> NOUS REJOINDRE

Blog

Les risques de l’IA en entreprise : protéger vos données confidentielles face à ChatGPT et l’IA générative

Illustration Risques de IA en entreprise - Connect 3S
Cybersécurité

Les risques de l’IA en entreprise : protéger vos données confidentielles face à ChatGPT et l’IA générative

30 views

L’IA générative en entreprise : une révolution à double tranchant

L’intelligence artificielle générative a bouleversé le monde professionnel en quelques mois à peine. ChatGPT, Claude, Gemini, Copilot… ces outils sont désormais utilisés quotidiennement par des millions de salariés pour rédiger des emails, synthétiser des documents, générer du code ou encore analyser des données. Selon une étude McKinsey de 2025, plus de 72 % des entreprises européennes ont adopté au moins un outil d’IA générative dans leurs processus métier.

Mais derrière cette productivité accrue se cache un risque majeur pour la sécurité des données. Chaque prompt envoyé à un modèle de langage (LLM) peut potentiellement exposer des informations sensibles, confidentielles, voire stratégiques. Pour les PME et TPE de Nice et des Alpes-Maritimes, qui ne disposent pas toujours d’une équipe dédiée à la cybersécurité, ce risque est particulièrement critique.

Dans cet article, nous faisons le point sur les dangers concrets de l’IA pour vos données d’entreprise, les cas réels de fuites qui ont fait la une, et surtout les bonnes pratiques à adopter pour profiter de l’IA en toute sécurité.

Comment fonctionnent les LLM et pourquoi vos données sont en danger

Le principe d’apprentissage des modèles de langage

Les grands modèles de langage comme GPT-4, Claude ou Gemini fonctionnent en traitant d’immenses quantités de texte. Lorsqu’un utilisateur soumet un prompt, celui-ci est transmis aux serveurs du fournisseur pour être traité. Selon les conditions d’utilisation, ces données peuvent être :

  • Stockées temporairement pour le traitement de la requête
  • Conservées dans des logs à des fins de débogage ou d’amélioration du service
  • Utilisées pour l’entraînement des futures versions du modèle (dans les versions gratuites notamment)
  • Accessibles aux équipes techniques du fournisseur pour la modération ou l’audit qualité

Concrètement, cela signifie que tout ce que vous tapez dans ChatGPT ou un outil similaire peut potentiellement être lu, stocké et réutilisé. C’est un changement fondamental par rapport à un logiciel installé localement sur votre ordinateur.

La différence entre versions gratuites et entreprise

Il est essentiel de comprendre que toutes les versions d’un même outil ne se valent pas en matière de protection des données :

  • Versions gratuites (ChatGPT Free, Gemini Free) : vos données peuvent être utilisées pour entraîner le modèle. Aucune garantie de confidentialité.
  • Versions payantes individuelles (ChatGPT Plus, Claude Pro) : certaines garanties supplémentaires, mais les données transitent toujours par les serveurs du fournisseur.
  • Versions entreprise (ChatGPT Enterprise, Claude for Business, Azure OpenAI) : engagement contractuel de non-utilisation des données pour l’entraînement, chiffrement renforcé, conformité réglementaire.

La majorité des salariés utilisent les versions gratuites ou personnelles sans que leur employeur en soit informé. C’est ce qu’on appelle le « Shadow AI », un phénomène analogue au Shadow IT mais spécifique à l’intelligence artificielle.

Cas réels de fuites de données liées à l’IA

L’affaire Samsung : un cas d’école

En avril 2023, Samsung a subi trois fuites de données confidentielles en moins de trois semaines, toutes liées à l’utilisation de ChatGPT par ses ingénieurs. Des employés de la division semi-conducteurs ont copié-collé du code source propriétaire, des notes de réunion stratégiques et des données de rendement de fabrication directement dans l’interface de ChatGPT.

Les conséquences ont été immédiates : Samsung a interdit l’utilisation de ChatGPT sur tous les appareils de l’entreprise et a développé un outil d’IA interne. Cette affaire a coûté des millions en mesures correctives et en atteinte à la réputation.

