RGPD et ChatGPT en entreprise : le guide pratique 2026 | DIGITALISIM
Oui, une entreprise française peut utiliser ChatGPT en conformité avec le RGPD — à condition de choisir la bonne offre (Team, Enterprise ou API : aucune n'entraîne les modèles sur vos données), de signer un DPA avec OpenAI, d'encadrer les usages par une politique interne et d'appliquer les recommandations publiées par la CNIL. Ce guide détaille les 5 chantiers, dans l'ordre.
Ce que dit la CNIL
La CNIL a publié en février 2025 ses recommandations sur l'IA et le RGPD, complétées par des fiches pratiques et un programme d'accompagnement poursuivi en 2026. À retenir pour un déploiement en entreprise : le RGPD s'applique dès que des données personnelles transitent par l'IA (données clients, RH, emails) ; les personnes doivent être informées ; la minimisation ne interdit pas l'IA mais impose de n'envoyer que les données nécessaires ; et les droits (accès, opposition, effacement) doivent rester exerçables. Aucune autorisation préalable n'est requise.
Chantier 1 : Choisir la bonne offre OpenAI
Le point le plus important : les versions grand public gratuites ne sont pas faites pour les données d'entreprise. ChatGPT Team, Enterprise et l'API garantissent contractuellement que vos données ne servent pas à entraîner les modèles, et ouvrent droit à un DPA (Data Processing Addendum). C'est le prérequis de tout le reste.
Chantier 2 : Signer le DPA et qualifier les rôles
Votre entreprise est responsable de traitement ; OpenAI agit comme sous-traitant pour les données soumises via les offres business. Le DPA d'OpenAI encadre cette relation (sécurité, sous-traitance ultérieure, transferts). Points de vigilance : les transferts hors UE (mécanismes de transfert à vérifier selon votre secteur) et la durée de rétention (paramétrable sur Enterprise).
Chantier 3 : Écrire la politique d'usage interne
Le risque RGPD n° 1 n'est pas technique, il est humain : un collaborateur qui colle un fichier client dans un compte personnel. La politique d'usage tient en une page : quelles offres sont autorisées (et lesquelles sont interdites), quelles données ne doivent jamais être soumises (santé, paie, données sensibles), qui contacter en cas de doute. Elle se déploie avec une formation — pas par une note de service.
Chantier 4 : Minimiser et journaliser (surtout via l'API)
Pour les intégrations (CRM, support) : n'envoyer que les champs nécessaires au traitement (pas la fiche contact entière), pseudonymiser quand c'est possible, et journaliser les appels pour pouvoir répondre à une demande d'exercice de droits. Ces choix se font à la conception — c'est le « privacy by design » que la CNIL attend.
Chantier 5 : Documenter
Registre des traitements mis à jour, AIPD (analyse d'impact) si le traitement est à risque élevé (données sensibles, volumétrie, personnes vulnérables), information des personnes concernées (mention dans la politique de confidentialité, information des collaborateurs). Une demi-journée de travail bien investie.
La check-list en 10 points
1. Offre business (Team/Enterprise/API) — jamais de comptes personnels pour les données pro
2. DPA signé avec OpenAI
3. Transferts hors UE vérifiés
4. Politique d'usage interne diffusée et signée
5. Formation des équipes (avec cas pratiques)
6. Minimisation des données dans les intégrations
7. Journalisation des traitements IA
8. Registre des traitements à jour
9. AIPD si risque élevé
10. Information des personnes (clients, collaborateurs)
FAQ
ChatGPT est-il interdit par la CNIL ?
Non. La CNIL n'interdit pas ChatGPT ; elle encadre son usage via le RGPD et ses recommandations IA (2025). Le déploiement est légal s'il est correctement encadré.
Enterprise est-il obligatoire pour être conforme ?
Non. Team et l'API offrent déjà la non-utilisation des données pour l'entraînement et un DPA. Enterprise ajoute des garanties utiles à grande échelle (rétention personnalisable, SSO, administration).
Faut-il un DPO pour déployer ChatGPT ?
Le déploiement de ChatGPT ne rend pas le DPO obligatoire en soi (les critères du RGPD restent inchangés), mais si vous en avez un, associez-le dès le cadrage.
Qui peut nous accompagner ?
DIGITALISIM, membre de l'OpenAI Partner Network, intègre la conformité dès le cadrage : choix de l'offre, politique d'usage, minimisation, documentation.
Cet article est un guide informatif et ne constitue pas un conseil juridique. Pour une analyse adaptée à votre situation, rapprochez-vous de votre DPO ou de votre conseil.
Pour ne rien louper des conseils de nos experts Diginautes, inscrivez-vous à la newsletter !
Heading 1
with a request body that specifies how to map the columns of your import file to the associated CRM properties in HubSpot.... In the request JSON, define the import file details, including mapping the spreadsheet's columns to HubSpot data. Your request JSON should include the following fields:... entry for each column.