IA Amilog6 — comprendre et choisir, sans jargon ni parti pris amilog6.com
Sécurité & éthique8 min de lecture

IA et données personnelles : ce que deviennent vraiment vos conversations

Chaque question posée à un assistant IA laisse une trace. Par défaut, la plupart des services conservent l'historique et s'en servent pour améliorer leurs modèles — un réflexe qui peut transformer une conversation anodine en fuite de données.

Le principe de base : le RGPD s'applique pleinement

La CNIL l'a confirmé sans ambiguïté dans sa délibération n°2025-047 du 5 juin 2025 : les systèmes d'IA relèvent pleinement de la protection des données personnelles, que ce soit au niveau des données d'entraînement, des données mémorisées dans le modèle, ou de celles saisies directement dans vos prompts. Coller le dossier d'un client ou les coordonnées d'un salarié dans une conversation ChatGPT revient juridiquement à transférer ces données au fournisseur du modèle — souvent hébergé hors de l'Union européenne.

Ce que font vraiment les principaux services par défaut

  • ChatGPT (OpenAI) — par défaut, les conversations de la version gratuite servent à améliorer les modèles, sans limite de conservation clairement définie. Un opt-out existe (Paramètres → Contrôles des données → décocher "Améliorer le modèle pour tous") mais doit être activé manuellement et n'est pas rétroactif.
  • Claude (Anthropic) — n'utilise pas les échanges des abonnés payants pour l'entraînement ; l'option "Aider à améliorer Claude" reste désactivable dans les paramètres de confidentialité.
  • Gemini (Google) — géré via "l'Activité dans les applications Gemini" ; la désactiver supprime aussi l'historique de conversation existant.
  • Copilot (Microsoft) — deux réglages distincts à désactiver : "Formation du modèle sur du texte" et l'option équivalente pour le format vocal.

La CNIL a publié un guide détaillé, plateforme par plateforme (ChatGPT, Gemini, Copilot, Claude, LinkedIn, Meta AI), pour exercer ce droit d'opposition sans avoir à décoder les interfaces seul.

Les sanctions ne sont pas théoriques

La CNIL a mis en demeure OpenAI en 2024 pour défaut d'information claire aux utilisateurs, ce qui a conduit à des ajustements d'interface et de réglages par défaut. En mars 2026, l'autorité italienne de protection des données (Garante) a bloqué DeepSeek sur le territoire italien. Les sanctions RGPD peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'entreprise fautive.

En entreprise : qui porte la responsabilité

Un point souvent mal compris : si un salarié colle des données personnelles dans son compte ChatGPT personnel pour une tâche professionnelle, c'est l'entreprise, et non le salarié, qui reste juridiquement responsable de ce traitement au titre du RGPD. La situation la plus risquée n'est pas un projet IA structuré, mais l'usage diffus et individuel sans charte interne, sans liste d'outils autorisés, sans formation des équipes.

Pour une organisation, trois réflexes réduisent l'essentiel du risque : privilégier les versions professionnelles (Enterprise, Business) qui garantissent contractuellement la non-réutilisation des données ; interdire explicitement la saisie de données personnelles ou confidentielles dans les versions gratuites grand public ; et documenter l'usage de l'IA générative dans le registre des traitements comme n'importe quel autre outil.

Les trois réglages à changer dès aujourd'hui

  1. Désactiver l'historisation et l'entraînement sur vos conversations — l'option existe chez tous les grands éditeurs sous des noms différents.
  2. Activer le mode de confidentialité renforcée quand il existe (Chat temporaire chez ChatGPT, Enterprise Data Protection chez Microsoft 365 Copilot).
  3. Exercer votre droit à l'effacement (article 17 du RGPD) pour supprimer définitivement l'historique déjà accumulé.

Si un éditeur ne répond pas à une demande d'effacement sous 30 jours, une plainte peut être déposée directement auprès de la CNIL (cnil.fr/fr/plaintes).

Ce qu'il ne faut jamais saisir dans une IA générative

Mots de passe, numéros de carte bancaire, numéro de sécurité sociale, données médicales confidentielles, secrets d'affaires, ou toute information permettant d'identifier un tiers sans son consentement. Ces données peuvent être conservées sur les serveurs du prestataire et potentiellement réutilisées dans des contextes que vous ne maîtrisez plus.

Pour comprendre les termes techniques utilisés ici, voir notre glossaire de l'IA.