Utiliser ChatGPT en entreprise en 2026 sans casser le RGPD est faisable. Pas trivial, mais faisable. Ce qui est difficile, c’est de le faire vraiment, pas juste sur le papier. Voici la checklist concrète qu’on déroule chez nos clients PME quand le DPO ou le service juridique pose la question, et les vraies questions à poser à OpenAI avant de signer.
Le cadre RGPD appliqué à ChatGPT en 5 secondes
Rappel pour cadrer : RGPD impose 6 grands principes pour traiter des données personnelles.
- Licéité : base légale claire (consentement, exécution contrat, intérêt légitime, etc.)
- Minimisation : ne pas collecter plus que nécessaire
- Limitation des finalités : ne pas réutiliser les données pour autre chose
- Exactitude : garantir que les données restent justes
- Limitation de conservation : ne pas garder indéfiniment
- Sécurité : protéger contre fuite, perte, accès non autorisé
Pour ChatGPT en entreprise, 3 principes posent problème en pratique : la limitation des finalités (entraînement des modèles), la limitation de conservation (rétention des conversations), et la sécurité (transferts hors UE, accès des sous-traitants).
La différence concrète entre les 3 plans
| Critère | ChatGPT Plus (perso) | ChatGPT Team | ChatGPT Enterprise |
|---|---|---|---|
| Conversations utilisées pour entraînement | Oui par défaut (opt-out possible) | Non par défaut (zero-retention) | Non par défaut + contractuel |
| DPA disponible | Non | Oui (téléchargeable) | Oui (négocié, attaché au contrat) |
| Région EU garantie | Non | Non | Oui (contractuel) |
| Sous-traitants listés | Limité | Oui | Oui détaillé |
| Audit SOC 2 / ISO 27001 | Non publié | Oui | Oui |
| Audit log exportable | Non | Limité | Oui complet |
| Engagement durée conservation | Non | 30 jours par défaut | Configurable |
| SSO + SCIM | Non | Non | Oui |
En clair : Plus n’est pas RGPD-conforme pour usage entreprise. Team est conforme à la base. Enterprise est conforme étendu (région EU contractuelle).
Le vrai problème — le shadow IT
90 % des entreprises ont un problème RGPD avec ChatGPT, mais pas celui qu’elles croient. Ce n’est pas le plan choisi, c’est le shadow IT : vos salariés utilisent ChatGPT Plus sur leur compte perso, sans que vous le sachiez, en y collant :
- des CV de candidats RH
- des contrats clients
- des e-mails clients pour reformuler
- des données financières pour calculer
- des bouts de code propriétaire
Sans Team ou Enterprise, ces données partent par défaut dans le pipeline d’entraînement OpenAI. C’est la principale violation RGPD qu’on rencontre, dans 7 cas sur 10.
Solution : passer en ChatGPT Team minimum, communiquer en interne que l’usage perso est interdit pour le pro, faire signer une politique d’usage IA. C’est 80 % du travail.
Voir ChatGPT entreprise tarifs et souscription 2026 pour le détail des plans.
Le DPA OpenAI — ce qu’il y a vraiment dedans
Le Data Processing Addendum OpenAI (version 2026) couvre :
- Sous-traitance : OpenAI s’engage à ne pas utiliser les données pour entraîner les modèles (sur Team et Enterprise)
- Localisation : par défaut, traitement aux US. Région EU disponible sur Enterprise contractuellement.
- Sécurité : SOC 2 Type II audité, ISO 27001 audité (rapports communicables sous NDA)
- Sous-sous-traitants : Microsoft Azure (infra), Stripe (billing), AWS (CDN), tous listés
- Suppression à la demande : possible, délai 30 jours documenté
- Notification de violation : sous 72h conformément RGPD
Ce que le DPA ne couvre pas :
- Garantie 100 % pas de transfert vers les US (sauf Enterprise région EU explicite)
- Détail des datasets utilisés en entraînement (opacité)
- Engagement sur les données utilisées AVANT la signature du DPA (les données déjà traitées en Plus ont déjà servi)
Le piège des transferts hors UE
Schrems II + Data Privacy Framework (validé 2023, en re-questionnement 2025) : les transferts vers les US sont possibles mais conditionnels.
