L’IA et vie privée des données personnelles sont au cœur des débats en 2026 : ChatGPT dépasse 180 millions d’utilisateurs et 5 millions d’entreprises clientes dans le monde. La plupart ne savent pas précisément ce qui se passe avec les informations qu’ils tapent chaque jour. Ce flou n’est pas anodin : partager le nom d’un client dans un prompt sans précaution peut constituer une violation du RGPD, avec des sanctions pouvant atteindre 20 millions d’euros.

Sophie gère un salon de coiffure à Lyon. Une cliente mécontente lui envoie un email assez virulent. Elle copie le message dans ChatGPT pour obtenir une réponse professionnelle. Ce qu’elle ne sait pas : elle vient de transmettre le nom, les coordonnées et le problème de cette cliente à OpenAI, sans son consentement. Ce scénario, RGPDKit le documente comme l’un des cas les plus fréquents en entreprise, et il se reproduit des dizaines de millions de fois par jour, dans des cabinets médicaux, des agences marketing, des services RH. Pas par malveillance. Par méconnaissance.

Ce que ChatGPT, Claude et Copilot collectent réellement

La réponse courte : bien plus que ce qu’on imagine, et différemment selon l’outil et le plan souscrit.

Selon la politique de confidentialité officielle d’OpenAI, ChatGPT collecte trois types de données : les informations de compte (nom, email, paiement), l’intégralité du contenu saisi dans le chatbot (textes, fichiers, images partagées), et les données techniques de l’appareil (localisation, adresse IP). Ces données peuvent être partagées avec des fournisseurs, des prestataires de services et des entités affiliées.

La nuance critique est là : dans la version gratuite ou « Plus », OpenAI conserve l’historique des conversations et peut s’en servir pour entraîner ses futurs modèles. Pour désactiver cela, il faut aller manuellement dans les paramètres, onglet « Gestion des données », et décocher la case correspondante.

Pour Claude, la CNIL indique la marche à suivre : se rendre dans les paramètres du compte, onglet « Confidentialité », et décocher « Aider à améliorer Claude ». Pour Copilot : désactiver les options « Formation du modèle sur du texte » et « Formation du modèle sur la voix ». Pour Grok : onglet « Contrôle de données », décocher « Améliorer le modèle ».

Ce que l’analyse comparative de Camocopy met en lumière est plus préoccupant : la plupart de ces plateformes fonctionnent sur un principe de « données d’abord » plutôt que de « confidentialité par défaut ». L’opt-out existe, mais il n’est pas le réglage de départ.

Le risque RGPD concret : quand vos données clients partent chez OpenAI

Le problème n’est pas seulement individuel. Il devient juridique dès qu’on parle de données de tiers.

RGPDKit le formule clairement : si vous collez le nom, l’email ou le problème d’un client dans ChatGPT, vous venez de partager ses données personnelles avec OpenAI, sans son consentement. C’est une violation directe du RGPD, avec des sanctions potentielles jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Moon-IA identifie deux risques distincts : la fuite de données (l’IA pourrait régénérer ces informations lors d’une requête d’un utilisateur externe) et la violation légale (exposer des données personnelles à un tiers non autorisé). Ces deux risques coexistent et peuvent se cumuler.

Les données envoyées à ChatGPT en version cloud public peuvent également être stockées sur des serveurs américains, ce qui pose des problèmes de transfert international au regard du droit européen. C’est un point que Mister-IA souligne dans son analyse sur la sécurité des données : malgré les précautions techniques et juridiques, utiliser l’IA avec discernement reste la première ligne de défense.

En 2026, la CNIL a été désignée autorité nationale de surveillance de l’AI Act en France, avec des compétences régaliennes pour auditer, sanctionner et imposer des corrections. Ce n’est plus une mission de conseil. Les contrôles sont en cours.

Ce que l’AI Act change pour les utilisateurs et les entreprises

Le RGPD encadrait les données. L’AI Act encadre les systèmes. Les deux s’appliquent désormais en parallèle.

Selon le guide de conformité Leto, l’AI Act sera pleinement applicable aux systèmes à haut risque le 2 août 2026. Les sanctions en cas de non-conformité atteignent 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les catégories les plus graves.

