Vos équipes utilisent-elles déjà l'IA sans vous le dire ?

Très probablement oui. Le baromètre IFOP pour Talan, dans son édition de 2025, mesure que 43 % des salariés français utilisent l'IA générative dans leur travail, contre une part bien plus faible un an plus tôt. La même étude relève que seuls 9 % des salariés disposent d'un outil d'IA mis à disposition par leur entreprise, et que 15 % seulement ont été formés à son usage. L'écart entre ces chiffres décrit une situation simple : l'usage progresse vite, l'encadrement ne suit pas.

On appelle ce phénomène l'IA de l'ombre. Faute d'outil validé et de consigne claire, un salarié qui veut résumer un compte rendu, reformuler un courrier ou trier une liste ouvre l'outil qu'il connaît, souvent la version gratuite de ChatGPT, et y colle ce dont il a besoin. Il ne cherche pas à mal faire : il gagne du temps. Le problème n'est pas son intention, c'est que personne ne lui a dit où était la limite.

Pour un dirigeant, le premier réflexe utile n'est donc pas d'interdire, mais de regarder la réalité en face. Vos données circulent déjà, en partie, dans des outils que vous n'avez pas choisis. La question n'est pas de savoir si le sujet vous concerne, mais si vous préférez le cadrer ou le subir.

Que risquez-vous vraiment quand une donnée part dans ChatGPT ?

Trois risques concrets, sans dramatiser ni minimiser.

La donnée peut échapper à votre contrôle. Dans les versions grand public gratuites, les contenus saisis peuvent être conservés et servir à améliorer les modèles, sauf réglage contraire. Une note interne, une liste de clients ou un extrait de contrat collé dans un tel outil quitte votre périmètre. Le cas de Samsung, en 2023, a marqué les esprits : après que des salariés ont saisi du code interne et des notes confidentielles dans ChatGPT, l'entreprise a restreint l'usage des IA génératives grand public sur ses postes professionnels. Ce n'était pas une cyberattaque, seulement un usage banal sans cadre.

Le coût d'un incident grimpe quand l'IA n'est pas encadrée. Le rapport IBM sur le coût des violations de données, publié en juillet 2025, chiffre le phénomène : les organisations où l'IA est utilisée sans encadrement voient le coût moyen d'une violation augmenter de près de 670 000 dollars par rapport aux autres. Une organisation étudiée sur cinq a connu une violation liée à un outil d'IA non autorisé, et parmi celles qui ont subi une violation liée à l'IA, 97 % n'avaient pas mis en place de contrôle d'accès adapté. Le message n'est pas que l'IA est dangereuse, mais que l'absence de cadre l'est.

La responsabilité reste la vôtre. Si une donnée personnelle de client ou de salarié fuite par ce canal, c'est l'entreprise qui répond, pas l'éditeur de l'outil. C'est ce point qui fait passer le sujet du confort informatique à la responsabilité de dirigeant.

Le RGPD s'applique-t-il à l'usage de l'IA générative ?

Oui, sans ambiguïté. La CNIL, dans les recommandations sur l'IA qu'elle a publiées entre 2024 et 2025, rappelle un principe clair : le RGPD s'applique dès que des données personnelles sont utilisées en entrée d'un système d'IA ou produites en sortie. Coller le dossier d'un candidat, une base de clients ou des éléments RH dans un outil d'IA constitue un traitement de données personnelles, avec les obligations habituelles de finalité, de minimisation et de sécurité.

Cela ne veut pas dire qu'il faut renoncer à l'IA. La CNIL a justement construit ses recommandations pour rendre l'usage possible, à condition de le penser en amont : savoir quelles données on manipule, choisir un outil adapté, et documenter ses choix. Pour une PME, il ne s'agit pas de monter un dossier de conformité complexe, mais d'appliquer des règles de bon sens que le cadre légal ne fait que confirmer.

Comment protéger vos données sans interdire l'IA ?

Interdire l'IA revient le plus souvent à la pousser dans l'ombre, sur les téléphones personnels, là où vous ne voyez plus rien. Encadrer est à la fois plus protecteur et plus réaliste. Trois règles couvrent l'essentiel.

Règle 1 : choisir une offre où vos données ne servent pas à entraîner les modèles. Les principaux éditeurs proposent des offres professionnelles et entreprise assorties d'un engagement de non-réutilisation des contenus pour l'entraînement. C'est la différence majeure avec les versions gratuites. Le surcoût par utilisateur est modeste au regard de la protection obtenue, et il donne un outil que vous pouvez recommander sans réserve.

Règle 2 : définir la liste de ce qui ne se saisit jamais dans un outil grand public. Données personnelles de tiers, dossiers RH, contrats et conditions commerciales, prix et marges, identifiants, code source, tout secret d'affaires. Une règle simple aide à trancher : si vous ne le publieriez pas sur votre site, ne le collez pas dans un outil grand public. Pour les documents sensibles, anonymisez avant, ou passez par l'outil professionnel validé.

Règle 3 : écrire une règle d'une page et la faire connaître. Un document court qui dit quel outil utiliser, ce qui est autorisé, ce qui ne l'est pas, et qui contacter en cas de doute. Rappelons que seuls 15 % des salariés déclarent avoir été formés : une consigne claire et un rappel régulier valent mieux qu'une charte de vingt pages que personne ne lit. Désignez un référent, même à temps très partiel, vers qui remonter les questions.

Par où commencer concrètement

L'ordre rationnel, tenable même dans une petite structure :

  1. Faire l'état des lieux. Demandez simplement à vos équipes quels outils elles utilisent déjà et pour quoi. Sans reproche : l'objectif est de voir la réalité, pas de sanctionner.
  2. Choisir et fournir un outil. Une offre professionnelle avec engagement de non-réutilisation des données, accessible à ceux qui en ont l'usage. C'est ce qui rend la règle crédible.
  3. Écrire la règle d'une page. Outil autorisé, liste rouge de données, personne à contacter. Diffusez-la et rappelez-la.
  4. Former en une fois, court. Une session d'une heure sur les bons usages et les pièges vaut mieux qu'un long document. Refaites un point quelques mois plus tard.

Ce cadre n'exige ni service informatique ni budget lourd. Il demande une décision et une demi-journée de mise en forme. C'est le rapport effort sur risque le plus favorable que l'on rencontre sur le sujet de l'IA en entreprise.