L’usage de ChatGPT et des outils d’IA générative s’installe dans les entreprises. Un salarié peut résumer un contrat, préparer une réponse commerciale, analyser un fichier client, corriger un code source, traduire une proposition ou rédiger un compte rendu de réunion en quelques minutes. Le gain est réel. Le risque l’est aussi.
L’actualité réglementaire rend le sujet immédiat. La Commission européenne prépare l’entrée en application de nouvelles obligations de l’AI Act au 2 août 2026. La CNIL multiplie les recommandations sur l’IA générative, les TPE-PME et le RGPD. OpenAI communique de son côté sur les garanties proposées aux offres professionnelles. Pour une entreprise, la bonne question n’est donc plus : « peut-on utiliser ChatGPT ? ». La question utile est : « quelles données peut-on envoyer, avec quel contrat, quelles preuves et quelles limites internes ? »
Ce sujet relève du droit des affaires. Il touche au secret des affaires, aux contrats fournisseurs, aux données personnelles, aux relations avec les clients, aux appels d’offres, aux levées de fonds et à la responsabilité du dirigeant. Une entreprise qui laisse chacun utiliser une IA générative sans règle écrite peut perdre une protection juridique qu’elle croyait acquise.
ChatGPT en entreprise : pourquoi le risque juridique augmente en 2026
Le volume de recherche confirme la demande. Les requêtes « ia act » et « ai act » dépassent plusieurs milliers de recherches mensuelles en France. « ChatGPT entreprise » reste plus étroit, mais il présente un intérêt commercial plus fort : les entreprises ne cherchent pas seulement une définition, elles veulent savoir si elles peuvent déployer l’outil sans exposer leurs données clients, leurs contrats, leurs marges ou leurs informations stratégiques.
Le risque vient d’un décalage. Dans beaucoup de PME, l’IA générative est déjà utilisée avant que la direction juridique, le DPO, l’expert-comptable ou le conseil informatique n’aient défini les règles. Un collaborateur peut copier un extrait de contrat client dans un outil public. Un commercial peut faire corriger une proposition confidentielle. Un dirigeant peut demander une synthèse d’un protocole de cession. Un service RH peut tester un tri de candidatures.
Dans chacun de ces cas, la difficulté n’est pas seulement technique. Elle est probatoire. Si un client reproche une divulgation, si un candidat conteste une décision assistée par IA, si un investisseur découvre que des informations sensibles ont été envoyées dans un outil non encadré, l’entreprise devra expliquer ce qu’elle avait interdit, autorisé, vérifié et contractualisé.
Données confidentielles : ce qu’il ne faut pas envoyer dans une IA non encadrée
La première règle est simple : une entreprise ne doit pas envoyer dans un outil non validé ce qu’elle n’enverrait pas librement à un prestataire inconnu.
Sont particulièrement sensibles :
- les contrats en cours de négociation ;
- les prix, marges, remises et conditions commerciales ;
- les fichiers clients et prospects ;
- les données RH, candidatures, évaluations et dossiers disciplinaires ;
- les business plans, audits, due diligences et projets de cession ;
- les codes sources, procédés, méthodes internes et secrets techniques ;
- les documents couverts par une clause de confidentialité ;
- les pièces reçues d’un client ou d’un partenaire sous engagement de discrétion ;
- les données personnelles de clients, salariés, dirigeants, candidats ou fournisseurs.
Le fait que l’outil soit performant ne change pas la qualification des données. Une marge commerciale reste confidentielle. Un fichier client reste une donnée stratégique. Une information personnelle reste soumise au RGPD. Un document transmis sous NDA reste soumis au contrat.
Secret des affaires : pourquoi une charte IA devient une preuve
Le secret des affaires ne protège pas automatiquement toutes les informations internes. L’article L.151-1 du code de commerce protège une information qui n’est pas généralement connue, qui a une valeur commerciale du fait de son caractère secret et qui fait l’objet de mesures de protection raisonnables.
Cette troisième condition est décisive. Si une entreprise laisse ses collaborateurs copier des informations stratégiques dans des outils d’IA sans consigne, sans contrôle et sans contrat, l’adversaire pourra soutenir que les mesures de protection n’étaient pas raisonnables. La discussion ne portera pas seulement sur l’outil. Elle portera sur l’organisation interne.
Une charte IA courte et appliquée peut donc devenir une preuve utile. Elle doit dire quels outils sont autorisés, quelles données sont interdites, qui valide les nouveaux usages, comment anonymiser les documents, comment signaler une erreur et qui conserve les traces. Elle doit être diffusée, comprise et mise à jour.
