Éthique & Société face à l'IA Isabelle "Assisté par IA, vérifié par notre équipe" ⏱ 7 min de lecture

RGPD et IA : vos données sont-elles vraiment protégées par ChatGPT

Ce que ChatGPT fait réellement de vos données

Vous tapez un message dans ChatGPT. Deux secondes plus tard, vous avez une réponse. Mais entre les deux, que se passe-t-il avec ce que vous venez d’écrire ? OpenAI collecte vos conversations, les stocke sur des serveurs situés aux États-Unis, et peut les utiliser pour entraîner ses modèles futurs — sauf si vous le désactivez explicitement. Ce guide vous donne les étapes exactes pour reprendre le contrôle, en moins de dix minutes.

Le RGPD (Règlement Général sur la Protection des Données) s’applique à toute entreprise traitant des données de résidents européens. OpenAI y est donc soumis, au moins en théorie. En pratique, la situation est plus nuancée — et l’Italie a même temporairement interdit ChatGPT en mars 2023 pour non-conformité. Voici ce que vous devez savoir et faire concrètement.

Prérequis avant de commencer

  • Temps nécessaire : 10 minutes maximum
  • Compte : un compte ChatGPT gratuit ou Plus suffit
  • Budget : zéro — toutes les actions ci-dessous sont gratuites
  • Niveau requis : aucune compétence technique — juste un navigateur web

Les 6 étapes pour protéger vos données sur ChatGPT

Étape 1 — Désactivez l’utilisation de vos données pour l’entraînement

C’est l’action la plus importante. Par défaut, OpenAI peut utiliser vos conversations pour améliorer ses modèles. Pour désactiver cela :

  1. Connectez-vous à ChatGPT
  2. Cliquez sur votre profil en bas à gauche → Paramètres
  3. Allez dans Contrôles des données
  4. Désactivez « Améliorer le modèle pour tout le monde »

Résultat immédiat : vos futures conversations ne seront plus exploitées pour entraîner les modèles. Les conversations passées ? Elles restent dans les serveurs d’OpenAI selon leur politique de rétention (30 jours pour les données supprimées, potentiellement plus longtemps pour d’autres usages internes).

Étape 2 — Supprimez votre historique de conversations

Dans les mêmes Paramètres → Contrôles des données, vous pouvez :

  • Désactiver l’historique des conversations (elles ne seront plus sauvegardées)
  • Supprimer tout l’historique existant via « Effacer toutes les conversations »

Si vous désactivez l’historique, chaque session repart de zéro. Pratique pour la confidentialité, moins pratique si vous travaillez sur des projets longs.

Étape 3 — Exercez votre droit d’accès et de suppression RGPD

En tant que résident européen, vous avez des droits légaux. OpenAI propose un formulaire dédié sur privacy.openai.com pour :

  • Demander une copie de toutes vos données (droit d’accès — article 15 RGPD)
  • Demander la suppression de votre compte et de vos données (droit à l’effacement — article 17 RGPD)
  • S’opposer au traitement de vos données (article 21 RGPD)

OpenAI doit répondre dans un délai de 30 jours. Si ce n’est pas le cas, vous pouvez saisir la CNIL (Commission Nationale de l’Informatique et des Libertés) via cnil.fr.

Étape 4 — Ne jamais saisir ces types de données dans ChatGPT

Même avec toutes les protections activées, certaines données ne devraient jamais apparaître dans une conversation IA :

  • Numéros de sécurité sociale, coordonnées bancaires
  • Données médicales ou judiciaires de tiers
  • Informations confidentielles d’un client ou d’un employeur
  • Mots de passe, clés API, tokens d’authentification

Règle simple : si vous ne l’écririez pas sur une carte postale, ne l’écrivez pas dans ChatGPT.