D’autres incidents marquants

  • Amazon (2023) : des employés ont partagé du code confidentiel et des documents internes avec ChatGPT. L’entreprise a découvert que des réponses de ChatGPT ressemblaient étrangement à des données internes d’Amazon.
  • Avocats américains (2023) : un cabinet d’avocats a soumis un mémoire juridique contenant des références de jurisprudence entièrement inventées par ChatGPT, exposant des informations sensibles sur leurs clients au passage.
  • Fuite de conversations ChatGPT (mars 2023) : un bug chez OpenAI a permis à certains utilisateurs de voir les titres de conversations d’autres utilisateurs, révélant potentiellement des sujets confidentiels.
  • Hôpitaux et cabinets médicaux (2024-2025) : plusieurs cas documentés de professionnels de santé ayant soumis des dossiers patients à des LLM pour rédiger des comptes rendus, en violation directe du RGPD et du secret médical.

À retenir : Ces incidents ne sont pas des cas isolés. Selon une étude Cyberhaven de 2025, 11 % des données collées dans ChatGPT par les employés sont confidentielles. Le risque est systémique.

Les données sensibles à ne jamais partager avec une IA

Pour protéger votre entreprise, il est crucial d’identifier les types de données qui ne doivent jamais être soumises à un outil d’IA générative public :

Données personnelles et RGPD

  • Noms, prénoms, adresses email et postales de clients ou employés
  • Numéros de téléphone, dates de naissance
  • Numéros de sécurité sociale, pièces d’identité
  • Données de santé, opinions politiques, orientations (données sensibles au sens du RGPD)
  • Fichiers clients avec coordonnées complètes

Données financières et stratégiques

  • Bilans comptables, résultats financiers non publiés
  • Grilles tarifaires confidentielles, marges commerciales
  • Plans stratégiques, projets de fusion-acquisition
  • Contrats et conditions commerciales avec partenaires
  • Projections de chiffre d’affaires

Propriété intellectuelle et secrets industriels

  • Code source propriétaire et algorithmes
  • Brevets en cours de dépôt
  • Formules, recettes, procédés de fabrication
  • Plans techniques et schémas d’architecture
  • Documents de R&D et prototypes

Données d’authentification

  • Mots de passe, clés API, tokens d’accès
  • Certificats SSL/TLS
  • Configurations de pare-feu et de VPN
  • Schémas d’infrastructure réseau

Le cadre réglementaire : RGPD, CNIL et ANSSI face à l’IA

Ce que dit le RGPD sur l’utilisation de l’IA

Le Règlement Général sur la Protection des Données s’applique pleinement à l’utilisation de l’IA en entreprise. Soumettre des données personnelles à un LLM constitue un traitement de données au sens du RGPD, ce qui implique :

  • Une base légale pour le traitement (consentement, intérêt légitime, etc.)
  • L’information des personnes concernées que leurs données sont traitées par une IA
  • Le respect du principe de minimisation : ne transmettre que les données strictement nécessaires
  • La tenue d’un registre des traitements incluant les usages d’IA
  • Une analyse d’impact (AIPD) si le traitement présente un risque élevé

En cas de transfert de données vers les États-Unis (serveurs d’OpenAI, Google, etc.), le Data Privacy Framework encadre ces transferts, mais sa pérennité juridique reste incertaine.

Les recommandations de la CNIL

La CNIL a publié en 2024 et 2025 plusieurs guides pratiques sur l’utilisation de l’IA en entreprise. Ses recommandations principales incluent :

  • Cartographier les usages d’IA au sein de l’organisation
  • Évaluer la conformité de chaque outil utilisé
  • Mettre en place une gouvernance dédiée à l’IA
  • Former les collaborateurs aux risques spécifiques
  • Documenter les choix et les mesures de protection adoptées

Les préconisations de l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande quant à elle de :

  • Classifier les données avant toute utilisation dans un outil d’IA
  • Privilégier les solutions souveraines ou les déploiements on-premise
  • Intégrer l’IA dans la politique de sécurité du système d’information (PSSI)
  • Auditer régulièrement les flux de données vers les services d’IA

Solutions concrètes pour utiliser l’IA en toute sécurité

1. Adopter des versions entreprise avec garanties contractuelles

La première mesure consiste à migrer vers des offres professionnelles qui garantissent contractuellement la non-utilisation de vos données pour l’entraînement :

  • ChatGPT Enterprise / Team : données non utilisées pour l’entraînement, chiffrement AES-256, SSO, console d’administration
  • Claude for Business : engagement de confidentialité, pas d’entraînement sur vos données, conformité SOC 2
  • Microsoft Copilot pour Microsoft 365 : intégré à l’environnement Microsoft, données traitées dans votre tenant Azure
  • Azure OpenAI Service : déploiement dans votre propre environnement cloud Azure, contrôle total des données

