ChatGPT en entreprise : protéger les données personnelles et maîtriser les risques

ChatGPT s’est imposé comme un réflexe quotidien en entreprise. Résumer un compte rendu, reformuler un e-mail, débugger une ligne de code : les cas d’usage se multiplient, et avec eux, le volume de données qui transite par les modèles d’IA générative. Selon le baromètre IFOP/Talan 2025, 43 % des utilisateurs d’IA générative le font dans un cadre professionnel, mais seuls 9 % disposent d’un outil fourni par leur organisation.Cet article décrypte les risques liés à ChatGPT et aux données personnelles en entreprise. Il propose aux responsables sécurité une grille de lecture qui va au-delà de la conformité : comprendre l’exposition réelle, évaluer la maturité de gouvernance et construire une réponse durable, sans pour autant brider l’innovation.

Confidentialité et IA : les risques de ChatGPT en entreprise

L’utilisation de ChatGPT en contexte professionnel soulève une question centrale : que deviennent les données saisies dans l’outil ? Entre le fonctionnement des modèles d’IA et les exigences réglementaires françaises, les zones de risque sont bien réelles.

Comment l’IA utilise vos données d’entraînement

Les grands modèles de langage qui alimentent ChatGPT peuvent, selon la version utilisée, réutiliser les données saisies pour entraîner leurs futurs modèles. Sur la version gratuite, c’est le cas par défaut, sauf opt-out manuel. Sur ChatGPT Teams et Enterprise, les données ne sont jamais réutilisées pour l’entraînement et la norme SOC-2 s’applique (en savoir plus sur la politique de confidentialité entreprise d’OpenAI).

Mais le vrai changement d’échelle est ailleurs. Selon le rapport Netskope 2026, le volume de données envoyées vers des applications de GenAI a été multiplié par six en un an, tandis que le nombre d’utilisateurs a triplé. La majorité de ces usages passent par des comptes personnels, hors de tout contrôle IT.En résumé, la confidentialité des données dans ChatGPT ne dépend pas seulement de la version choisie. Elle dépend de la capacité de l’organisation à gouverner un usage qui a déjà dépassé ses politiques internes. Pour un CISO, ces chiffres changent l’équation : le risque lié à l’IA générative n’est plus un sujet de conformité ponctuel, mais un paramètre central de la stratégie de sécurité.

RGPD et conformité : le point de vue de la CNIL

En France, les questions de confidentialité des données liées à l’usage de ChatGPT en entreprise s’inscrivent dans un cadre réglementaire précis. Le RGPD encadre toute collecte et tout traitement de données personnelles. L’AI Act européen, en vigueur depuis 2024 et dont les obligations s’appliquent progressivement, ajoute des exigences spécifiques aux systèmes d’IA.La CNIL a publié des recommandations concrètes pour le déploiement d’IA générative : partir d’un besoin identifié, définir une liste d’usages autorisés et interdits, et privilégier un déploiement sécurisé lorsque des données sensibles sont en jeu. Des principes utiles, mais qui ne couvrent qu’une partie du problème. Le cadre réglementaire fixe les obligations, mais ne garantit pas que les collaborateurs les respectent au quotidien.

Shadow AI et fuite de données : le défi du comportement humain

Les risques liés à ChatGPT ne se limitent donc pas à l’architecture technique du modèle. Dans la majorité des cas, la fuite de données ne vient pas d’une faille logicielle, mais bien d’un geste humain.

Le danger du copier-coller (code, PII, stratégie)

Les scénarios de fuite les plus récents et fréquents confirment cette part liée à l’action humaine au sein même de l’entreprise. Un développeur colle un extrait de code propriétaire pour le débugger. Un RH soumet des évaluations annuelles pour en faire une synthèse. Un commercial intègre sa grille tarifaire dans un prompt pour générer une proposition. À chaque fois, des informations sensibles (code source, données personnelles de collaborateurs, éléments de stratégie) sortent du périmètre de l’entreprise.

