ChatGPT en entreprise et nLPD : ce que tu peux faire et ce qu'il faut éviter
Ton équipe utilise déjà ChatGPT, avec ou sans permission. La bonne question n'est pas « si », mais « comment » : ce que tu peux saisir dans un outil d'IA et ce qu'il faut éviter, selon la loi suisse sur la protection des données.
Ton équipe utilise déjà ChatGPT. Avec ta permission ou sans. Je le vois dans presque toutes les PME avec lesquelles je travaille au Tessin : l'un réécrit ses emails, l'autre résume des documents, un troisième colle « juste un petit bout » de contrat. La bonne question n'est donc pas si tu dois utiliser l'IA en entreprise, mais comment : ce que tu peux saisir dans un outil d'IA et ce qu'il faut éviter, selon la nLPD, la nouvelle loi suisse sur la protection des données.
Dans cet article, j'essaie de répondre de la manière la plus concrète possible, avec des exemples tirés de PME et une politique que tu peux adopter dès demain. S'il te faut le cadre général de la loi, j'ai écrit un guide pratique de la nLPD pour les PME : ici, je me concentre sur le cas spécifique de ChatGPT et des outils d'IA. Une précision qui s'impose : ceci n'est pas un conseil juridique, c'est l'expérience de quelqu'un qui aide les PME à utiliser ces outils au quotidien.
Le point de départ : les données saisies sortent de l'entreprise
Quand tu colles un texte dans ChatGPT, ce texte est traité sur les serveurs du fournisseur, hors de ton périmètre. Et dans les versions grand public, gratuites ou personnelles, les données saisies peuvent être utilisées pour entraîner les modèles, sauf désactivation explicite dans les réglages. Les versions business et enterprise, et l'accès via API, prévoient en général le contraire : le fournisseur s'engage à ne pas utiliser tes données pour l'entraînement. Mais il faut le vérifier outil par outil, car les conditions changent.
Pour la nLPD, ce point est décisif. Utiliser un outil d'IA signifie traiter des données : si le prompt contient des données personnelles de clients ou d'employés, c'est toi qui restes le responsable du traitement, et la responsabilité ne se transfère pas à l'outil. La nLPD n'interdit pas l'IA : elle te demande de savoir ce que tu saisis, où cela aboutit et avec quelles garanties.
Ce qu'il ne faut JAMAIS saisir
Quatre catégories qui, dans la version grand public d'un outil d'IA, ne devraient jamais entrer.
- Les données personnelles de clients et d'employés. Noms, emails, téléphones, adresses. L'exemple classique : coller la liste des clients extraite du logiciel de gestion pour « la mettre au propre », ou l'email de réclamation d'un client avec nom et prénom pour se faire écrire la réponse.
- Les données sensibles. Santé, opinions religieuses ou politiques, données de candidats et CV. Le certificat médical d'un employé dans ChatGPT est probablement la violation la plus grave qu'une PME puisse commettre avec l'IA.
- Les secrets d'affaires. Tarifs confidentiels, recettes et procédés de production, stratégies commerciales, code propriétaire qui contient la logique de ton business.
- Les données financières nominatives. Fiches de salaire, factures avec des noms, situations d'endettement de clients précis, conditions contractuelles confidentielles.
La règle pratique que j'utilise dans mes formations : si tu ne l'enverrais pas par email à un inconnu, ne le colle pas dans un outil d'IA grand public.
Ce que tu peux faire tranquillement
La liste de ce qui est sûr est bien plus longue que celle des interdits, et c'est là que se trouve la valeur.
- Textes génériques et brouillons. Descriptions de produits, posts pour le site ou LinkedIn, communications internes sans noms, trames pour des réunions et des présentations.
- Reformulations et traductions de textes non confidentiels : rendre plus claire une offre standard, traduire une page du site, corriger le ton d'une réponse (sans le nom du destinataire).
- Code et formules sans données. Une formule Excel, un script, une requête : tant qu'ils ne contiennent ni données réelles ni identifiants, aucun problème.
- Analyses sur des données anonymisées ou inventées. « J'ai 200 clients répartis en ces trois segments, comment est-ce que je les segmenterais ? » fonctionne très bien sans un seul vrai nom.
En pratique : presque tout le travail d'écriture, de synthèse et de raisonnement peut se faire en toute sécurité, si tu retires des prompts les personnes identifiables et les données confidentielles.
Les bons réglages et les bonnes versions
Au-delà du « quoi », le « où » compte aussi. Trois gestes concrets, par ordre d'effort.
- Désactive l'entraînement là où c'est possible. Dans les versions grand public de nombreux outils, un réglage permet d'exclure ses conversations de l'entraînement des modèles. C'est le strict minimum, à faire tout de suite sur chaque compte utilisé pour le travail.