2. Envisager le déploiement local (on-premise)

Pour les entreprises manipulant des données très sensibles, le déploiement local de modèles open-source est une alternative sérieuse :

  • Llama 3 (Meta) : modèle performant déployable sur infrastructure propre
  • Mistral (Mistral AI) : modèle français, performant et léger
  • Ollama : outil simplifiant le déploiement local de LLM

Cette approche garantit que vos données ne quittent jamais votre réseau, mais nécessite un investissement en infrastructure (GPU, serveurs) et en compétences techniques.

3. Rédiger et déployer une charte d’utilisation de l’IA

Toute entreprise devrait disposer d’une charte encadrant l’utilisation de l’IA, incluant :

  • La liste des outils d’IA autorisés et leurs conditions d’utilisation
  • Les types de données interdites dans les prompts
  • Les procédures de validation pour les cas d’usage sensibles
  • Les responsabilités de chaque collaborateur
  • Les sanctions en cas de non-respect
  • Un processus de signalement des incidents

4. Former et sensibiliser les équipes

La technologie seule ne suffit pas. Il est indispensable de former l’ensemble des collaborateurs aux bonnes pratiques :

  • Ateliers pratiques sur l’utilisation sécurisée de l’IA
  • Exemples concrets de ce qu’il ne faut pas faire
  • Exercices de sensibilisation réguliers
  • Mise à jour continue des connaissances face à l’évolution rapide des outils

5. Mettre en place des mesures techniques

  • DLP (Data Loss Prevention) : solutions qui détectent et bloquent l’envoi de données sensibles vers des services d’IA
  • Proxy d’entreprise : filtrage des requêtes vers les API d’IA
  • Anonymisation automatique : outils qui masquent les données personnelles avant envoi au LLM
  • Journalisation : traçabilité des interactions avec les outils d’IA

Checklist pratique pour les PME de la Côte d’Azur

Voici une liste d’actions concrètes que toute PME ou TPE des Alpes-Maritimes peut mettre en œuvre rapidement :

  • Inventorier tous les outils d’IA utilisés par vos collaborateurs (y compris les usages non officiels)
  • Classifier vos données selon leur niveau de sensibilité
  • Rédiger une charte d’utilisation de l’IA adaptée à votre activité
  • Choisir des outils offrant des garanties contractuelles adaptées
  • Former vos équipes avec des exemples concrets
  • Mettre à jour votre registre des traitements RGPD
  • Auditer régulièrement les pratiques et les flux de données
  • Désigner un référent IA au sein de votre organisation

Connect 3S vous accompagne dans la sécurisation de vos usages IA

Chez Connect 3S, nous accompagnons les entreprises de Nice, Cannes, Antibes et de toute la Côte d’Azur dans la sécurisation de leurs usages numériques, y compris l’intelligence artificielle. Nos experts peuvent vous aider à :

  • Auditer vos pratiques actuelles en matière d’IA et identifier les risques
  • Rédiger votre charte d’utilisation de l’IA conforme au RGPD
  • Déployer des solutions sécurisées adaptées à votre taille et votre budget
  • Former vos équipes aux bonnes pratiques
  • Mettre en conformité vos traitements de données avec les exigences réglementaires

L’IA est un formidable levier de productivité, mais elle doit être utilisée avec discernement. Ne laissez pas vos données confidentielles s’échapper dans la nature : contactez Connect 3S pour un accompagnement sur mesure.

Vous souhaitez sécuriser l’utilisation de l’IA dans votre entreprise ? Contactez nos experts pour un diagnostic gratuit de vos pratiques actuelles.

Search

Recent Posts

Popular tags

analyse de risques ANSSI audit badges clonage controle d'acces CPS Cybersécurité deepfake EBIOS RM EDR Flipper Zero ICS intelligence artificielle ISO 27001 maintenance-informatique MFA Mifare MITRE ATT&CK NFC NIS2 open source OT patch management pentest phishing PME ransomware Ransomware Trinity Venus impact TPE / PME - Fiches reflexes RFID sauvegarde Sauvegarde sécurisée SCADA securite-informatique securite physique smart grid zero trust
Copyright © 2022. All rights reserved.