ChatGPT mémorise vos conversations. Gemini analyse vos requêtes. Claude conserve vos échanges selon les paramètres de votre compte. Ce que ces outils font de vos données personnelles ne dépend pas du hasard — le RGPD vous donne des droits précis, que la plupart des utilisateurs n’exercent jamais, faute de savoir comment. Voici comment agir concrètement, plateforme par plateforme.
RGPD et IA : vos droits face aux outils d’intelligence artificielle
Pourquoi le RGPD s’applique bien aux IA — et pourquoi c’est complexe
Le Règlement Général sur la Protection des Données s’applique à tout traitement de données personnelles de résidents européens, quel que soit l’endroit où l’entreprise est domiciliée. OpenAI, Google, Anthropic — toutes sont concernées dès qu’elles traitent vos données si vous êtes en France ou dans l’UE.
La complexité vient du double rôle des IA : elles sont à la fois outils de traitement (elles traitent ce que vous leur envoyez) et systèmes entraînés sur des données massives. Deux niveaux de droits s’appliquent donc :
- Vos données de conversation : ce que vous tapez dans le chat, les fichiers que vous uploadez, votre historique
- Vos données d’entraînement : si vos contenus ont servi à former le modèle — plus difficile à prouver, mais un droit d’opposition existe
Vos 6 droits RGPD face aux outils IA — et comment les exercer
1. Droit d’accès (Article 15)
Vous pouvez demander à n’importe quel service IA une copie de toutes les données qu’il détient sur vous. Action concrète : sur ChatGPT, allez dans Paramètres → Contrôles des données → Exporter vos données. Vous recevrez un fichier JSON contenant l’intégralité de vos conversations sous 48 heures. Chez Google (Gemini), passez par myaccount.google.com → Données et confidentialité → Télécharger vos données.
2. Droit à l’effacement (Article 17)
Vous pouvez exiger la suppression de vos données. Sur ChatGPT : Paramètres → Contrôles des données → Supprimer le compte ou Effacer l’historique des conversations. Sur Gemini : supprimez votre activité dans myactivity.google.com. Nuance importante : la suppression des conversations ne garantit pas l’effacement des données déjà intégrées dans les poids du modèle — une zone grise juridique que la CNIL surveille activement.
3. Droit d’opposition (Article 21)
Vous pouvez vous opposer à l’utilisation de vos données pour l’entraînement des modèles. Action concrète sur ChatGPT : Paramètres → Contrôles des données → désactivez « Améliorer les modèles pour tous ». Cette option, activée par défaut sur les comptes gratuits, envoie vos conversations à OpenAI pour entraînement. La désactiver prend 30 secondes.
4. Droit de rectification (Article 16)
Si un outil IA détient des informations inexactes sur vous (profil, préférences mémorisées), vous pouvez demander leur correction. En pratique, peu d’IA exposent un « profil utilisateur » modifiable — mais la mémoire de ChatGPT (fonction Memory) constitue une donnée rectifiable : Paramètres → Personnalisation → Gérer la mémoire.
5. Droit à la portabilité (Article 20)
Vos données doivent vous être remises dans un format lisible par machine. L’export JSON de ChatGPT et l’export Google Takeaway respectent ce droit. Mistral, en tant qu’entreprise française, propose la même fonctionnalité via votre espace console.mistral.ai.
6. Droit de ne pas faire l’objet d’une décision automatisée (Article 22)
Ce droit est majeur si une IA prend des décisions qui vous affectent significativement : scoring de crédit, sélection de CV, évaluation médicale. Vous pouvez exiger une intervention humaine. Ce droit s’applique moins aux chatbots grand public, mais concerne directement les IA utilisées par votre employeur ou votre banque.