- Passe à une version business. ChatGPT Team ou Enterprise prévoient que les données ne servent pas à l'entraînement et offrent des contrôles d'administration. Ce n'est pas un détail : cela change le cadre contractuel avec le fournisseur.
- Évalue les alternatives dans ton périmètre. Si tu travailles dans Microsoft 365, Copilot utilisé dans le tenant de l'entreprise garde les données dans le périmètre Microsoft existant, avec les permissions que tu as déjà configurées.
Un avertissement honnête : aucune version ne te rend conforme « automatiquement ». La conformité dépend de ce que tu saisis, de la façon dont tu configures l'outil et dont tu encadres la relation avec le fournisseur quand tu traites des données personnelles. C'est d'autant plus vrai quand l'IA cesse d'être un assistant occasionnel pour devenir une partie des processus, par exemple dans un projet d'automatisation IA : là, le choix de l'outil et du périmètre des données se fait en amont, pas après coup.
Une politique IA simple en 5 points
Sans règles écrites, chacun décide dans son coin, et tu obtiens le Shadow AI : des outils non autorisés utilisés en cachette, avec des données qui sortent sans que tu le saches. La solution n'est pas un règlement de trente pages. Une page suffit, avec cinq points.
- 1. Outils approuvés. Quels outils d'IA peuvent être utilisés pour le travail et avec quels comptes. Tout le reste est exclu.
- 2. Ce qu'il ne faut jamais saisir. Les quatre catégories vues plus haut, avec deux ou trois exemples concrets tirés de ton entreprise.
- 3. À qui demander. Une personne de référence pour les doutes. Dans le doute, on demande avant, pas après.
- 4. Formation. Au moins une session pratique pour toute l'équipe : ce qui est sûr, ce qui ne l'est pas et pourquoi. C'est le point qui fait fonctionner les quatre autres, et c'est le cœur de ma formation IA dans les PME.
- 5. Révision périodique. Les outils et les conditions d'utilisation changent vite : relis la politique tous les six mois et mets à jour la liste des outils approuvés.
Ne pas interdire : former
Après avoir vu des dizaines de situations différentes, ma conclusion est toujours la même : la meilleure façon de gérer le risque n'est pas d'interdire, c'est de former. L'interdiction pousse l'usage dans l'ombre et te fait perdre les bénéfices ; une équipe formée sait ce qu'elle peut saisir, utilise les bonnes versions et transforme l'IA en avantage plutôt qu'en risque. C'est exactement ce que je fais avec la formation IA pour les entreprises et les PME : une demi-journée sur ton cas concret, avec tes outils et tes règles. Si tu veux en parler, écris-moi.
Cet article a un but informatif et ne constitue pas un conseil juridique. Pour des cas spécifiques, adresse-toi à un conseiller juridique ou à l'autorité compétente (PFPDT).
Tu veux utiliser ChatGPT en entreprise sans risques inutiles ? Je t'aide à choisir les bons outils et les bonnes versions, à écrire la politique et à former l'équipe, en partant de tes processus réels.
Questions fréquentes
ChatGPT est-il interdit par la nLPD ?
Non. La nLPD n'interdit ni ChatGPT ni les autres outils d'IA : elle régit le traitement des données personnelles. Tout dépend de la façon dont tu l'utilises : si tu ne saisis pas de données personnelles ou confidentielles, ou si tu le fais avec des garanties adéquates, tu peux l'utiliser. Le problème naît quand des données de clients ou d'employés aboutissent dans un outil sans contrôle.
Puis-je saisir des données de clients si elles sont anonymisées ?
Oui, si elles sont vraiment anonymisées : la personne ne doit pas être identifiable, même en croisant les informations restantes. Retirer seulement le nom ne suffit souvent pas, car le rôle, l'entreprise et le contexte peuvent réidentifier quelqu'un. Dans le doute, mieux vaut remplacer les données par des marqueurs génériques avant de coller.
Copilot est-il plus sûr que ChatGPT pour une entreprise ?
Ce n'est pas une comparaison binaire : tout dépend de la configuration. Copilot utilisé dans le tenant Microsoft 365 de l'entreprise, avec des données qui restent dans ce périmètre et sans entraînement sur tes données, offre des garanties que la version gratuite de ChatGPT ne donne pas. Mais ChatGPT en version Team ou Enterprise change aussi beaucoup la donne. Ce qui compte, c'est la configuration de l'outil, pas le logo.
Faut-il une politique écrite même pour une micro-entreprise ?
Oui. Une page suffit : quels outils sont approuvés, ce qu'il ne faut jamais saisir, à qui demander en cas de doute. Même à trois personnes, sans règle écrite chacun décide dans son coin, et le risque est le même que dans une grande entreprise.