OpenAI utilise les Standard Contractual Clauses (SCC) en plus du DPF. C’est une couche de ceinture-bretelle qui couvre la majorité des cas. Mais :
- Si vous traitez des données particulièrement sensibles (santé, biométrique, judiciaire), un DPO prudent refusera quand même.
- Si vous avez un client réglementé (banque, gov, défense, OIV), il refusera presque toujours sauf Enterprise région EU stricte.
Pour la majorité des PME (B2B services, e-commerce, industrie sans données HDS), Team avec DPA passe le contrôle CNIL.
La checklist conformité avant adoption
Voici la checklist qu’on déroule en 90 minutes avec un client qui veut adopter ChatGPT proprement.
Étape 1 — Cartographier les données traitées
- Lister les types de données qui passeraient potentiellement dans ChatGPT (RH, clients, financier, code, juridique, marketing)
- Pour chaque type, classifier : public / interne / confidentiel / secret
- Identifier ce qui est interdit absolument (données HDS, secret pro avocat, secret défense)
Étape 2 — Choisir le plan adapté
- Si shadow IT existe → Team minimum, immédiat
- Si traitement de données confidentielles régulier → Enterprise région EU
- Si données HDS / secret pro → ne pas utiliser ChatGPT, voir alternatives (Mistral on-prem, Claude API + UI custom)
Étape 3 — Signer DPA + clauses contractuelles
- Télécharger le DPA OpenAI (Team ou Enterprise)
- Le faire valider par DPO ou avocat externe
- Pour Enterprise : négocier la clause région EU explicite si pas par défaut
- Annexer DPA au registre des sous-traitants (Article 30 RGPD)
Étape 4 — Mettre en place les contrôles techniques
- Configurer le workspace Team / Enterprise (zero-retention activé)
- Désactiver l’option “améliorer le modèle pour tous” si dispo
- Activer l’audit log si Enterprise
- Brancher SSO / SCIM si Enterprise
- Limiter les connecteurs autorisés (SharePoint, Drive, etc.) à ce qui est nécessaire
Étape 5 — Communiquer la politique en interne
- Rédiger une politique d’usage IA (1-2 pages, pas 30)
- La faire signer ou acquitter par tous les utilisateurs
- Communiquer les interdits (carte d’identité, RIB, données médicales, etc.)
- Mettre à disposition une boîte mail / canal Slack pour les questions
Étape 6 — Documenter dans le registre des traitements
- Ajouter le traitement “Usage ChatGPT par les salariés” au registre Article 30
- Documenter base légale (intérêt légitime, généralement)
- Documenter la durée de conservation (30 jours sur Team / configurable Enterprise)
- Joindre AIPD (Analyse d’Impact) si traitement à risque
Étape 7 — Revue à 6 mois
- Audit interne d’usage : qui utilise quoi, sur quels types de données
- Vérifier l’absence de comportement à risque (recopie de données client en clair, etc.)
- Mettre à jour la politique si besoin
- Re-former les équipes si nouveaux risques identifiés
L’AI Act en surcouche du RGPD
Depuis 2026, l’AI Act ajoute des obligations spécifiques en plus du RGPD pour l’usage des LLM en entreprise.
Pour ChatGPT en usage standard PME (rédaction, recherche, brainstorming), vous tombez généralement sur :
- Système d’IA à usage général (GPAI) : OpenAI doit fournir une documentation modèle, vous devez l’archiver
- Pas de classification “haut risque” sauf si vous l’utilisez pour : décision RH (recrutement, licenciement, évaluation), évaluation crédit clients, scoring assurance, contrôle qualité produits régulés
Si vous l’utilisez pour les cas “haut risque” listés, il faut :
- AIPD obligatoire
- Tests de robustesse documentés
- Monitoring continu en production
- Information explicite aux personnes concernées
- Possibilité de recours humain
Voir ce qui change avec l’AI Act 2026 pour le détail.
Les alternatives quand ChatGPT ne passe pas
Quand un audit RGPD ou une exigence client tombe sur “non, pas ChatGPT”, voici les options qu’on benchmark.
Claude API directe + UI custom
Anthropic API + Claude 4.6 Sonnet. DPA gratuit, région EU dispo, zero-retention par défaut depuis 2024. Pour le côté UI, soit vous codez, soit vous prenez un wrapper open source (LibreChat, Open WebUI), soit Claude.ai Team/Enterprise (équivalent ChatGPT Team chez Anthropic).
