Un guide de conformité pour les entreprises : 5 risques juridiques liés à une utilisation non encadrée de ChatGPT, 7 règles pour un déploiement sûr, les obligations des Article 4 et Article 50 de l'EU AI Act, les exigences de protection des données du GDPR, et un modèle de politique IA prêt à l'emploi — relu par un Gyoseishoshi certifié ayant publié plus de 100 ouvrages sur la conformité dans 14 pays.
Fév. 2025Pratiques d'IA interdites de l'Art. 5 mises en application
Août 2025Obligations de transparence de l'Art. 50 mises en application
Août 2026Obligations de maîtrise de l'IA de l'Art. 4 mises en application
La réponse courte : Oui, vous pouvez utiliser ChatGPT au travail — mais pas sans règles. L'EU AI Act, le GDPR et les normes de responsabilité professionnelle imposent tous des obligations sur la façon dont les entreprises utilisent l'IA générative. Ce guide explique les 5 risques d'une utilisation non encadrée, vous donne 7 règles concrètes pour être en conformité, et inclut un modèle de politique prêt à l'emploi. Temps de mise en place estimé : 1 jour pour une PME type.
5 risques liés à l'utilisation de ChatGPT au travail sans règles
La plupart des entreprises ont déjà des employés qui utilisent ChatGPT. La question n'est pas de savoir s'ils l'utilisent, mais s'ils l'utilisent en toute sécurité. Voici les cinq risques juridiques et opérationnels d'une utilisation non encadrée.
Risque 1
Fuite de données
Lorsque les employés saisissent des données clients, des documents financiers ou des secrets commerciaux dans ChatGPT, ces données sont envoyées vers les serveurs d'OpenAI. Sans accord de traitement des données (GDPR Article 28), cela constitue un transfert de données non autorisé. Sur les forfaits gratuits et Plus, vos données peuvent être utilisées pour entraîner de futurs modèles, sauf désactivation explicite de votre part.
Risque 2
Responsabilité liée aux hallucinations
ChatGPT génère des réponses plausibles mais parfois factuellement incorrectes. Si des employés utilisent des conseils juridiques, des prévisions financières ou des informations médicales générées par l'IA sans vérification, c'est votre entreprise qui en porte la responsabilité — pas OpenAI. Des réclamations pour négligence professionnelle, des ruptures de contrat et des violations réglementaires sont autant de conséquences possibles.
Risque 3
Violation de la transparence
L'Article 50 de l'EU AI Act exige une information claire lorsque des clients interagissent avec un système d'IA et lorsque le contenu est généré par l'IA. Utiliser ChatGPT pour rédiger des e-mails clients, générer du contenu marketing ou alimenter des chatbots sans divulgation peut entraîner des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial. Art. 50
Risque 4
Transfert de données transfrontalier
ChatGPT traite les données sur des serveurs qui peuvent être situés en dehors de l'UE. En vertu du GDPR, le transfert de données personnelles vers les États-Unis nécessite soit une certification dans le cadre du Data Privacy Framework UE-États-Unis, soit des Clauses Contractuelles Types accompagnées d'une évaluation de l'impact du transfert, soit un autre mécanisme de transfert valide. Sans cela, chaque requête contenant des données personnelles constitue une violation potentielle du GDPR.
Risque 5
Classification IA à haut risque
Utiliser ChatGPT pour la présélection de candidatures, l'évaluation des employés, la notation de crédit ou d'autres activités de l'Annex III classe automatiquement votre utilisation comme à haut risque au titre de l'EU AI Act. Cela déclenche des évaluations de conformité, une surveillance des biais, une tenue de registres détaillée et des exigences de supervision humaine — des obligations que la plupart des entreprises utilisant ChatGPT de manière informelle n'ont pas envisagées. Annex III
Ce que les employés peuvent et ne peuvent pas saisir dans ChatGPT
7 règles pour une utilisation sûre de ChatGPT au travail
Ces sept règles constituent un cadre de conformité pratique pour toute entreprise utilisant ChatGPT ou des outils d'IA générative similaires.
