreprise
Certaines PME tentent cette voie. Elle ne marche pas. Vos collaborateurs ont ChatGPT sur leur téléphone perso. Quand vous interdisez, vous ne supprimez pas l’usage, vous supprimez juste votre visibilité sur l’usage. C’est pire que de ne rien faire.
Option 2 : passer à ChatGPT Enterprise, Claude for Work ou Copilot M365
Niveau intermédiaire. Pas de réutilisation de vos données pour l’entraînement. Contrat RGPD signable. Administration centralisée. C’est un vrai pas en avant, surtout pour encadrer les usages quotidiens non sensibles. Compter environ 30 à 60 € par utilisateur et par mois selon la solution.
Limite : les données quittent toujours l’Europe. Pour des données très sensibles (santé, juridique, stratégique), ça reste insuffisant.
Option 3 : utiliser les API via un intégrateur, avec un contrat spécifique
Plutôt que ChatGPT en mode interface web, on utilise l’API d’OpenAI, Claude ou Mistral, encadrée par des contrats précis, intégrée dans des outils internes qui filtrent ce qui part. On peut ainsi imposer la minimisation (envoyer seulement le contenu nécessaire, anonymiser ce qui peut l’être), choisir les endpoints européens quand ils existent, et loguer tous les usages.
C’est le bon compromis pour beaucoup de PME : contrôle, traçabilité, conformité renforcée, sans les coûts d’une infrastructure dédiée.
Option 4 : une IA souveraine hébergée en France
Ici on change de catégorie. Les modèles open source récents — Mistral, Llama, Qwen — rivalisent avec GPT-4 sur la plupart des tâches professionnelles. Déployés sur un serveur d’un hébergeur français (OVHcloud, Scaleway, Outscale), ils garantissent que vos données ne quittent pas le territoire national. Aucun risque d’accès par les autorités américaines. Conformité RGPD par construction.
Coût : un setup initial selon la complexité de vos cas d’usage, puis un abonnement mensuel de gestion qui inclut infrastructure, maintenance et mises à jour des modèles.
Option 5 : une IA installée dans vos locaux (on-premise)
La souveraineté totale. Un serveur physique dans vos murs, connecté à votre réseau interne uniquement, zéro communication sortante par défaut. Vos données ne quittent jamais votre périmètre. Pertinent pour les cabinets sensibles (santé, juridique, notaires, experts-comptables), les industriels avec de la R&D critique, ou les acteurs publics.
Investissement plus lourd côté matériel et installation, mais pas d’abonnement mensuel à vie, et souveraineté maximale. C’est aussi ce qui permet de répondre aux exigences HDS (hébergement de données de santé) ou aux contraintes métier du secret professionnel.
Comment choisir pour votre PME
Pas besoin de choisir une seule option : la plupart de nos clients combinent plusieurs niveaux selon les usages.
- Pour les tâches quotidiennes non sensibles (brainstorming, rédaction générique, veille) : ChatGPT Enterprise ou équivalent suffit.
- Pour les données clients ou RH : API encadrée avec filtrage et traçabilité, ou IA souveraine hébergée en France.
- Pour les données ultra-sensibles (santé, juridique, brevets, secret professionnel) : IA on-premise chez vous.
Le bon réflexe, c’est de commencer par cartographier les usages réels dans votre entreprise. La plupart des dirigeants sous-estiment massivement à quel point leurs équipes utilisent déjà ChatGPT. Cette cartographie prend une à deux heures. Elle révèle à la fois les risques et les opportunités.
Ce qu’il faut retenir
L’usage non encadré d’une IA américaine en entreprise pose un vrai problème RGPD en 2026. Pas de catastrophe immédiate, mais un risque cumulé et durable : non-conformité en cas de contrôle, fuite d’informations stratégiques, dépendance à un cadre juridique international instable.
La bonne nouvelle, c’est que les alternatives existent, et qu’elles sont devenues matures. Les modèles open source français et européens (Mistral en tête) rivalisent techniquement avec les géants américains. L’infrastructure française est là (OVHcloud, Scaleway). Le coût d’une IA souveraine pour une PME est plus proche du prix d’un bon salarié que de celui d’un projet SI pharaonique.
Le vrai choix n’est plus “faut-il utiliser l’IA ?” mais “quelle IA, pour quels usages, avec quelles garanties ?”
Overconsulting accompagne les PME d’Île-de-France et de Seine-et-Marne sur ces sujets. Si vous voulez faire le point sur l’usage réel de l’IA dans votre entreprise et identifier ce qui mérite d’être encadré, l’audit initial est gratuit et sans engagement. On vous dit honnêtement ce qui est à risque, ce qui ne l’est pas, et quelles alternatives sont réalistes pour votre contexte.