ChatGPT et données sensibles : Ce que votre entreprise ne peut plus ignorer.

Avec plus de 13 millions de visiteurs mensuels en France, ChatGPT s’est solidement installé dans les usages du quotidien. Employé comme assistant virtuel, moteur de recherche ou outil de rédaction, il fait désormais partie intégrante des environnements de travail, souvent sans encadrement vraiment clair.
Mais cette accessibilité a un prix : celui de la confidentialité des données. Derrière l’interface fluide se cache un système fondé sur l’apprentissage automatique, qui utilise les requêtes saisies pour affiner ses réponses. Autrement dit : ce que vous lui donnez, il l’enregistre, il s’en souvient et il l’utilise.
Une question incontournable : que fait ChatGPT de vos données ?
Si vous partagez des informations sensibles dans une requête – nom de clients, procédure interne, fichier confidentiel – vous prenez le risque de voir ces éléments réapparaître dans d’autres réponses générées. Certes, OpenAI affirme ne pas vendre ces données à des tiers et les utilise avant tout pour améliorer les performances du modèle. Mais la frontière entre « amélioration » et « fuite » est mince.
Les données textuelles que vous saisissez – tout comme celles de géolocalisation, les informations de compte, les historiques de navigation, ou encore les cookies – sont stockées sur des serveurs sécurisés… situés aux États-Unis. À l’heure du RGPD et de la souveraineté numérique, cela soulève d’évidentes questions juridiques pour les entreprises européennes.
L’illusion de la confidentialité : quand l’IA parle trop.
En mars 2024, une faille de sécurité a exposé les titres de conversations privées d’utilisateurs ainsi que des informations de paiement liées à l’abonnement ChatGPT Plus. Même si l’incident n’a duré que neuf heures, il a suffi à exposer les données de 1,2% des utilisateurs. Pas de numéros de carte, certes, mais des noms, des adresses et des types de carte utilisés. Des données ultra sensibles et ultra confidentielles.
Et ce n’est pas un cas isolé. Une étude récente révèle que ChatGPT peut, en exploitant certaines requêtes détournées, révéler des données issues de son entraînement initial. Parmi celles-ci : noms, numéros de téléphone, e-mails – parfois même les coordonnées d’un dirigeant d’entreprise.
Par exemple, en 2023, des ingénieurs de Samsung ont copié-collé du code source confidentiel dans ChatGPT pour identifier des bugs. Résultat : ces données se sont retrouvées dans le corpus exploitable du modèle, provoquant une crise interne et l’interdiction pure et simple de l’outil chez le géant coréen.
Et en ce sens, une enquête IFOP-Talan de juin 2025 montre que 68% des salariés utilisant ChatGPT au travail ne préviennent pas leur hiérarchie. Une autonomie qui semble efficace jusqu’au moment où elle expose des documents juridiques, des accords confidentiels ou des éléments commerciaux à une IA connectée à des serveurs extérieurs.
Ces données, même anonymisées, peuvent ensuite alimenter d’autres réponses générées par l’outil. Imaginez : ce que votre équipe saisit aujourd’hui pourrait, demain, aider un concurrent à formuler sa stratégie. Votre méthode, votre organisation, vos plans d’expansion… autant d’avantages compétitifs que vous pourriez involontairement offrir à d’autres.
L’analyse d’un échantillon de 100 000 utilisateurs a révélé plus de 400 fuites de données sensibles en une semaine : documents juridiques, mémos internes, codes sources… Ces contenus, une fois exposés, ne peuvent plus être effacés du réseau. Les conséquences vont bien au-delà de l’embarras : amendes RGPD, procès potentiels, perte de confiance, réputation ternie.
Comment protéger vos données sans renoncer à l’IA ?
Chez ATI4, nous avons fait un choix clair : encadrer strictement l’usage des IA génératives en interne, pour protéger nos données et celles de nos clients.
Cela passe par la pédagogie, des chartes de sécurité, mais aussi des restrictions techniques : types de données autorisées, contrôle des accès, séparation des environnements. Nous faisons le choix de ne jamais envoyer de données sensibles dans un modèle non souverain.
Nous explorons aussi des alternatives plus respectueuses du cadre européen. En 2024, Mistral AI, une start-up française soutenue par 400 millions d’euros de financements, a lancé un modèle open source, hébergé sur des infrastructures privées. Une IA générative conçue pour répondre aux exigences du RGPD.
Ne tombez pas dans l’illusion d’un outil « sans conséquences« . Chaque message que vous écrivez est une donnée transmise, stockée, analysée. Dans des secteurs sensibles – finance, énergie, défense, santé – une simple requête mal formulée peut devenir une faille de cybersécurité. Ne laissez pas votre stratégie entre les mains d’un algorithme opaque. La confidentialité n’est pas une option, c’est une responsabilité.
Découvrez les actus de l’entreprise.
Parce que mêler plaisir, partage et travail est au cœur de notre philosophie, nous prenons toujours soin de joindre l’utile à l’agréable..