La charte ne suffit pas si elle reste théorique. Il faut aussi former les personnes exposées : commerciaux, RH, dirigeants, développeurs, assistants, juristes, équipes marketing et responsables financiers. Les usages les plus risqués ne viennent pas toujours d’une intention fautive. Ils viennent souvent d’un geste rapide : copier-coller un document pour gagner du temps.
RGPD : données personnelles, DPA et transfert hors Union européenne
Lorsqu’un prompt contient des données personnelles, l’entreprise doit raisonner comme pour tout traitement. Il faut identifier la finalité, la base légale, les données utilisées, les destinataires, la durée de conservation, les droits des personnes et les mesures de sécurité.
Le point contractuel est central. Si l’entreprise utilise une solution professionnelle, elle doit vérifier le contrat de traitement de données, les paramètres de conservation, les garanties de sécurité, les accès administrateur, les journaux d’audit, la résidence des données si elle est proposée et les transferts éventuels hors Union européenne.
La réponse « nous utilisons ChatGPT » ne suffit pas. Il faut distinguer l’offre grand public, l’offre professionnelle, l’API, les connecteurs, les GPT internes, les outils tiers qui appellent un modèle externe et les intégrations dans un logiciel métier. Le niveau de maîtrise n’est pas le même.
Pour les usages sensibles, le bon réflexe consiste à demander au fournisseur :
- si les prompts et réponses peuvent être réutilisés pour améliorer les modèles ;
- pendant combien de temps les données sont conservées ;
- où les données sont hébergées et traitées ;
- quelles mesures de sécurité sont applicables ;
- quel contrat de sous-traitance est disponible ;
- quels journaux d’audit peuvent être produits ;
- quelles options permettent de désactiver l’historique, les partages ou les connecteurs ;
- quelles garanties s’appliquent aux données importées dans une base de connaissance.
Si le fournisseur ne répond pas clairement, l’entreprise doit réduire le périmètre d’usage ou interdire les données personnelles et confidentielles dans cet outil.
Contrats clients et fournisseurs : les clauses à vérifier avant de déployer l’IA
L’IA générative doit être traitée dans les contrats. Une entreprise qui reçoit des informations confidentielles pendant une négociation engage sa responsabilité si elle les utilise ou les divulgue sans autorisation. L’article 1112-2 du code civil vise précisément l’utilisation ou la divulgation non autorisée d’une information confidentielle obtenue à l’occasion des négociations.
Il faut donc relire les clauses de confidentialité, les NDA, les contrats SaaS, les contrats de prestation, les conditions d’appel d’offres et les clauses de sous-traitance. Certains contrats interdisent la communication à tout tiers sans accord préalable. D’autres autorisent les sous-traitants, mais seulement s’ils sont listés ou soumis aux mêmes obligations. Un outil IA externe peut entrer dans cette discussion.
Pour les nouveaux contrats, l’entreprise peut ajouter des clauses simples :
- interdiction d’envoyer les documents confidentiels dans un outil d’IA public non validé ;
- obligation d’utiliser uniquement des solutions approuvées et contractualisées ;
- obligation d’anonymiser les données avant traitement ;
- obligation de tracer les usages d’IA sur les livrables sensibles ;
- obligation d’informer le client si un sous-traitant IA traite ses données ;
- obligation de supprimer les prompts, fichiers et bases temporaires à la fin de la mission ;
- responsabilité en cas de violation de confidentialité.
Ces clauses doivent rester praticables. Une interdiction absolue peut être inutile si toute l’entreprise utilise déjà des outils d’IA. Il vaut mieux une règle réaliste, contrôlable et documentée qu’une clause parfaite jamais appliquée.
AI Act : tous les usages de ChatGPT ne sont pas à haut risque
L’AI Act ne transforme pas chaque usage de ChatGPT en dossier lourd. Un outil utilisé pour corriger un brouillon commercial ou traduire un texte ne présente pas le même niveau de risque qu’un outil utilisé pour filtrer des candidatures, évaluer des salariés, scorer des clients ou assister une décision de crédit.
Le bon raisonnement consiste à classer les usages. Les usages de productivité générale relèvent d’abord de la confidentialité, du RGPD, de la cybersécurité et de la vérification humaine. Les usages qui assistent une décision sur une personne doivent être examinés plus strictement. Les outils de recrutement, de notation, de sélection, de scoring ou de décision automatisée peuvent déclencher des obligations plus lourdes.
L’article déjà publié sur les obligations AI Act des entreprises avant le 2 août 2026 couvre la cartographie générale. Le présent article vise un angle distinct : la fuite de données confidentielles et personnelles par usage quotidien d’une IA générative.