Ce qui change concrètement pour les utilisateurs : les chatbots et assistants IA doivent désormais s’identifier comme tels (obligation de transparence, article 50 de l’AI Act). Tout contenu généré par IA doit être identifiable. Cette règle concerne aussi bien les entreprises qui déploient ces outils que les plateformes qui les fournissent.

Pour les entreprises qui utilisent l’IA en RH ou en scoring financier, le cadre est encore plus strict. Quillet Digital le précise : une PME française qui utilise un outil de recrutement automatisé ou un système de scoring de crédit peut très bien tomber sous le coup des obligations les plus strictes du règlement, peu importe sa taille. Le critère déterminant, c’est le niveau de risque du système utilisé, pas la taille de l’entreprise.

Un point souvent ignoré : l’AI Act ne remplace pas le RGPD, il s’y ajoute. En 2026, la CNIL surveille particulièrement deux problèmes liés à l’IA générative : les hallucinations (une IA qui invente une fausse information sur une personne réelle constitue une violation de l’article 5 du RGPD) et la prise de décision automatisée (une banque ne peut pas refuser un crédit uniquement sur la base d’un score IA, une intervention humaine reste obligatoire).

Comment limiter l’exposition sans renoncer aux outils

Rien n’impose de cesser d’utiliser ces outils. Quelques règles de base changent radicalement l’exposition au risque.

La règle de la carte postale. Jesauvegardemesdocuments.fr la formule bien : si vous n’écririez pas l’information sur une carte postale, ne l’envoyez pas à un modèle de langage sans avoir vérifié les conditions d’utilisation. Mots de passe, numéros de carte bancaire, données médicales identifiantes, informations personnelles de tiers : ces catégories ne doivent jamais aller dans un assistant IA en version publique.

Désactiver l’entraînement sur vos données. La CNIL a publié un guide complet outil par outil pour désactiver la collecte à des fins d’entraînement sur ChatGPT, Claude, Copilot, Grok et LinkedIn. C’est une démarche de quelques minutes, mais elle n’est jamais faite par défaut.

Utiliser les versions entreprise pour les données sensibles. Moon-IA distingue trois approches selon le niveau de sensibilité des données : les versions entreprise avec clauses de non-réutilisation (ChatGPT Enterprise, Copilot pour Microsoft 365), le déploiement de modèles en local pour les secteurs médical ou de la défense (Llama, Mistral hébergés sur serveurs internes), ou l’anonymisation systématique avant envoi. La règle de base : retirer tout élément identifiant avant de soumettre un texte à une IA publique.

Créer une charte d’usage interne. Pour les entreprises, Moon-IA insiste sur ce point : la technique seule ne suffit pas. Une charte interne définissant ce que les collaborateurs ont le droit de partager avec un outil IA est indispensable. Sans elle, les usages informels (ce que l’AI Act appelle la « Shadow AI ») créent des risques que l’entreprise ne maîtrise pas.

Pour aller plus loin en vidéo

Mon avis

J’utilise des outils IA tous les jours depuis deux ans. Et honnêtement, pendant longtemps je n’ai pas vraiment regardé ce que je partageais. Des bribes d’emails, des extraits de briefs clients, des noms. Rien de délibéré, juste de la négligence.

Ce qui m’a changé, c’est de réaliser que le problème n’est pas les données que je protège consciemment. C’est celles que j’envoie sans y penser, parce que c’est rapide, parce que c’est pratique, parce que personne autour de moi ne pose la question.

Ce que je trouve sous-estimé dans tout ce débat : la question n’est pas seulement individuelle. Quand une entreprise déploie ChatGPT sans charte interne, elle expose les données de ses clients sans leur consentement. Ce n’est pas une question de mauvaise foi. C’est une question de gouvernance que la plupart des structures n’ont pas encore mise en place.

La réglementation est là, elle devient opposable, et les premiers contrôles sont en cours. Mais la vraie question qui reste ouverte pour moi : est-ce que les citoyens ont réellement les moyens de comprendre ce qui se passe avec leurs données dans ces systèmes ? Lire une politique de confidentialité de 40 pages n’est pas une réponse satisfaisante.