1
Créer une politique d'utilisation de l'IA
Toute organisation utilisant l'IA a besoin d'une politique écrite. Classez chaque outil d'IA comme approuvé (utilisable librement pour des tâches spécifiées), conditionnellement approuvé (nécessite des garanties) ou interdit (jamais utilisé à cette fin). Définissez quelles fonctions de l'entreprise peuvent utiliser ChatGPT et lesquelles sont interdites.
Victoire rapide pour PME
Une politique d'une page avec trois colonnes (Approuvé / Conditionnel / Interdit) suffit pour la plupart des PME. Affichez-la là où les employés peuvent s'y référer quotidiennement.
2 à 3 heures
2
Restreindre le contenu des requêtes
Établissez une liste claire de ce que les employés peuvent et ne peuvent pas saisir dans ChatGPT. Les données personnelles, les secrets commerciaux, les informations commerciales confidentielles et les données clients doivent être explicitement interdits. Adaptez cette liste à votre secteur d'activité — les restrictions d'un cabinet d'avocats diffèrent de celles d'une agence marketing.
Exemple de règle
“Ne saisissez aucune information dans ChatGPT que vous ne mettriez pas sur un site web public. En cas de doute, ne la saisissez pas.”
1 heure
3
Toujours vérifier les résultats de l'IA
ChatGPT peut produire des résultats bien structurés et convaincants qui sont factuellement erronés. Établissez une exigence de “supervision humaine” : aucun résultat de l'IA n'est utilisé dans les communications clients, les documents juridiques, les rapports financiers ou les décisions commerciales sans révision et approbation humaine.
Domaines critiques
Les conseils juridiques, les informations médicales, les prévisions financières, les déclarations de conformité réglementaire et les termes contractuels doivent toujours être vérifiés par un professionnel qualifié.
En continu
4
Divulguer l'utilisation de l'IA lorsque requis
En vertu de l'Article 50 de l'EU AI Act, vous devez divulguer lorsque des clients interagissent avec un système d'IA (chatbots, assistants virtuels) et lorsque le contenu est généré par l'IA (deepfakes, médias synthétiques). Pour les communications commerciales rédigées avec l'assistance de l'IA et révisées par un humain, la divulgation est une bonne pratique mais n'est pas strictement obligatoire.
Approche pratique
Ajoutez une mention dans le pied de page de votre site web ou dans vos conditions d'utilisation : “Certains contenus de ce site sont rédigés avec l'assistance de l'IA et révisés par notre équipe.” Pour les chatbots, affichez : “Vous échangez avec un assistant IA.”
1 heure
5
Vérifier votre accord de traitement des données
Si un employé saisit des données personnelles dans ChatGPT, votre organisation a besoin d'un accord de traitement des données conforme à l'Article 28 du GDPR avec OpenAI. Vérifiez trois points clés : que les données d'inférence ne sont pas utilisées pour l'entraînement des modèles, que des mécanismes de transfert de données valides existent pour les transferts UE-États-Unis, et que les listes de sous-traitants sont transparentes.
Liste de vérification pour l'accord de traitement des données
1. L'accord interdit-il l'utilisation de vos données pour l'entraînement des modèles ? (Clause A.2)
2. OpenAI est-il certifié dans le cadre du Data Privacy Framework UE-États-Unis, ou des Clauses Contractuelles Types sont-elles en place ?
3. Pouvez-vous accéder à la liste des sous-traitants et recevoir un préavis de 30 jours en cas de modification ?
1 à 2 heures
6
Former tout le personnel à la maîtrise de l'IA
L'Article 4 de l'EU AI Act exige que toute organisation utilisant l'IA veille à ce que son personnel dispose d'une maîtrise suffisante de l'IA. Cela signifie que les employés doivent comprendre ce que ChatGPT peut et ne peut pas faire, reconnaître les risques d'hallucination, connaître la politique IA de l'entreprise et comprendre le cadre réglementaire. Art. 4
Sujets de formation
Le fonctionnement de ChatGPT (et ses limites), la politique d'utilisation de l'IA de votre entreprise, les règles de protection des données, les procédures de vérification des résultats, et quand faire appel à un expert humain. Documentez la participation et le contenu pour les dossiers de conformité.
