● Journal du Net 📅 05/05/2026 à 11:04

IA connectée en entreprise : vos données sont-elles vraiment protégées ?

Intelligence Artificielle 👤 Julie Jacob
Illustration
L'IA générative accède désormais aux dossiers internes des entreprises, créant un gain de productivité majeur mais aussi un angle mort juridique... Pendant des années, le principal risque associé à l'IA dans l'entreprise était celui d'une maladresse individuelle : un collaborateur qui copie-colle un contrat confidentiel dans ChatGPT. Un risque réel, mais circonscrit, gérable par la formation. Avec les nouveaux outils d'IA connectée, ce paradigme bascule. L'IA ne répond plus à des questions ponctuelles : elle se connecte aux documents, aux dossiers, à l'environnement de travail dans sa globalité. La surface d'exposition n'est plus ponctuelle, elle est structurelle. Ce que les contrats « entreprise » ne garantissent pas Face à ces enjeux, la réponse des directions juridiques est souvent la même : recourir à l'offre entreprise. La logique est compréhensible. Les conditions commerciales des grands éditeurs prévoient explicitement que les données clients ne sont pas utilisées pour entraîner les modèles. Mais cette protection, réelle, est partielle. Les politiques de confidentialité précisent que des données peuvent être conservées pour des finalités spécifiques — sécurité, prévention des abus, obligations légales — et que des accès internes restent possibles dans ces cas. La distinction est déterminante : la non-exploitation des données n'est pas synonyme de non-exposition. Le piège des usages individuels Le cadre contractuel entreprise ne concerne que les accès contractualisés. Or une large partie de l'usage de l'IA en entreprise s'effectue via des comptes personnels grand public, sans que l'employeur en soit informé. Ce point mérite d'être dit clairement : les abonnements payants n'offrent pas plus de garanties que la version gratuite sur la confidentialité des données. Ils relèvent des conditions grand public, selon lesquelles les données sont incluses dans le périmètre d'entraînement par défaut — il faut agir positivement pour s'y opposer. La charge de la vigilance pèse sur l'utilisateur, pas sur l'éditeur. Des éditeurs américains. Ce détail compte. Même dans le cadre d'une offre entreprise bien négociée, des données hébergées ou transitant par des infrastructures américaines peuvent être soumises à des demandes d'accès relevant du droit américain, un cadre que le RGPD ne neutralise pas. Par ailleurs, des décisions récentes rendues aux États-Unis ont considéré des échanges avec des chatbots comme communicables dans le cadre de procédures judiciaires. La jurisprudence reste en construction, mais le principe est posé : l'IA n'est pas un espace juridiquement protégé. AI Act : un deuxième étage réglementaire Le RGPD n'est plus le seul cadre applicable. Depuis août 2024, l'AI Act impose progressivement ses règles aux entreprises européennes. Dès lors que l'IA contribue à une décision impactant les droits d'une personne — recrutement, scoring, accès à un service essentiel — l'organisation est tenue de garantir une surveillance humaine effective, de documenter ses usages et d'informer les personnes concernées. Dans un contexte d'IA connectée et continue, cette obligation de traçabilité devient particulièrement exigeante. Les sanctions atteignent jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial. L'AI Act n'est plus un horizon — c'est une contrainte opérationnelle depuis le 2 août 2026. Il faut un cadre, pas une interdiction L'enjeu n'est pas d'interdire ces outils. Celles et ceux qui le feront prendront un retard compétitif difficile à rattraper. Mais adopter vite sans gouvernance, c'est s'exposer contractuellement, réglementairement, et juridiquement. Les entreprises qui gagneront dans cette transition ne seront pas nécessairement celles qui adopteront le plus vite, mais celles qui adopteront le mieux. Cela suppose un cadre : politique d'usage, cartographie des données exposées, qualification des risques RGPD et AI Act, et contrats adaptés. La question n'est pas de savoir si vos données sont exposées. C'est de savoir si vous êtes prêt.
← Retour