Avantage RGPD : DPA accessible directement à la souscription, pas besoin de plan Enterprise pour avoir les bonnes clauses.
Voir OpenAI direct vs Azure vs Anthropic.
Mistral Le Chat Pro / Enterprise
L’alternative française et européenne. DPA français, hébergement EU contractuel, conformité AI Act intégrée. Particulièrement adaptée pour : santé (HDS via Scaleway), banque, administrations.
Voir Mistral AI en entreprise française.
Azure OpenAI
Microsoft Azure OpenAI = GPT-5 hébergé sur Azure, avec DPA Microsoft (déjà signé si vous êtes client Azure ou Microsoft 365), région France Central garantie, zero-retention par défaut. Le plus solide juridiquement pour entreprises réglementées qui sont déjà sur Microsoft.
Self-hosted LLM (Mistral Small, Llama 3, etc.)
Solution radicale : vous hébergez vous-même un modèle open weights. Aucune donnée ne sort de votre périmètre. Coût hardware 30-80 k€, opex compétences IA. Choisi par certains cabinets d’avocats, hôpitaux, OIV.
Ce qu’on refuse de faire
- Aider un client à signer du Plus avec un usage pro pour “économiser sur la facture”. Le risque RGPD coûte plus cher que l’écart de prix.
- Promettre que le DPA OpenAI passe partout. Sur santé HDS strict ou secret défense, il ne passe pas.
- Cocher la case “AI Act conforme” sans vérifier l’usage. Si l’usage tombe en haut risque, le DPA OpenAI ne suffit pas, il faut le boulot AIPD complet.
Les 3 idées reçues qu’on entend
”Si je désactive l’historique sur ChatGPT, c’est conforme”
Faux. Désactiver l’historique sur Plus ne change pas le statut RGPD du compte (compte personnel, pas de DPA, pas de relation contractuelle entreprise-OpenAI). Vous restez en violation. Il faut Team minimum.
”Le RGPD interdit ChatGPT en entreprise”
Faux. Le RGPD encadre, n’interdit pas. ChatGPT Team avec DPA + zero-retention + politique d’usage interne passe la majorité des audits CNIL.
”Avec Enterprise région EU, on est 100 % couvert”
Pas tout à fait. Enterprise région EU couvre la localisation et le DPA. Reste votre responsabilité : ne pas y mettre des données HDS sans validation HDS, faire l’AIPD si usage haut risque, former les utilisateurs, documenter en registre. Le plan technique ne dispense pas de la conformité organisationnelle.
Le minimum vital opérationnel pour 2026
Si vous ne deviez retenir qu’une checklist en 6 lignes :
- ChatGPT Team ou Enterprise (jamais Plus pour usage pro)
- DPA signé et archivé
- Politique d’usage interne signée par les utilisateurs
- Registre Article 30 mis à jour
- Liste des données interdites communiquée (HDS, RIB, secret pro)
- Revue annuelle obligatoire
C’est le tronc commun. Le reste dépend de votre secteur et de vos clients.
Pour cadrer la conformité dans votre cas
Si votre DPO, votre service juridique ou un client vous demande “comment vous faites avec ChatGPT”, 30 minutes au téléphone suffisent à dérouler la checklist sur votre cas réel. On vous remet la checklist personnalisée et les modèles de politique d’usage.
Voir aussi : audit IA d’entreprise, ce qui change avec l’AI Act 2026, et Claude vs GPT vs Mistral pour PME.
Pour aller plus loin
- RGPD + IA en 2026 — ce qui change concrètement pour une PME française — AI Act, DPA, zéro rétention, région EU
- L’IA pour la banque et la finance en 2026 — conformité, risque, produc… — KYC/AML, analyse risque crédit, support client conforme, anti-fraude, reporting CSRD
- Cas client — automatisation recrutement chez un cabinet RH Lyon (+35 %… — Comment nous avons augmenté de 35 % la capacité de
- AI Act 2026 — ce qui change concrètement pour une PME qui déploie de l… — Entrée en application progressive du règlement IA européen en 2026
- ChatGPT Team vs Claude Team vs Mistral Le Chat Pro — quelle souscripti… — Comparatif des 3 souscriptions IA équipe leaders en 2026
- Claude Desktop vs Cursor vs ChatGPT Pro — outils dev IA en 2026 — Comparaison des 3 outils IA pour développeurs en 2026