Scabera
Back to blog
Security

Vos salariés utilisent ChatGPT avec des données confidentielles (sans le savoir)

Scabera Team
8 min de lecture
2026-03-14

Des salariés partagent chaque jour des données confidentielles dans ChatGPT — sans malice, et souvent sans s'en rendre compte. Selon une étude Cyberhaven, 2,6 % des employés transmettent des données sensibles à des outils d'IA grand public. Pour un DPO ou un responsable conformité, la vraie question n'est pas "est-ce que ça arrive chez nous ?" — c'est "que fait-on quand on le découvre ?"

Le scénario du lundi matin

Il est 9h15. Le responsable conformité reçoit un message du manager d'une équipe commerciale. "J'ai demandé à Thomas de rédiger un résumé du contrat Nexiatel pour le comité de demain. Il a utilisé ChatGPT pour aller plus vite. Il a collé le contrat en entier. Est-ce que c'est grave ?"

Thomas n'est pas malveillant. Il cherchait simplement à finir sa présentation avant midi. Il a fait ce que des millions de salariés font chaque jour : utiliser l'outil le plus simple à portée de main pour accélérer une tâche. Le problème, c'est que ce contrat contenait les conditions tarifaires négociées, les clauses de confidentialité, et des données personnelles des interlocuteurs côté client.

Ce n'est pas un cas extrême. C'est la norme. Selon l'étude Cyberhaven sur 1,6 million d'employés, 2,6 % d'entre eux ont transmis des données confidentielles à des outils d'IA en l'espace de quelques semaines — et ce chiffre monte à 11 % quand on inclut les données "sensibles mais non classifiées". L'ampleur du phénomène est systémique, pas anecdotique.

Samsung en a fait l'expérience de façon très publique en 2023 : des ingénieurs ont partagé du code source propriétaire et des notes de réunion confidentielles via ChatGPT, en plusieurs incidents distincts, dans un laps de temps très court. La réaction a été immédiate — Samsung a interdit ChatGPT en interne. Mais le code était parti. Il n'existe aucun mécanisme de rappel.

La question qui suit : "Est-ce que nos données ont fuité ?"

C'est la première réaction, et c'est une bonne question. Mais elle est souvent mal posée, parce qu'elle suppose qu'il existe une réponse binaire — fuité / pas fuité — alors que la réalité est plus nuancée.

Voici ce qu'on sait sur le traitement des données par les grands modèles comme ChatGPT d'OpenAI :

  • Dans la version gratuite et sans configuration spécifique : les conversations peuvent être utilisées pour améliorer les modèles, sauf désactivation explicite par l'utilisateur dans les paramètres.
  • Dans la version ChatGPT Enterprise : OpenAI indique que les données ne sont pas utilisées pour l'entraînement, et les conversations ne sont pas conservées au-delà de la session par défaut.
  • En pratique : si votre salarié utilisait son compte personnel gratuit, ou même son compte professionnel sans configuration RGPD en place, vous n'avez aucune garantie sur la destination des données.

La CNIL a publié des recommandations spécifiques sur l'utilisation des systèmes d'IA générative au regard du RGPD. Elle rappelle que l'entreprise reste responsable du traitement dès lors que des données personnelles sont impliquées — que le traitement soit effectué par un employé ou via un outil tiers. L'ignorance de l'usage d'un outil ne constitue pas une exonération.

Ce que ça signifie concrètement : si Thomas a collé des données personnelles de contacts clients (nom, prénom, email, rôle), l'entreprise doit être capable de démontrer qu'un traitement approprié est en place. Si ce traitement ne l'est pas, vous avez potentiellement une violation de données au sens de l'article 33 du RGPD, avec obligation de notification à la CNIL dans les 72 heures si le risque pour les personnes concernées est caractérisé.

La mauvaise réponse : "On a interdit, donc ça va"

Quand ce type d'incident émerge, la première réaction de beaucoup d'organisations est de sortir une note de service. "L'utilisation de ChatGPT et de tout outil d'IA non approuvé est interdite pour tout usage professionnel impliquant des données internes." Case cochée. Problème résolu.

