Cet article n'est pas un avis juridique. C'est un résumé des règles publiques que tout dirigeant de TPE doit connaître avant d'utiliser un LLM grand public avec des données réelles. Pour un cas particulier, consultez un avocat RGPD.
1. Le cadre — ce qui s'applique vraiment à vous
Le RGPD (règlement UE 2016/679) s'applique à toute entreprise qui traite des données personnelles de résidents européens, peu importe sa taille. Pas d'exemption TPE. Une entreprise de 3 salariés qui traite les factures de 200 clients traite des données personnelles.
Les deux articles qui comptent pour le sujet LLM :
- Article 6 : vous devez avoir une base légale pour traiter les données (consentement, contrat, intérêt légitime, obligation légale).
- Article 28 : si vous envoyez des données à un sous-traitant (OpenAI, Anthropic, Mistral), il faut un accord écrit qui encadre ce traitement.
La CNIL a publié en 2024 et 2025 plusieurs fiches pratiques sur l'IA générative (source : cnil.fr/fr/ia — consulté le 24 mars 2026). Leur position tient en une phrase : les LLMs sont des sous-traitants au sens du RGPD quand vous leur envoyez des données personnelles.
Beaucoup de TPE considèrent ChatGPT comme un moteur de recherche. Ce n'en est pas un. Un moteur de recherche récupère de l'information. Un LLM prend vos données et les traite sur les serveurs d'un tiers. Ce n'est pas la même chose juridiquement.
2. Les risques concrets pour une TPE
Le montant maximum d'une sanction CNIL est public : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le plus élevé des deux (RGPD, article 83). En pratique, les sanctions visant les TPE sont rares et nettement plus modestes. La CNIL publie ses décisions sur cnil.fr/fr/les-sanctions-prononcees — c'est lisible publiquement.
Mais le vrai risque pour une TPE n'est généralement pas l'amende. Ce sont :
- La plainte d'un client qui apprend que ses données sont passées dans ChatGPT. Plainte CNIL gratuite et rapide. Vous recevez un courrier. Vous devez répondre. Temps perdu massif.
- La rupture de contrat B2B quand un gros client vous demande une attestation RGPD et que vous ne savez pas quoi répondre.
- La fuite pure et simple : un employé colle les mots de passe ou une liste clients dans ChatGPT. En 2023, plusieurs ingénieurs Samsung l'ont fait — l'entreprise a dû interdire l'usage interne de ChatGPT. (source : Bloomberg, 2 mai 2023).
3. Ce que disent vraiment les CGU d'OpenAI et d'Anthropic
Important : les conditions d'utilisation diffèrent selon quelle version du service vous utilisez. Voici l'état en avril 2026 — vérifiez toujours la version à jour.
OpenAI
- ChatGPT gratuit et ChatGPT Plus : par défaut, vos conversations peuvent être utilisées pour améliorer les modèles. Vous pouvez désactiver dans les paramètres ("Improve the model for everyone"). Mais ça reste de la donnée envoyée aux serveurs d'OpenAI aux États-Unis.
- ChatGPT Team et Enterprise : par défaut, OpenAI s'engage à ne pas utiliser vos données pour entraîner ses modèles. Un DPA (Data Processing Agreement) est disponible. Hébergement possible en zone EU.
- API OpenAI : depuis 2023, les données envoyées via l'API ne sont pas utilisées pour l'entraînement, sauf opt-in explicite.
Anthropic
- Claude.ai gratuit et Pro : Anthropic s'engage par défaut à ne pas utiliser vos conversations pour entraîner Claude, sauf feedback explicite (pouces haut/bas).
- Claude pour entreprises : DPA disponible, hébergement multi-région.
- API Anthropic : données non utilisées pour l'entraînement par défaut.
Retenez la règle simple : version grand public gratuite = risque. Version Enterprise / API avec DPA signé = acceptable pour données non-sensibles.
4. Checklist — 7 questions à se poser avant de coller des données
À appliquer avant chaque action. Affichez-la au-dessus de l'écran de la personne concernée.
