Que recommandez-vous pour démarrer en conformité ?

3 actions : passer aux versions payantes pro (ChatGPT Team/Claude for Work, ~25-30€/mois/personne), déployer la charte d'usage IA (template 1 page), former l'équipe au Test des 3 secondes et anonymisation. Conforme pour 95% des usages business.

CHAPITRE 6 / 12 10 min de lecture Conformité

Confidentialité & RGPD.
La zone rouge.

Q: Si j'utilise ChatGPT Plus je peux taper ce que je veux ?

Mieux mais pas totalement. ChatGPT Plus ne réutilise pas vos données pour l'entraînement par défaut, mais les données transitent sur serveurs US. Pour business avec données sensibles, préférez ChatGPT Team/Enterprise, Claude for Work, ou solution souveraine n8n auto-hébergé Hostinger France.

Q: L'anonymisation par variables est-elle vraiment efficace ?

Oui à condition d'être systématique. Aucune donnée personnelle réelle ne traverse le prompt, juste des [VARIABLES]. L'IA produit une réponse-modèle. Vous remplacez en local avant envoi. L'IA ne voit jamais les vraies données.

Q: Quelles sanctions concrètes pour une TPE/PME française ?

RGPD : jusqu'à 10 M€ ou 2% CA. Pratique TPE/PME : 5000€ à 100000€. IA Act ajoute jusqu'à 35M€ ou 7% CA pour manquements graves. Risque le plus fréquent : contentieux client qui découvre l'envoi de ses données à OpenAI sans consentement.

Q: Comment former mes équipes à respecter la Zone Rouge ?

Lire chapitre 6, faire exercice Audit Zone Rouge sur prompts récents, diffuser charte d'usage IA, afficher Test des 3 secondes en intranet. Pour équipes 5+, formations intra payantes AzenFlow incluent module RGPD/IA Act avec pratique.

Q: Que faire si on a déjà tapé des données sensibles dans ChatGPT ?

Identifier la nature des données envoyées, supprimer les conversations concernées, demander suppression à OpenAI via formulaire RGPD, documenter l'incident dans registre RGPD, mettre en place la charte d'usage pour éviter récidive.

Quand vous collez le nom et l'email d'un client dans ChatGPT gratuit, vous franchissez peut-être la zone rouge sans le savoir. Et la CNIL pourrait s'en mêler.

Dans ce chapitre, on vous donne les règles claires, la technique d'anonymisation et le Test des 3 secondes qui permet à votre équipe de ne jamais déraper.

1. Pourquoi le RGPD s'applique à votre usage de ChatGPT

Beaucoup pensent : "J'utilise ChatGPT juste pour rédiger des emails, le RGPD n'a rien à voir là-dedans." C'est faux.

Dès que vous collez un nom de personne, un email, un numéro de téléphone, une adresse, un numéro de Sécurité sociale dans ChatGPT, vous transmettez des données personnelles à OpenAI (entreprise américaine). Cela tombe sous le coup du RGPD : transfert de données vers un pays tiers, sans base légale claire dans la plupart des cas, sans information de la personne concernée.

Pour Claude, Gemini, c'est pareil : tout ce que vous tapez part vers leurs serveurs (US ou hors UE). Et pour la version gratuite de ces services, vos données peuvent être utilisées pour entraîner les futurs modèles. Vos données business deviennent un actif d'entraînement pour OpenAI ou Anthropic.

⚡ LA RÈGLE D'OR DU CHAPITRE

Tout ce que vous tapez dans ChatGPT gratuit appartient à OpenAI. Y compris le nom de votre client.