Une demi-journée initiale + rappel annuel
7
Consigner et surveiller l'utilisation de l'IA
Conservez des registres indiquant quelles fonctions de l'entreprise utilisent ChatGPT, qui l'utilise, et comment les résultats sont exploités. Ces registres démontrent la conformité lors des audits, aident à identifier rapidement les violations de la politique, et fournissent des preuves d'une gouvernance IA responsable.
Ce qu'il faut consigner
Le nom de l'outil IA, la fonction de l'entreprise, le rôle de l'utilisateur, l'objectif, si le résultat a été révisé par un humain, et tout incident ou problème. Une simple feuille de calcul mise à jour mensuellement suffit pour la plupart des PME.
En continu : 15 minutes par semaine
Modèle de politique d'utilisation de ChatGPT
Utilisez ce modèle comme point de départ pour la politique d'utilisation de l'IA de votre organisation. Adaptez-le à votre secteur, votre taille et votre profil de risque.
Modèle de politique d'utilisation de ChatGPT et de l'IA en entreprise
1. Objet et champ d'application
Définissez quels outils d'IA cette politique couvre et à quelles équipes/rôles elle s'applique.
2. Outils d'IA approuvés
Listez les outils approuvés (ChatGPT Team, Copilot, etc.), les outils conditionnellement approuvés, et les outils interdits.
3. Utilisations autorisées
Précisez les tâches pour lesquelles l'IA peut être utilisée : rédaction, brainstorming, recherche, traduction, assistance au codage.
4. Utilisations interdites
Listez les activités interdites : saisie de données personnelles, prise de décisions automatisées, génération de contenu sans révision.
5. Règles de protection des données
Quelles catégories de données sont interdites en entrée de l'IA. Référence au GDPR et à votre accord de traitement des données avec le fournisseur d'IA.
6. Vérification des résultats
Exiger une révision humaine avant toute utilisation externe d'un résultat de l'IA. Définir qui est autorisé à approuver.
7. Transparence et divulgation
Quand et comment divulguer l'utilisation de l'IA aux clients, partenaires et régulateurs (conformité Art. 50).
8. Exigences de formation
Calendrier de formation à la maîtrise de l'IA, contenu, et exigences de documentation (conformité Art. 4).
9. Signalement des incidents
Comment signaler les incidents liés à l'IA : hallucination dans les communications clients, violations de données, infractions à la politique.
10. Révision et mises à jour
Révision annuelle de la politique. Mise à jour lors de l'adoption de nouveaux outils d'IA, de changements réglementaires ou d'incidents.
ChatGPT et l'EU AI Act — ce qui s'applique à vous
L'EU AI Act classe les obligations en fonction de la manière dont vous utilisez l'IA, et non de l'outil utilisé. Le même ChatGPT peut déclencher différentes obligations selon la tâche.
Cas d'usage
Niveau de risque
Principales obligations
Article
Rédaction d'e-mails internes
Minimal
Formation à la maîtrise de l'IA
Art. 4
Chatbot destiné aux clients
Limité (Art. 50)
Information que l'utilisateur interagit avec l'IA
Art. 50
Contenu marketing généré par l'IA
Limité (Art. 50)
Marquage lisible par machine du contenu généré par l'IA
Art. 50
Présélection des candidats à un emploi
Haut risque (Annex III)
Évaluation de conformité, surveillance des biais, supervision humaine, registres
Annex III
Évaluation de la performance des employés
Haut risque (Annex III)
Évaluation de conformité, transparence envers les employés, supervision humaine
Annex III
Notation de crédit ou évaluation d'assurance
Haut risque (Annex III)
Ensemble complet de conformité pour le haut risque
Annex III
Reconnaissance des émotions sur le lieu de travail
Interdit
Interdiction pure et simple
Art. 5
Cas particuliers : RH, service client et juridique
Ressources humaines
Utiliser ChatGPT pour toute décision de recrutement ou d'emploi — présélection de CV, génération de questions d'entretien, évaluations de performance ou évaluations de licenciement — classe votre utilisation de l'IA comme à haut risque au titre de l'Annex III, point 4. L'Article 22 du GDPR restreint en outre les décisions entièrement automatisées ayant des effets juridiques sur les personnes. La Local Law 144 de New York exige des audits annuels indépendants de biais pour les outils de décision d'emploi automatisés et une notification préalable de 10 jours aux candidats.