Étape 5 — En contexte professionnel, passez par ChatGPT Team ou Enterprise

OpenAI propose deux offres conçues pour la conformité professionnelle :

Offre Prix Données entraînement Stockage
ChatGPT Free / Plus 0€ / ~20€/mois Oui (désactivable) Serveurs US
ChatGPT Team ~25€/utilisateur/mois Non par défaut Serveurs US, données isolées
ChatGPT Enterprise Sur devis Non Chiffrement renforcé, DPA disponible

Pour les entreprises françaises soumises au RGPD, l’offre Enterprise inclut un Data Processing Agreement (DPA) — le document contractuel qui formalise la conformité. Sans ce contrat, utiliser ChatGPT pour traiter des données de clients européens expose l’entreprise à un risque juridique réel.

Étape 6 — Considérez les alternatives européennes pour les données sensibles

Pour les sujets réellement sensibles, des alternatives hébergées en Europe existent. Mistral AI (entreprise française) propose des modèles dont les données restent dans l’UE. Claude d’Anthropic offre aussi des garanties contractuelles renforcées pour les entreprises. Ces outils ne remplacent pas ChatGPT sur tous les usages, mais ils changent radicalement l’équation juridique dès que des données personnelles de tiers sont impliquées.

Pour approfondir les enjeux éthiques et sociétaux autour de l’IA — dont la question des données — le Lexique & Culture de l’IA — Guide Complet centralise l’ensemble des ressources du site.

Astuce pro

Utilisez un prompt d’anonymisation systématique. Avant de soumettre un texte contenant des données potentiellement sensibles, demandez d’abord à ChatGPT de vous aider à l’anonymiser : « Voici un texte. Identifie tous les éléments qui pourraient permettre d’identifier une personne (nom, ville, métier précis, âge) et remplace-les par des variables génériques. » Vous traitez ensuite la version anonymisée. Gain de temps : réel. Risque juridique : réduit à presque zéro.

Erreurs courantes à éviter

  • Croire que « mode incognito » du navigateur protège vos données chez OpenAI. Il masque votre navigation localement — pas les données envoyées aux serveurs d’OpenAI.
  • Supposer que désactiver l’historique supprime les données. OpenAI conserve les conversations jusqu’à 30 jours même sans historique visible, pour des raisons de sécurité.
  • Utiliser ChatGPT Free pour des projets RH ou juridiques en entreprise. Sans DPA, c’est une infraction RGPD potentielle dès que vous traitez des données de salariés ou clients.
  • Ignorer les mises à jour de la politique de confidentialité. OpenAI la modifie régulièrement. Vérifiez-la deux fois par an via openai.com/policies/privacy-policy.

Ces questions de protection des données s’inscrivent dans un débat plus large sur l’impact de l’IA sur notre quotidien. Si vous vous interrogez aussi sur d’autres transformations concrètes — notamment sur le monde du travail — l’article IA et emplois en France : ce qui va vraiment changer apporte des éléments de réponse solides.

FAQ — Ce que les gens cherchent vraiment

ChatGPT est-il conforme au RGPD ?

Partiellement. OpenAI a pris des mesures (formulaire de droits, opt-out de l’entraînement) mais le transfert de données vers les États-Unis reste un point de friction juridique. Les offres Team et Enterprise offrent un niveau de conformité supérieur grâce au DPA.

La CNIL peut-elle sanctionner OpenAI en France ?

Oui. La CNIL a compétence sur tout traitement de données de résidents français. Elle a d’ailleurs échangé avec ses homologues européens (notamment l’autorité italienne) sur ChatGPT. Elle peut infliger des amendes allant jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros.

Mes conversations ChatGPT peuvent-elles être lues par des humains chez OpenAI ?

Oui, dans certains cas. OpenAI précise dans sa politique de confidentialité que des employés ou sous-traitants peuvent accéder aux conversations pour modération, sécurité ou amélioration du modèle. C’est une raison supplémentaire de ne jamais saisir de données sensibles.

Existe-t-il une IA française entièrement conforme RGPD ?

Mistral AI (Paris) propose des modèles hébergés en Europe. Pour une conformité maximale, son offre API avec hébergement EU est aujourd’hui la solution la plus solide pour les entreprises françaises traitant des données personnelles.