2. La Zone Rouge : ce qu'il ne faut JAMAIS coller dans une IA gratuite

Voici la liste claire de ce qui constitue la Zone Rouge. Pour aucun usage, sous aucune justification, sans précaution :

Type de donnée	Exemples concrets
Identité directe	Nom + prénom, photo, signature, date de naissance
Coordonnées	Email pro/perso, téléphone, adresse postale
Identifiants	N° SIREN/SIRET avec nom, n° de Sécurité sociale, IBAN, n° de carte bancaire
Données sensibles RGPD	Santé, opinions politiques, religion, vie sexuelle, données biométriques, casier judiciaire
Secrets business	Stratégie commerciale, brevets en cours, contrats clients, formules propriétaires
Documents internes	Bilans non publics, audits internes, comptes-rendus codir, salaires

3. La technique d'anonymisation par variables

OK, mais comment faire si vous avez vraiment besoin de l'IA pour traiter un cas réel ? La technique que nous utilisons en formation chez AzenFlow : l'anonymisation par variables.

Le principe : vous remplacez systématiquement chaque donnée personnelle ou sensible par une variable encadrée par des crochets [VARIABLE]. L'IA reçoit la structure de votre demande sans les vraies données. Vous récupérez la réponse, et vous remplacez les variables par les vraies valeurs en sortie, dans votre éditeur local.

Exemple concret AVANT/APRÈS

❌ AVANT (Zone Rouge)

Votre prompt :

"Réponds à Jean Dupont (jean.dupont@cabinet-juridique.fr) qui m'a écrit que sa femme a une dépression et qu'il ne peut pas finir le contrat client Société Martin SARL avant le 15 mars."

Problème : vous transmettez à OpenAI le nom du contact, son email pro, une donnée de santé sensible (dépression de la femme), et le nom d'un client. Quadruple violation RGPD.

✅ APRÈS (anonymisé)

Votre prompt :

"Réponds à [CONTACT_A] qui m'a écrit qu'il traverse [DIFFICULTÉ_PERSONNELLE] et qu'il ne peut pas finir [CONTRAT_CLIENT_B] avant [ÉCHÉANCE]. Ton bienveillant, propose un délai et un soutien sans entrer dans les détails personnels."

L'IA produit une réponse-modèle avec [CONTACT_A], [DIFFICULTÉ_PERSONNELLE], etc. Vous remplacez les variables par les vraies valeurs dans votre éditeur local avant d'envoyer.

4. Le Test des 3 secondes

Avant d'appuyer sur "Entrée" pour envoyer un prompt, posez-vous cette question pendant 3 secondes :

🛡️ LE TEST DES 3 SECONDES

« Ce que je m'apprête à envoyer à ChatGPT, je serais OK qu'il apparaisse sur LinkedIn demain matin ? »

Si la réponse est non, vous êtes dans la Zone Rouge. Anonymisez avant d'envoyer.

C'est un test brutal mais efficace. Il force à se demander si la donnée est sensible du point de vue de la personne concernée, pas seulement du vôtre. Le nom d'un client lambda sur un email de relance ? Probablement OK. Le nom d'un client dans un contexte de litige ? Zone rouge.

5. L'IA Act 2026 : ce qui change pour les TPE/PME

L'IA Act européen entre en application progressive en 2026. Pour les TPE/PME françaises, voici les obligations clés :

→ Article 50 : Transparence

Vous devez informer les utilisateurs (clients, salariés) quand ils interagissent avec une IA (chatbot, scoring, génération de contenu publié). Mention obligatoire.
→ Registre des modèles utilisés

Tenir une liste écrite des outils IA utilisés dans l'entreprise (ChatGPT, Claude, agents n8n, etc.) et des usages associés. Doit être présentable à la CNIL en cas de contrôle.
→ Humain dans la boucle pour décisions impactantes

Pour les décisions RH (recrutement, promotion), scoring crédit, sélection client : interdiction de la décision 100 % automatique. Humain doit valider.
→ Information aux personnes concernées

Si l'IA traite des données personnelles, mention dans la politique de confidentialité et information explicite aux personnes (RGPD article 13/14).

Sanctions : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les manquements graves. Pour une TPE/PME, le risque réel est plutôt l'amende CNIL classique (jusqu'à 10 M€ ou 2 % CA) ou le contentieux client.

