IA générative : un gain de productivité qui peut fragiliser la confidentialité des entreprises 

Les outils d’intelligence artificielle générative comme ChatGPT, Claude ou Gemini se sont imposés dans le quotidien professionnel. Rédaction, analyse, synthèse ou assistance technique : ces solutions offrent des gains de temps considérables. Mais derrière cette efficacité se cache une réalité souvent sous-estimée : les données transmises à ces outils peuvent quitter le contrôle de l’entreprise. Entre confidentialité, secret des affaires, cybersécurité et conformité au RGPD, l’usage non encadré de l’IA générative soulève aujourd’hui des enjeux majeurs pour les organisations. 

Des outils performants qui reposent sur l’exploitation des données 

Les IA génératives fonctionnent grâce à l’analyse des contenus transmis par leurs utilisateurs. Chaque requête, document ou extrait de code envoyé peut être traité par des infrastructures exploitées par des prestataires tiers. 

Même si certains fournisseurs permettent désormais de limiter l’utilisation des données à des fins d’entraînement des modèles, les conditions d’utilisation varient selon les services, les paramètres activés et les versions professionnelles ou grand public utilisées. Beaucoup d’entreprises ignorent encore précisément où leurs données sont hébergées, combien de temps elles sont conservées ou dans quelles conditions elles peuvent être consultées. 

Ces préoccupations ont conduit plusieurs autorités de protection des données à intervenir. En 2023, l’autorité italienne de protection des données personnelles (Garante) a temporairement suspendu ChatGPT en raison de préoccupations liées au respect du RGPD, notamment concernant la transparence des traitements et la base légale utilisée pour entraîner les modèles. Le Comité européen de la protection des données s’est également saisi du sujet afin d’évaluer la compatibilité des IA génératives avec le droit européen de la protection des données personnelles. 

Les conversations avec une IA ne sont pas nécessairement privées 

Beaucoup d’utilisateurs considèrent encore les IA conversationnelles comme de simples assistants numériques confidentiels. Pourtant, les échanges réalisés avec ces outils ne bénéficient pas automatiquement d’un secret absolu. 

Les conditions d’utilisation de plusieurs services d’IA précisent que certaines conversations peuvent être conservées, analysées ou examinées, notamment afin d’améliorer les modèles, de détecter des usages abusifs, de répondre à des obligations légales ou encore d’assurer la sécurité des systèmes. Cette réalité est souvent méconnue des utilisateurs, qui assimilent encore ces outils à des espaces de discussion privés. 

Cette problématique a été largement médiatisée après une affaire survenue en France en 2026. Un homme soupçonné de préparer une attaque contre un agent du renseignement aurait été signalé après des échanges réalisés avec ChatGPT. Selon plusieurs médias, les informations auraient été transmises aux autorités américaines puis françaises, conduisant à une intervention du RAID. 

Cette affaire doit toutefois être présentée avec prudence. Les informations publiques disponibles ne permettent pas d’affirmer avec certitude le fonctionnement exact du signalement ni l’étendue des analyses automatisées réalisées par OpenAI. En revanche, elle rappelle un principe essentiel : les contenus transmis à une IA en ligne peuvent faire l’objet d’un accès ou d’une communication dans certains contextes juridiques ou sécuritaires. 

Pour les entreprises, le risque devient particulièrement important lorsque les salariés transmettent à ces outils des informations stratégiques, des projets de contrats, des données personnelles, du code source, des secrets d’affaires ou encore des documents confidentiels dont la diffusion pourrait porter atteinte à l’activité de l’organisation. 

Les entreprises sont déjà confrontées à des incidents concrets 

Le risque n’est pas théorique. Plusieurs entreprises ont déjà été confrontées à des fuites d’informations liées à l’utilisation non maîtrisée d’outils d’IA générative. 

En 2023, Samsung a notamment interdit l’usage de ChatGPT par certains salariés après la divulgation de données internes et de portions de code source dans des requêtes adressées à l’outil. Cette affaire a largement contribué à sensibiliser les organisations aux risques liés aux IA génératives utilisées sans encadrement interne. 

L’IA peut alors devenir une forme de « cheval de Troie » informationnel : les collaborateurs introduisent eux-mêmes dans des systèmes externes des données sensibles de l’entreprise, parfois sans mesurer les conséquences techniques, contractuelles ou juridiques de cette transmission. 

Cette problématique concerne particulièrement les professions soumises au secret professionnel ainsi que les secteurs manipulant des données sensibles ou stratégiques, notamment les services juridiques, les activités de cybersécurité, les ressources humaines, les entreprises innovantes ou encore les directions financières. 

Au regard du RGPD, une entreprise demeure responsable de la protection des données personnelles qu’elle traite. Une utilisation non maîtrisée d’une IA peut ainsi entraîner une violation de données, une perte de confidentialité, un transfert non encadré hors de l’Union européenne ou encore un manquement aux obligations de sécurité prévues par l’article 32 du RGPD. 

Encadrer l’usage de l’IA plutôt que l’interdire 

L’enjeu pour les entreprises n’est pas nécessairement d’interdire les IA génératives, mais d’en encadrer l’utilisation. 

De nombreuses organisations mettent désormais en place des chartes internes, des politiques de sécurité dédiées à l’IA, des restrictions concernant les données pouvant être transmises aux outils génératifs ainsi que des actions de sensibilisation destinées aux salariés. L’objectif consiste à permettre l’utilisation de ces technologies tout en réduisant les risques juridiques et opérationnels. 

Certaines entreprises font également le choix de déployer des modèles d’IA hébergés localement ou dans des infrastructures privées afin de conserver une meilleure maîtrise des données traitées et des flux d’information. Ces solutions permettent de limiter les communications externes mais impliquent des investissements techniques et financiers plus importants. 

L’objectif est donc de trouver un équilibre entre innovation, productivité et maîtrise des risques. Comme tout outil puissant, l’intelligence artificielle nécessite un cadre d’utilisation adapté. 

L’IA générative constitue une avancée technologique majeure et un levier de compétitivité considérable pour les entreprises. Mais son adoption rapide ne doit pas conduire à négliger les enjeux de confidentialité, de cybersécurité et de conformité réglementaire. Utiliser ces outils sans gouvernance claire peut exposer l’entreprise à des risques importants, parfois invisibles à court terme. La véritable question n’est donc plus de savoir si les entreprises utiliseront l’IA, mais dans quelles conditions elles choisiront de le faire. 

LOCK-T 

Avec la participation de Célia HAPPI, stagiaire.