- Ces données permettent-elles d'identifier une personne ? (nom, email, téléphone, IP, photo, NSS…) Si oui, règles RGPD pleines.
- Utilisez-vous un compte gratuit ou un plan Enterprise/API avec DPA ? Gratuit = minimum de données personnelles, jamais de données sensibles.
- Avez-vous anonymisé avant d'envoyer ? (remplacer "M. Dupont, 42 rue X, Paris" par "Client A") — l'anonymisation reste la meilleure protection.
- S'agit-il de données sensibles (santé, opinions politiques, religion, sexualité, données biométriques) ? Si oui : jamais dans un LLM grand public, même Enterprise.
- Votre client a-t-il été informé que ses données peuvent être traitées par un prestataire IA ? Le RGPD exige transparence.
- Avez-vous un registre des traitements à jour qui mentionne cet usage ? (RGPD article 30, obligatoire dès 1 employé dans la plupart des cas)
- Si un client vous demande aujourd'hui « où sont mes données », pouvez-vous lui répondre en 48 h ? Si non, arrêtez l'usage actuel.
Si vous ne savez pas répondre « oui » aux 7 questions, utilisez le LLM uniquement sur des données que vous accepteriez de voir publiées. Brouillon de mail générique, brainstorm, synthèse d'un article public : OK. Fichier client, facture, message privé reçu : non.
5. Alternatives : Mistral, versions Pro, instance hébergée en France
Pour une TPE qui traite des données réelles, trois options sérieuses en 2026 :
- Mistral Le Chat (mistral.ai) — éditeur français, hébergement possible en EU, plans entreprise avec garanties RGPD explicites. L'option la plus simple pour une TPE qui veut rester en Europe.
- Claude Pro / ChatGPT Plus avec anonymisation systématique — acceptable pour un usage quotidien tant qu'aucune donnée identifiante n'est collée.
- Instance LLM locale (Ollama + Llama 3 ou Mistral en local) — aucune donnée ne quitte votre machine. Complexe à installer seul, parfait pour données sensibles.
Aucune de ces options n'est « gratuite sans contrepartie ». Le bon réflexe : mesurer ce que vous traitez vraiment, puis choisir l'option proportionnée. La majorité des TPE peuvent tourner avec Mistral Le Chat Pro (environ 15-20 € HT/utilisateur/mois) + discipline d'anonymisation.
Skipia Académie — audit gratuit 30 min
On regarde ensemble vos usages actuels, votre registre des traitements, et on identifie les 2 ou 3 actions à corriger en priorité. Pas de dossier, pas de vente forcée.
FAQ
La CNIL peut-elle vraiment contrôler une TPE ?
Oui. La CNIL contrôle par plainte, par signalement ou par secteur d'activité. Un coiffeur, un garage, un cabinet dentaire ont déjà été contrôlés. La probabilité reste faible, mais la procédure est gratuite pour le plaignant et longue pour vous.
Est-ce que j'ai besoin d'un DPO ?
Obligatoire uniquement dans certains cas (RGPD article 37) : organisme public, traitement à grande échelle de données sensibles, suivi régulier à grande échelle. Une TPE classique n'est généralement pas obligée d'en avoir un — mais doit tenir un registre des traitements et désigner un responsable interne.
Les données dans ChatGPT finissent-elles vraiment dans un modèle public ?
Dans le scénario le plus grave oui, c'est techniquement possible pour le compte gratuit si les options de non-entraînement ne sont pas activées. En pratique, OpenAI affirme appliquer des filtres. Mais "techniquement possible" suffit pour qu'un juriste considère le risque comme non maîtrisé.
Et si j'utilise Copilot dans mon Office 365 ?
Microsoft 365 Copilot dispose d'engagements RGPD et d'un hébergement EU possible. C'est une option plus sûre que ChatGPT grand public pour un usage bureautique. Vérifiez votre contrat Microsoft pour les clauses applicables à votre organisation.