Paris et Île-de-France : les situations où l’avocat doit intervenir vite
À Paris et en Île-de-France, le sujet apparaît souvent dans des contextes à enjeu : cession de société, levée de fonds, litige commercial, départ d’un salarié clé, appel d’offres, contrat SaaS, audit RGPD, rupture de relation commerciale ou conflit entre associés.
L’avocat doit intervenir lorsque l’entreprise découvre qu’un document sensible a été envoyé dans un outil non autorisé, lorsqu’un client exige des garanties sur l’usage de l’IA, lorsqu’un fournisseur refuse de signer un DPA, lorsqu’une clause de confidentialité a peut-être été violée, ou lorsqu’un livrable généré par IA contient une erreur qui a causé un préjudice.
Dans ces cas, il faut agir en trois temps. D’abord, figer les faits : qui a utilisé l’outil, quand, avec quelles données, dans quel compte, avec quels paramètres. Ensuite, limiter le risque : supprimer les fichiers, désactiver les accès, prévenir le fournisseur, isoler les données, décider si une analyse RGPD est nécessaire. Enfin, traiter le contrat : client, fournisseur, salarié, prestataire, assureur et preuves disponibles.
Checklist immédiate pour une PME qui utilise déjà ChatGPT
Une PME peut sécuriser rapidement son usage sans bloquer toute innovation.
Première étape : inventorier les outils réellement utilisés. Il faut inclure les comptes personnels, les comptes professionnels, les extensions navigateur, les outils de traduction, les assistants intégrés à la bureautique, les logiciels marketing et les connecteurs CRM.
Deuxième étape : classer les données. Les documents publics peuvent être traités plus librement. Les documents internes doivent être encadrés. Les données personnelles, secrets d’affaires, contrats en négociation et documents clients doivent être interdits ou traités uniquement dans un cadre validé.
Troisième étape : choisir les solutions autorisées. L’entreprise doit distinguer l’usage gratuit, l’offre professionnelle, l’API et les outils intégrés à des prestataires. Elle doit conserver les contrats, paramètres et preuves de configuration.
Quatrième étape : rédiger une charte courte. Une page peut suffire au départ : usages autorisés, usages interdits, données interdites, validation des exceptions, contrôle humain et signalement des incidents.
Cinquième étape : mettre à jour les contrats. Les clauses de confidentialité, les contrats de prestation, les contrats clients et les contrats fournisseurs doivent préciser les usages d’IA autorisés ou interdits.
Sixième étape : prévoir une procédure d’incident. Si une donnée sensible a été envoyée par erreur, l’entreprise doit savoir qui alerter, comment documenter l’incident, comment contacter le fournisseur et comment décider s’il faut informer un client ou le DPO.
Que faire si une donnée confidentielle a déjà été envoyée dans ChatGPT ?
Il ne faut pas commencer par minimiser. Il faut documenter.
L’entreprise doit conserver la date, le compte utilisé, l’outil exact, le texte envoyé, les fichiers joints, les réponses obtenues, les personnes qui y ont eu accès et les paramètres du compte. Elle doit vérifier si les données peuvent être supprimées, si l’historique peut être effacé, si un administrateur peut produire des journaux et si le fournisseur peut confirmer les conditions de traitement.
Ensuite, il faut qualifier la donnée. Si elle relève du secret des affaires, il faut démontrer que l’entreprise prend des mesures raisonnables pour la protéger. Si elle contient des données personnelles, il faut examiner le RGPD. Si elle provient d’un client ou d’un partenaire, il faut relire le contrat. Si elle concerne une opération en cours, il faut mesurer le risque de négociation, de concurrence ou de responsabilité.
La responsabilité civile peut être engagée si une faute cause un dommage. L’article 1240 du code civil constitue le socle général de cette discussion. En pratique, le litige se jouera sur la faute, la preuve de la divulgation, le préjudice et le lien de causalité.
Besoin d’un avis rapide sur votre dossier.
Le cabinet peut examiner vos usages de ChatGPT, vos contrats fournisseurs, vos clauses de confidentialité et vos risques RGPD en consultation téléphonique sous 48 heures.
Un avocat du cabinet peut vous aider à décider ce qu’il faut interdire, contractualiser, documenter ou corriger immédiatement.
Appelez le 06 46 60 58 22 ou utilisez le formulaire de contact.
Pour les entreprises situées à Paris et en Île-de-France, l’analyse peut intégrer les enjeux commerciaux locaux : appel d’offres, contentieux devant le tribunal de commerce, négociation de cession, relation avec un prestataire SaaS ou conflit entre associés.