Ce n'est pas une solution. C'est une politique qui crée une fausse sécurité.

Les raisons pour lesquelles les interdictions ne fonctionnent pas :

  • Elles sont invisibles au niveau technique. Les requêtes vers ChatGPT transitent par HTTPS sur le port 443. Si votre proxy ne fait pas d'inspection SSL ou si vos collaborateurs utilisent leur téléphone personnel, vous ne voyez rien. L'interdiction existe sur le papier, pas sur le réseau.
  • Elles ne s'attaquent pas au besoin sous-jacent. Si Thomas a utilisé ChatGPT pour résumer un contrat, c'est parce qu'il n'avait pas d'alternative rapide et efficace. Interdire l'outil ne fait pas disparaître le besoin. Il déplace l'usage vers d'autres outils, potentiellement moins sécurisés encore.
  • Elles ne créent pas de traçabilité. En cas d'audit ou d'incident ultérieur, une note de service ne prouve pas que le comportement a changé. Elle prouve seulement que vous avez communiqué une règle.

Amazon, JP Morgan, et d'autres grands groupes ont effectivement restreint ou interdit l'accès à ChatGPT. Mais ces organisations ont — presque toujours — accompagné ces restrictions par des alternatives internes. L'interdiction sans alternative déplace le risque, elle ne l'élimine pas.

La bonne réponse : agir avec méthode, pas dans la panique

Face à un incident comme celui de Thomas, voici la démarche que devrait adopter tout DPO ou RSSI.

1. Documenter l'incident dans les 24 heures

Consignez les faits : qui, quand, quel outil, quelles données, dans quel contexte. Cette documentation est indispensable pour évaluer si l'incident atteint le seuil de notification à la CNIL (risque élevé pour les personnes physiques). Dans la majorité des incidents liés à ChatGPT, le risque est modéré à faible — mais cette évaluation doit être documentée et justifiée, pas présupposée.

2. Évaluer le type de données impliquées

Pas toutes les données ne sont égales. Un résumé générique d'un contrat sans données personnelles identifiables crée un risque de confidentialité commerciale, mais pas nécessairement une violation RGPD. Un contrat contenant des noms, des coordonnées, des informations financières liées à des individus — c'est différent. Séparez les enjeux avant d'agir.

3. Vérifier la configuration de l'outil utilisé

Si votre organisation dispose d'un accord OpenAI Enterprise, vérifiez la configuration applicable. Si l'employé utilisait son compte personnel, les garanties contractuelles d'OpenAI ne s'appliquent pas à cet usage. Ce point conditionne l'évaluation du risque résiduel.

4. Ne pas sur-réagir — mais ne pas minimiser

Une fuite vers un LLM grand public n'est pas équivalente à une exfiltration par un acteur malveillant. Les données ne sont pas publiées, elles ne sont pas vendues, et le risque de préjudice direct est généralement faible à court terme. Mais le traitement n'était pas conforme, et l'incident mérite une réponse proportionnée — pas du silence.

Ce qu'il faut mettre en place pour que ça ne se reproduise pas

La vraie réponse à l'incident de Thomas, c'est une réponse structurelle. Les outils d'IA sont là pour rester. Vos équipes vont continuer à les utiliser — avec ou sans votre accord. La question n'est pas de bloquer l'IA, c'est de la gouverner.

Proposer une alternative sanctionnée

La meilleure façon d'empêcher l'utilisation d'outils non approuvés, c'est de mettre à disposition des outils approuvés. Un assistant IA interne, connecté uniquement à votre base documentaire, configuré pour ne jamais envoyer de données à des API externes, résout le besoin de Thomas sans le risque associé. Si vos équipes ont accès à un outil IA performant via les canaux officiels, elles l'utiliseront. C'est l'approche que détaille notre analyse sur comment déployer une IA interne sans dépendre d'OpenAI.