6. Les solutions pratiques pour rester conforme

Voici les bonnes pratiques opérationnelles à mettre en place dans votre TPE/PME :

Pratique	Comment l'implémenter
Charte d'usage IA interne	Document court (1-2 pages) qui liste la Zone Rouge et les outils autorisés. Diffusé à toute l'équipe.
Préférer les versions payantes / pro	ChatGPT Team, Claude for Work : engagent le non-entraînement sur vos données. Bien meilleur pour conformité.
Solution souveraine pour le sensible	n8n auto-hébergé sur Hostinger France + modèles open-source (Mistral, Llama). Données restent en UE.
Registre d'usage IA	Fichier Excel ou Notion qui liste : outil, usage, type de données, base légale. Mis à jour trimestriellement.
Mention dans la politique privacy	Mise à jour de votre politique de confidentialité avec la mention IA. Modèle CNIL disponible.

⚡ RÈGLE D'OR BIS DU CHAPITRE

Anonymisation par variables + Test des 3 secondes + outils pro = vous êtes en règle pour 95 % des usages.

📝 EXERCICE DU CHAPITRE 6

L'audit Zone Rouge de votre semaine

Cet exercice prend 10 minutes et fait prendre conscience de votre exposition réelle.

Listez les 5 derniers prompts que vous avez envoyés à ChatGPT, Claude ou Gemini cette semaine.
Pour chacun, appliquez le Test des 3 secondes : "Si ce contenu apparaissait sur LinkedIn demain, je serais OK ?"
Identifiez ceux qui sont en Zone Rouge (réponse "non").
Pour chacun, réécrivez-le avec la technique d'anonymisation par variables.
Notez combien de variables vous avez introduites par prompt en moyenne.

Ce que ça vous apprend : sur 5 prompts d'une semaine type d'un dirigeant TPE/PME, vous trouverez généralement 2 à 3 en Zone Rouge sans vous en rendre compte. Ce simple exercice est l'audit RGPD le plus utile et le moins cher de votre année.

📋 TEMPLATE · CHARTE D'USAGE IA INTERNE (1 PAGE)

À adapter et diffuser à toute votre équipe

Modèle minimal de charte d'usage IA, en conformité IA Act 2026, à mettre en place dans votre TPE/PME.

CHARTE D'USAGE IA · [VOTRE ENTREPRISE]
Mise à jour : [DATE]

OUTILS AUTORISÉS :
- ChatGPT Plus / Team (compte pro)
- Claude Pro / for Work (compte pro)
- [Autre outil pro]

ZONE ROUGE (interdit dans les outils gratuits) :
- Noms, emails, téléphones de personnes (clients, salariés, prospects)
- Données financières non publiques
- Documents internes (bilans, comptes-rendus codir)
- Données sensibles RGPD (santé, opinions, etc.)

RÈGLE :
- Test des 3 secondes avant tout envoi
- Anonymisation par variables [VARIABLE] obligatoire
- Vérification de toute info factuelle avant diffusion (cf. Matrice d'Impact Ch.5)

EN CAS DE DOUTE :
Contacter [DPO ou référent IA] avant d'envoyer.

DÉROGATIONS :
- n8n auto-hébergé Hostinger France : OK pour données sensibles
- Validation au cas par cas par [responsable]

Pourquoi ça marche : une charte courte (1 page) sera lue. Une charte de 20 pages ne le sera pas. Visez la clarté et l'opérationnalité. Affichez-la sur Notion / Slack / intranet.

🎯 CE QUE VOUS DEVEZ RETENIR DU CHAPITRE 6

Tout ce que vous tapez dans ChatGPT gratuit appartient à OpenAI et peut entraîner les futurs modèles.
Zone Rouge : identités, coordonnées, secrets business, documents internes, données sensibles RGPD.
Anonymisation par variables : remplacer chaque donnée par [VARIABLE] avant d'envoyer.
Test des 3 secondes : "OK si ça apparaît sur LinkedIn demain ?" Sinon, anonymisez.
IA Act 2026 : transparence, registre des modèles, humain dans la boucle pour décisions impactantes, mention dans la politique privacy.

