Votre IA parle à vos données. Mais à qui appartiennent-elles ?

Je suis Pierre Ammeloot, Directeur Conseil IA chez AODB. Vingt ans de direction d'entreprise, aujourd'hui j’accompagne les ETI à déployer l'IA sans perdre le contrôle de leurs données.

Un client dans la chimie. 3 000 collaborateurs. Copilot déployé en standard depuis six mois, formation faite, licences payées. La DSI est satisfaite, la direction aussi. Sur le papier, l'entreprise a pris le virage de l'IA de façon ordonnée, responsable, cadrée.

Lors d'un audit interne, on découvre que les commerciaux utilisent leur ChatGPT personnel pour rédiger leurs e-mails clients. Non par mauvaise volonté, seulement par souhait d’efficacité : ChatGPT répond plus vite, comprend mieux le contexte, et tout le monde l'a déjà sur son téléphone.

Des centaines d'e-mails clients, avec leurs données commerciales, leurs conditions de négociation, leurs informations contractuelles, ont donc transité par les serveurs d'OpenAI. Sans que personne ne l'ait décidé. Sans que personne ne l'ait interdit non plus.

Ce n'est pas une cyberattaque. C'est bien pire : c'est légal.

Ce que vous avez signé sans le lire

Sur les versions standards de ChatGPT, celles que vos collaborateurs utilisent avec leur adresse Gmail personnelle, OpenAI se réserve le droit d'utiliser vos conversations pour entraîner ses modèles. C'est dans les conditions d'utilisation. L'option est activée par défaut, et la désactiver suppose de savoir qu'elle existe.

Ce que ça signifie concrètement : le brief stratégique qu'un directeur commercial a demandé à ChatGPT de reformuler, les extraits de contrats collés pour en faire un résumé, les arguments de négociation tapés en prompt pour préparer un rendez-vous, tout ça part sur des serveurs américains, soumis au Cloud Act. Cette loi permet aux autorités américaines d'accéder aux données hébergées par des entreprises américaines, où qu'elles se trouvent dans le monde. Vos données ne quittent pas vos bureaux physiquement. Juridiquement, elles ont déjà traversé l'Atlantique.

ChatGPT Enterprise protège de ça, c'est vrai. Mais combien de vos collaborateurs ont une licence Enterprise ? Et les autres, ceux qui utilisent la version gratuite sur leur téléphone personnel, ils font comment aujourd'hui ?

Le shadow IA n'est pas un problème de discipline

Le “shadow IA” désigne ces usages non cadrés de l'intelligence artificielle dans une organisation : des outils que la DSI n'a pas validés, que la direction n'a pas choisi, mais que les équipes utilisent parce qu'ils font gagner du temps. C'est exactement ce qui s'est passé chez cet industriel dans la chimie. Et c'est ce qui se passe, en ce moment, dans la plupart des ETI que je rencontre.

Vos collaborateurs ne font pas n'importe quoi. Ils cherchent à bien faire leur travail avec les outils les plus efficaces à leur disposition. Le problème, c'est que personne n'a posé les règles : pas sur les outils autorisés, pas sur ce qu'on peut y mettre, pas sur ce qu'il se passe avec les données ensuite. Confier ses informations contractuelles à un outil grand public sans politique interne, c'est laisser la porte de service ouverte en pensant que le portail d'entrée est sécurisé. L'intention est bonne. La faille est réelle.

Dans une ETI, l'exposition est souvent plus grande que dans un grand groupe : pas de RSSI dédié, pas de DPO à plein temps, une DSI qui gère dix projets en parallèle. Ce n'est pas un problème de moyens. C'est un problème de gouvernance que personne n'a encore eu le temps de poser.

Trois décisions à prendre avant votre prochain déploiement

• La première : savoir ce que vos équipes utilisent vraiment. Pas les outils que vous avez déployés, ceux qu'elles utilisent. Un inventaire rapide, même informel, réserve souvent des surprises.

• La deuxième : définir ce qui peut ou ne peut pas entrer dans un prompt. Données clients, données RH, informations financières, contenus contractuels, tout ça a une valeur et une sensibilité juridique qui mérite une politique explicite, même courte.

• La troisième : exiger de savoir où sont hébergées vos données. En Europe, en France, sous quelle juridiction. Ce ne sont pas des questions techniques. Ce sont des questions stratégiques que vous posez à votre prestataires automobile, à votre expert-comptable, à votre avocat. Votre IA mérite le même niveau d'exigence.

L'IA souveraine n'est pas un oxymore

Il est possible de déployer une IA qui interroge vos propres documents internes, vos contrats, vos procédures, vos bases de connaissance, sans que ces données sortent de votre infrastructure. Hébergée en France, conforme RGPD, accessible à vos équipes comme n'importe quel autre outil métier. C'est ce que fait Ragflow, entre autres solutions souveraines. La question n'est pas de choisir entre l'IA et la sécurité. C'est de choisir une IA qui ne vous force pas à faire ce choix.

La plupart des dirigeants que je rencontre ne sont pas opposés à l'IA. Ils sont inquiets de la déployer sans maîtrise. Et ils ont raison d'être inquiets, mais tort d'attendre. Pendant qu'ils réfléchissent, leurs équipes avancent, avec les outils qu'elles ont, sur les serveurs de quelqu'un d'autre.

La vraie question n'est pas "est-ce que mes équipes utilisent l'IA ?" Vous connaissez déjà la réponse. La question, c'est : à qui appartiennent les données qu'elles lui confient ? Si vous ne savez pas répondre en moins de dix secondes, vous avez votre réponse.

Vous voulez en discuter ? Envoyez-moi un e-mail