Service client
Déployer ChatGPT en tant que chatbot destiné aux clients déclenche les obligations de transparence de l'Article 50 : vous devez informer clairement les utilisateurs qu'ils interagissent avec une IA. Si le chatbot fournit des conseils sur des sujets réglementés (produits financiers, informations médicales, conseils juridiques), des réglementations sectorielles supplémentaires peuvent s'appliquer.
Juridique et financier
ChatGPT ne doit jamais être la seule source pour des avis juridiques, des termes contractuels, des évaluations de conformité ou des conseils financiers. Le risque d'hallucination est le plus élevé dans les domaines spécialisés où le modèle manque de données d'entraînement ou où l'exactitude est essentielle. Faites toujours réviser et approuver par un professionnel qualifié les résultats juridiques et financiers assistés par l'IA.
Sanctions en cas de non-conformité
35 M€ / 7 %
Utilisation de pratiques d'IA interdites sur le lieu de travail, comme les systèmes de reconnaissance des émotions pour évaluer les états émotionnels des employés. Art. 5
15 M€ / 3 %
Non-respect des obligations de transparence (non-divulgation de l'utilisation de l'IA aux clients) ou des obligations du déployeur pour l'IA à haut risque (utilisation de ChatGPT pour le recrutement sans les garanties requises). Art. 50Art. 26
7,5 M€ / 1 %
Fourniture d'informations incorrectes ou incomplètes aux autorités nationales lorsqu'elles interrogent sur votre utilisation de l'IA et vos mesures de conformité. Art. 99
Les violations du GDPR entraînent des sanctions distinctes : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les violations de la protection des données. Si vous saisissez des données personnelles dans ChatGPT sans accord de traitement des données valide et sans mécanisme de transfert, vous vous exposez simultanément aux sanctions de l'AI Act et du GDPR.
Questions fréquentes
Est-il légal d'utiliser ChatGPT au travail dans l'UE ?
Oui, l'utilisation de ChatGPT au travail est légale dans l'UE. Cependant, elle s'accompagne d'obligations de conformité. L'Article 4 exige une formation à la maîtrise de l'IA pour tout le personnel. L'Article 50 exige de la transparence lorsque du contenu généré par l'IA parvient aux clients ou lorsque des personnes interagissent avec des systèmes d'IA. Le GDPR s'applique dès que des données personnelles sont saisies. La question clé n'est pas de savoir si vous pouvez l'utiliser, mais comment vous l'utilisez.
OpenAI utilise-t-il les données de mon entreprise pour entraîner ses modèles ?
Cela dépend de votre forfait et de vos paramètres. Pour les forfaits ChatGPT Team, Enterprise et API, OpenAI indique qu'il n'entraîne pas ses modèles sur vos données par défaut. Pour les forfaits gratuits et Plus, les données peuvent être utilisées pour l'entraînement des modèles sauf désactivation dans les paramètres. Dans tous les cas, vous devriez disposer d'un accord de traitement des données avec OpenAI interdisant explicitement l'utilisation de vos données d'inférence pour l'entraînement des modèles. Vérifiez les conditions spécifiques à votre forfait.
Dois-je informer les clients lorsque j'utilise ChatGPT pour rédiger des e-mails ?
En vertu de l'Article 50 de l'EU AI Act, vous devez divulguer lorsque des clients interagissent directement avec un système d'IA (chatbots) et lorsque l'IA génère du contenu synthétique (deepfakes, images). Pour les e-mails commerciaux courants rédigés avec l'assistance de l'IA et révisés par un humain, la divulgation n'est pas strictement requise mais est considérée comme une bonne pratique de transparence.
Puis-je utiliser ChatGPT pour présélectionner des candidats à un emploi ?
L'utilisation de l'IA pour les décisions de recrutement est classée à haut risque au titre de l'Annex III de l'EU AI Act. Cela déclenche des obligations étendues : évaluation de conformité, surveillance des biais, transparence envers les candidats, supervision humaine et tenue de registres détaillée. L'Article 22 du GDPR restreint également les décisions entièrement automatisées ayant des effets juridiques. À New York, la Local Law 144 exige des audits annuels indépendants de biais. Si vous utilisez ChatGPT pour présélectionner des CV, vous êtes soumis à ces exigences.