← CHAPITRE 5

Hallucinations IA

Pourquoi l'IA invente, Matrice d'Impact

CHAPITRE 7 →

Les 3 compétences du Manager d'IA

Langage précis, Structure, Mise en forme

QUESTIONS FRÉQUENTES

Questions fréquentes sur ce chapitre

Si j'utilise ChatGPT Plus, je peux taper ce que je veux ?

Mieux mais pas totalement. La version Plus (compte payant individuel) ne réutilise pas vos données pour l'entraînement par défaut, mais les données transitent toujours sur des serveurs OpenAI (US). Pour un usage business avec données vraiment sensibles, préférez ChatGPT Team ou Enterprise (engagement contractuel non-réentraînement et options de localisation), Claude for Work, ou une solution souveraine type n8n auto-hébergé sur Hostinger France.

L'anonymisation par variables est-elle vraiment efficace ?

Oui, à condition d'être systématique. La règle : aucune donnée personnelle réelle ne traverse le prompt, juste des [VARIABLES]. L'IA produit une réponse-modèle. Vous remplacez les variables par les vraies valeurs en local (dans Word, Notion, votre logiciel) avant envoi. Ainsi l'IA ne voit jamais les vraies données. C'est la technique la plus simple et la plus universelle.

Quelles sanctions concrètes pour une TPE/PME française ?

Pour les manquements RGPD classiques : la CNIL peut sanctionner jusqu'à 10 M€ ou 2 % du CA annuel mondial (le plus élevé). En pratique, les sanctions pour TPE/PME sont souvent dans la fourchette 5 000 € à 100 000 € selon la gravité. L'IA Act ajoute jusqu'à 35 M€ ou 7 % du CA pour les manquements graves (usage IA "à risque inacceptable"). Mais le risque le plus fréquent reste le contentieux client : un client qui découvre que ses données personnelles ont été envoyées à OpenAI sans son consentement peut engager une action en réparation.

Comment former mes équipes à respecter la Zone Rouge ?

Quatre étapes : (1) leur faire lire ce chapitre 6 du cours (10 min) ; (2) leur faire l'exercice Audit Zone Rouge sur leurs propres prompts récents (10 min) ; (3) diffuser la charte d'usage IA (template ci-dessus) ; (4) afficher le Test des 3 secondes en intranet. Pour des équipes plus larges (5+ personnes), nos formations intra payantes incluent un module dédié RGPD/IA Act avec mise en pratique.

Que faire si on a déjà tapé des données sensibles dans ChatGPT ?

D'abord, ne paniquez pas. Ensuite : (1) identifier la nature des données envoyées (cartographie rapide) ; (2) supprimer les conversations concernées dans l'interface (utile mais ne supprime pas des serveurs OpenAI) ; (3) demander la suppression à OpenAI via leur formulaire RGPD officiel ; (4) documenter l'incident dans votre registre des incidents RGPD (obligation CNIL si données personnelles concernées) ; (5) mettre en place la charte d'usage pour éviter la récidive.

Que recommandez-vous concrètement pour démarrer en conformité ?

3 actions à court terme : (1) passer aux versions payantes pro de ChatGPT et/ou Claude (compte Team ou for Work), ~25-30 €/mois/personne ; (2) déployer la charte d'usage IA (template ci-dessus, 1 page, 30 min de personnalisation) ; (3) former l'équipe au Test des 3 secondes et à l'anonymisation par variables (1h de formation interne suffit, ou ce chapitre du cours en autodidacte). Vous êtes alors conforme pour 95 % des usages business courants.

Vous voulez sécuriser RGPD pour votre équipe ?

La formation IA Act 2026 (1 jour intra) couvre la mise en conformité opérationnelle de votre TPE/PME. Audit 45 min gratuit pour qualifier le besoin.

Audit 45 min · Offert Voir formation IA Act →