Comparatif : ce que font réellement ChatGPT, Gemini, Claude et Mistral
| Outil | Entraînement sur vos données | Opt-out possible | Export des données | Siège / Juridiction |
|---|---|---|---|---|
| ChatGPT (gratuit) | Oui, par défaut | Oui (paramètres) | Oui (JSON) | USA — DPA irlandaise |
| ChatGPT (Pro/Team) | Non, par défaut | N/A | Oui (JSON) | USA — DPA irlandaise |
| Gemini (Google) | Oui, selon activité | Oui (myaccount) | Oui (Takeaway) | USA — DPA irlandaise |
| Claude (Anthropic) | Non, par défaut | N/A | Sur demande | USA — clauses SCCs |
| Mistral (Le Chat) | Non, par défaut | N/A | Oui | France — RGPD direct |
Verdict rapide : Mistral et Claude offrent la meilleure protection par défaut. ChatGPT gratuit est le plus permissif — l’opt-out est indispensable si vous l’utilisez régulièrement.
Si vous souhaitez aller plus loin sur les risques spécifiques liés aux données sensibles, l’article IA et données santé : les risques que vous ignorez détaille les problématiques propres aux informations médicales partagées avec des IA. Et si vous êtes préoccupé par l’exploitation de votre image ou de votre voix, consultez notre dossier sur les deepfakes IA et comment protéger son image.
Comment porter réclamation si vos droits sont ignorés
Un service IA ne répond pas à votre demande d’effacement sous 30 jours ? Voici la procédure en 3 étapes :
- Relancez par écrit (email au DPO de l’entreprise — adresse obligatoirement publiée dans leur politique de confidentialité)
- Saisissez la CNIL via cnil.fr → Plaintes → Signaler un problème — la procédure prend 10 minutes
- Si l’entreprise est hors UE : la CNIL coopère avec son homologue irlandais (DPC) pour les entreprises comme Google ou OpenAI dont le siège européen est à Dublin
La CNIL a déjà sanctionné des acteurs IA : en 2023, OpenAI a reçu une mise en demeure de l’autorité italienne (GPDP), directement suivie d’effets — OpenAI a dû mettre en place un formulaire d’opposition à l’entraînement pour les résidents européens.
Le réflexe de base : ce que vous devriez faire dans les 10 prochaines minutes
- ✅ ChatGPT : désactivez l’entraînement dans les paramètres
- ✅ Gemini : vérifiez et limitez l’activité dans myaccount.google.com
- ✅ Tous les outils : ne saisissez jamais votre nom complet, adresse, numéro de sécurité sociale ou données médicales dans un chat IA sans vérifier sa politique de confidentialité
- ✅ Usage professionnel : vérifiez que votre entreprise dispose d’un accord de traitement des données (DPA) avec les outils IA qu’elle vous impose d’utiliser
Pour explorer l’ensemble des bonnes pratiques autour des outils IA — sécurité, productivité, usages professionnels — retrouvez notre Guide Pratique de l’IA — Outils & Méthodes.
FAQ — RGPD et intelligence artificielle
Est-ce que le RGPD s’applique à ChatGPT et aux IA américaines ?
Oui. Dès qu’un service traite des données de résidents européens, le RGPD s’applique, quelle que soit la nationalité de l’entreprise. OpenAI a désigné un représentant en Irlande précisément pour se conformer à cette obligation.
Puis-je demander à une IA de supprimer les données utilisées pour l’entraîner ?
Théoriquement oui, via le droit à l’effacement. En pratique, supprimer des données des poids d’un modèle déjà entraîné est techniquement très difficile. La CNIL et le Comité Européen de la Protection des Données travaillent sur des lignes directrices spécifiques à ce sujet — attendues pour fin 2025.
Que risque une entreprise IA qui ne respecte pas le RGPD ?
Jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Meta a écopé de 1,2 milliard d’euros en 2023 pour transfert illégal de données vers les États-Unis — un précédent qui s’applique directement aux acteurs IA.
L’utilisation d’une IA au travail implique-t-elle des risques RGPD pour mon employeur ?
Oui. Si vous saisissez des données clients dans ChatGPT sans que votre entreprise ait signé un DPA avec OpenAI, votre employeur viole potentiellement le RGPD — même si c’est vous qui avez tapé le prompt. Signalez la situation à votre DPO interne.