Mettre en place une gouvernance IA formelle

Cela signifie : inventaire des outils IA utilisés dans l'entreprise (y compris ceux qui ne sont pas approuvés), politique d'usage avec des critères clairs (quelles données, pour quels usages, avec quels outils), et processus de validation pour les nouveaux outils. La CNIL recommande explicitement d'intégrer l'IA générative dans la cartographie des traitements et dans les analyses d'impact (AIPD) lorsque les données sensibles sont concernées.

Former, pas seulement interdire

Thomas n'avait pas conscience du risque. Il n'est pas l'exception — il est la règle. Une sensibilisation ciblée (30 minutes, exemples concrets, sans jargon) sur ce que signifie "données confidentielles" dans le contexte de l'IA grand public change durablement les comportements. L'objectif n'est pas de faire peur. C'est de donner aux équipes les moyens de décider elles-mêmes ce qui est approprié.

Adapter votre architecture si votre secteur est régulé

Pour les organisations soumises à DORA, NIS2, ou à des exigences sectorielles spécifiques, la solution "API externe bien configurée" n'est souvent pas suffisante. L'inférence doit rester dans le périmètre. Notre analyse sur DORA 2025 et l'infrastructure IA couvre les implications concrètes pour les acteurs financiers et les entités critiques.

FAQ — Ce que les DPO et RSSI demandent le plus souvent

Un salarié qui utilise ChatGPT avec des données professionnelles, c'est automatiquement une violation RGPD ?

Pas automatiquement. Cela dépend de la nature des données (personnelles ou non), de la configuration de l'outil (entreprise ou grand public), et de l'impact potentiel sur les personnes concernées. Mais c'est systématiquement un traitement non encadré, qui doit être évalué et documenté.

Doit-on notifier la CNIL à chaque incident de ce type ?

Non. La notification est obligatoire uniquement si l'incident est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Pour la plupart des cas liés à ChatGPT (données business sans sensibilité particulière, outil configuré sans conservation), le seuil n'est pas atteint. Mais l'évaluation doit être faite et tracée.

ChatGPT Enterprise est-il conforme RGPD ?

OpenAI propose un DPA (Data Processing Agreement) pour ses offres Enterprise, ce qui est un prérequis minimum. Mais la conformité dépend aussi de vos obligations spécifiques : résidence des données, durée de conservation, sous-traitants. Une analyse spécifique à votre contexte est nécessaire avant de valider cet outil pour des données sensibles.

Peut-on vraiment bloquer l'accès à ChatGPT en entreprise ?

Techniquement, oui — via des règles proxy ou des politiques DNS. En pratique, c'est difficile à maintenir sur les appareils mobiles personnels et dans les environnements BYOD. La stratégie la plus efficace reste de proposer une alternative crédible, pas seulement de bloquer l'accès.

Quelle est la différence entre un chatbot IA interne et ChatGPT ?

La différence fondamentale : un assistant IA déployé en interne ne transmet pas vos données à une API externe. L'inférence (le traitement de la requête) se fait dans votre infrastructure. Vos documents ne quittent pas votre périmètre. Vous gardez la maîtrise des journaux d'accès et des données traitées.

En résumé : l'IA grand public n'attend pas votre politique

Le cas de Thomas n'est pas un incident isolé. C'est un symptôme. Vos équipes utilisent des outils d'IA parce qu'ils sont efficaces, accessibles, et que personne ne leur a proposé mieux. La réponse qui tient dans la durée n'est pas l'interdiction — c'est la gouvernance combinée à une alternative viable.

Un assistant IA interne, configuré pour rester dans votre périmètre, avec des journaux d'accès complets et une traçabilité des sources, répond exactement au besoin de Thomas — sans le risque associé. Et il vous donne, en plus, les preuves de conformité que votre auditeur ou la CNIL pourrait vous demander.

Si vous voulez voir concrètement comment cette approche fonctionne dans un contexte comme le vôtre — demandez une démonstration. En 30 minutes, vous avez une image claire de ce que ça change opérationnellement.

See Scabera in action

Book a demo to see how Scabera keeps your enterprise knowledge synchronized and your AI trustworthy.

Book a demo