Et ce ne sont pas seulement des cas hypothétiques. En 2023, Samsung a découvert que trois ingénieurs avaient partagé du code confidentiel avec ChatGPT en cherchant simplement à optimiser leur travail. Plus récemment, en juin 2025, des chercheurs en sécurité ont révélé que le chatbot IA de recrutement utilisé par McDonald’s exposait les données personnelles de 64 millions de candidats, faute de protections élémentaires sur l’interface d’administration. Le point commun de ces incidents : aucune intention malveillante côté utilisateurs. Juste un réflexe de productivité dans un environnement sans garde-fou.

L’usage non supervisé des outils d’IA générative

Ce phénomène porte un nom : le Shadow AI. Il désigne l’utilisation d’outils d’IA générative, ChatGPT en tête, sans validation ni supervision de l’entreprise. Comptes personnels gratuits, extensions de navigateur, applications mobiles : les points d’entrée échappent aux équipes IT et aux politiques de sécurité informatique en place.

L’ampleur n’est plus anecdotique. Le rapport IBM Cost of a Data Breach 2025 estime que le Shadow AI ajoute en moyenne 670 000 dollars au coût d’une violation de données. Et selon le baromètre IFOP/Talan 2025, seuls 15 % des salariés utilisant l’IA au travail ont été formés à son usage. Dans ce contexte, la question pour un CISO ne devrait plus être « faut-il autoriser ChatGPT ? » mais « comment rendre mesurable et contrôlable un usage qui existe déjà et va dans le sens d’une productivité accrue ? ». Pour approfondir les mécanismes et les réponses organisationnelles à ce phénomène, consultez notre analyse complète du Shadow AI en entreprise.

De la gouvernance à la gestion du risque humain

Bloquer ChatGPT sur le réseau de l’entreprise peut sembler une réponse logique. Dans les faits, seule une vraie démarche de formation à ChatGPT en entreprise, adossée à une stratégie de gestion du risque humain, permet de transformer des comportements à l’échelle.

Poser les fondations : charte et cadre de gouvernance

Une charte informatique intégrant l’IA générative reste le premier jalon. Elle doit être concrète et accessible : définir les usages autorisés et interdits, lister les catégories de données à ne jamais soumettre (données personnelles, code source, documents stratégiques, informations clients), et préciser les outils validés par l’entreprise.

Mais une charte n’a de valeur que si elle est connue, comprise et applicable. L’enjeu est de formuler des règles simples, mémorisables, intégrées dans les workflows existants. Le Contrôleur européen de la protection des données (EDPS) rappelle d’ailleurs que la gouvernance de l’IA ne relève pas uniquement de la DSI, mais d’une responsabilité partagée entre juridique, RH, métiers et direction.

La charte pose donc les règles. Mais encore faut-il qu’elles soient respectées.

Mesurer et réduire le risque humain en continu

C’est ici que la logique change. Les blocages techniques sont contournables. Les politiques internes sont oubliables. Ce qui réduit durablement le risque, c’est la capacité à mesurer les comportements réels des collaborateurs face à l’IA et à les faire évoluer dans la durée.

Concrètement, cela passe par des parcours de sensibilisation adaptés aux métiers, mis à jour face à l’évolution des outils, et capables de simuler les situations réelles auxquelles les équipes font face : un prompt contenant des données sensibles, une pièce jointe piégée soumise à un outil d’IA, un réflexe de copier-coller non questionné.

C’est précisément ce que propose la plateforme SoSafe. Son module AI Awareness forme les collaborateurs à identifier les risques spécifiques de l’IA générative à travers des micro-apprentissages courts et ciblés. Ses simulations de phishing comportementales testent les réflexes en conditions réelles et s’adaptent au niveau de chaque utilisateur. Et le Human Risk OS™ agrège l’ensemble de ces données dans un tableau de bord unique : taux de comportements à risque par équipe, évolution dans le temps, indicateurs directement exploitables par le CISO.

Mesurez et pilotez votre risque humain avec SoSafe.

En bref, le risque lié à ChatGPT et aux données personnelles n’est pas un problème d’outil. C’est, en revanche, un révélateur de la maturité de votre organisation. Les entreprises qui transformeront ce risque en avantage sont celles qui miseront avant tout sur les bonnes pratiques de leurs équipes.

Questions fréquentes