Que se passe-t-il si ChatGPT donne un conseil juridique ou financier erroné ?
C'est votre entreprise qui en porte la responsabilité, pas OpenAI. ChatGPT peut produire des résultats bien structurés et convaincants qui sont factuellement incorrects. Des réclamations pour négligence professionnelle, des ruptures de contrat et des violations réglementaires sont autant de conséquences possibles si un conseil généré par l'IA est utilisé sans vérification humaine. Faites toujours réviser les résultats de l'IA par un professionnel qualifié avant de les utiliser dans tout contexte à conséquences.
Comment protéger les secrets commerciaux lors de l'utilisation de ChatGPT ?
Établissez une politique stricte de classification des données. Ne saisissez jamais de secrets commerciaux, de formules exclusives, de code source, de détails de produits non publiés ou de renseignements concurrentiels dans ChatGPT. Même avec des forfaits entreprise, les données quittent votre réseau et sont traitées sur des serveurs externes. Utilisez votre politique IA pour définir les catégories de saisie interdites, et formez tous les employés à ces restrictions.
Mon entreprise a-t-elle besoin d'un accord de traitement des données avec OpenAI ?
Oui, si un employé saisit des données personnelles dans ChatGPT. L'Article 28 du GDPR exige un accord de traitement des données dès qu'un tiers traite des données personnelles pour votre compte. L'accord doit couvrir : l'interdiction d'utiliser vos données pour l'entraînement des modèles, les mécanismes de transfert de données pour les transferts UE-États-Unis, la transparence des sous-traitants, et les procédures de suppression des données.
Qu'est-ce que l'obligation de maîtrise de l'IA de l'Article 4 de l'EU AI Act ?
L'Article 4 exige que toute organisation qui déploie ou utilise l'IA veille à ce que son personnel dispose d'une maîtrise suffisante de l'IA — comprendre ce que l'IA peut et ne peut pas faire, reconnaître ses risques, et connaître le cadre réglementaire. Cette obligation s'applique quelle que soit la taille de l'entreprise et devient applicable à partir d'août 2026. Documentez votre formation pour démontrer la conformité.
Quelles sont les amendes en cas de violation des règles de transparence de l'EU AI Act ?
Les violations des obligations de transparence de l'Article 50 peuvent entraîner des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. La fourniture d'informations fausses ou trompeuses aux autorités entraîne des amendes allant jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires. Pour les PME, le calcul basé sur le pourcentage s'applique, ce qui signifie que les sanctions sont proportionnées mais restent substantielles.
Comment ClearAI Trust OS peut-il aider mon entreprise à utiliser ChatGPT en toute sécurité ?
ClearAI Trust OS fournit des vérifications quotidiennes de la maîtrise de l'IA, suit les outils d'IA utilisés par votre équipe, surveille la conformité avec votre politique IA, et construit un Trust Score qui démontre la maturité de la gouvernance. Il automatise la tenue de registres requise par l'Article 4, génère des rapports prêts pour l'audit, et vous alerte lorsque des mises à jour de la politique sont nécessaires — afin que l'utilisation sûre de ChatGPT devienne une habitude quotidienne, et non une course contre la montre trimestrielle.
Êtes-vous prêt pour l'AI Act ?
Réalisez notre évaluation gratuite de 3 minutes pour savoir où en est votre organisation.
“J'ai passé plus de 20 ans à examiner la conformité réglementaire au sein du gouvernement préfectoral d'Hiroshima. La plus grande erreur que je vois les entreprises commettre est de croire que la conformité commence par la paperasse. Elle commence par les habitudes quotidiennes. Construisez d'abord l'habitude, et la paperasse suivra.”
— Takayuki Sawai, Gyoseishoshi (行政書士)
Créez la politique IA de votre équipe en quelques minutes
Ce guide explique les règles. ClearAI Trust OS les fait appliquer : vérifications quotidiennes de conformité IA, quiz pour les employés basés sur votre politique, suivi du trust score, et tableau de bord manager montrant qui comprend quoi.