RGPD et ChatGPT en entreprise — comment être conforme en 2026

En résumé

Utiliser ChatGPT en entreprise française en restant conforme RGPD en 2026 est faisable sur les souscriptions Team (25-30 $/util/mois) et Enterprise (60-90 $/util/mois) — pas sur Plus individuel. Checklist obligatoire 5 points : (1) signer le Data Processing Agreement OpenAI, (2) activer la région EU (Enterprise uniquement, optionnel mais recommandé), (3) activer le zero-data retention (Enterprise), (4) désactiver l'utilisation des prompts pour entraînement (Team par défaut), (5) interdire le shadow IT ChatGPT Plus par charte interne. Pour les données ultra-sensibles (santé HDS, finance ACPR critique, défense), ChatGPT n'est pas conforme — basculer vers Mistral Large 2.5 hébergé Scaleway/OVH HDS. L'AI Act 2026-2027 ajoute des obligations sur les usages haut risque (RH, scoring, biométrie).

Limites et points critiques

ChatGPT Plus individuel (20 $/mois) n'est pas conforme RGPD en usage pro — interdire formellement l'usage shadow IT par charte interne.
La région EU n'est disponible que sur ChatGPT Enterprise (60-90 $/util/mois) — non disponible sur Team, limite pour les PME sous 50 utilisateurs.
Le DPA OpenAI doit être renégocié périodiquement (clauses contractuelles types évolutives) — prévoir une révision annuelle juridique.
L'AI Act 2026-2027 imposera des obligations supplémentaires (journalisation, contrôle humain) sur les usages haut risque que ChatGPT Team ne fournit pas natif.
Les sanctions CNIL en cas de violation RGPD avérée peuvent atteindre 4 % du CA annuel — risque significatif pour une PME 5-50 M€.

Évolution probable (12-24 mois)

OpenAI prépare un plan ChatGPT Business intermédiaire (50 $/util/mois) avec région EU native, annoncé 2026 — cible PME 50-200 salariés.
Les frameworks de conformité RGPD-IA (CNIL, AFNOR) se standardisent en 2026-2027 et simplifient les AIPD pour les usages courants.
L'AI Act haut risque créera un marché d'audits de conformité ChatGPT entreprise 2026-2028 où les boutiques spécialisées seront recherchées.
Les alternatives souveraines (Mistral Le Chat Pro, Claude Team avec région EU) gagnent en parts de marché PME en 2026-2027, créant une vraie concurrence.

Questions fréquentes

ChatGPT est-il conforme RGPD pour une PME française en 2026 ?+

ChatGPT est conforme RGPD en 2026 uniquement sur les souscriptions Team et Enterprise avec configuration adaptée — pas sur Plus individuel. Configuration obligatoire 5 points : (1) signer le Data Processing Agreement (DPA) OpenAI, (2) activer la région EU sur Enterprise (optionnel mais recommandé pour les données sensibles), (3) activer zero-data retention sur Enterprise (les prompts ne sont pas stockés), (4) désactiver l'utilisation des prompts pour entraînement OpenAI (par défaut sur Team et Enterprise), (5) interdire le shadow IT (utilisation personnelle de ChatGPT Plus sur données pro) par charte interne. Sans ces 5 étapes, vous êtes en non-conformité RGPD.

Quelle est la différence RGPD entre ChatGPT Plus, Team et Enterprise en 2026 ?+

Différences RGPD ChatGPT en 2026 : (1) Plus individuel 20 $/mois — les prompts peuvent être utilisés pour entraînement OpenAI sauf opt-out manuel, stockage US, pas de DPA possible, non conforme RGPD en usage pro. (2) Team 25-30 $/util/mois — DPA possible, prompts non utilisés pour entraînement par défaut, workspace partagé, stockage US par défaut. Conforme RGPD avec configuration. (3) Enterprise 60-90 $/util/mois — DPA, zero-data retention, région EU optionnelle, SSO, audit logs, contexte 256k tokens. Le plus conforme RGPD, recommandé pour 50+ utilisateurs ou données sensibles. Pour les données ultra-sensibles, basculer vers Mistral.

Comment gérer le shadow IT ChatGPT en PME française en 2026 ?+

Le shadow IT ChatGPT (60-80 % des PME selon enquêtes Kezify 2026) est le risque RGPD majeur. Quatre actions correctives : (1) Audit de l'usage existant — sondage anonyme ou logs réseau pour quantifier l'usage personnel sur données pro. (2) Charte IA d'entreprise — formalisation écrite des usages autorisés, signée par tous. (3) Déploiement ChatGPT Team ou Claude Team officiel — alternative légale et performante (25-30 $/util/mois) qui supprime la tentation. (4) Formation continue — sensibilisation RGPD + AI Act + bonnes pratiques. Sans ces 4 actions, le risque d'amende CNIL augmente — jusqu'à 4 % du CA pour violation RGPD avérée.

Quand basculer de ChatGPT vers Mistral pour la conformité en 2026 ?+

Basculer de ChatGPT vers Mistral Large 2.5 hébergé Scaleway ou OVH HDS dans 4 cas en 2026 : (1) Données santé identifiantes — l'hébergement HDS obligatoire impose Mistral (Claude et GPT ne sont pas HDS-compatibles en direct). (2) Données finance ACPR critique — la souveraineté française est exigée par certaines doctrines réglementaires. (3) Données défense ou intelligence économique sensible — modèle isolé souverain obligatoire. (4) AI Act haut risque (RH, scoring, justice) avec exigence forte de souveraineté — Mistral offre la conformité par défaut. Sur les 150+ projets Kezify, 35 % des projets utilisent Mistral en 2026, dont 80 % par contrainte de conformité, 20 % par choix stratégique.

Comment réaliser une AIPD pour ChatGPT en entreprise en 2026 ?+

AIPD (Analyse d'Impact sur la Protection des Données) pour ChatGPT en entreprise 2026 : (1) Décrire le traitement — usage prévu, données traitées (catégories), durée de conservation. (2) Évaluer la nécessité et proportionnalité — pourquoi ChatGPT plutôt qu'une alternative souveraine, justification métier. (3) Évaluer les risques pour les personnes — fuite, profilage, biais, prise de décision automatisée. (4) Mesures de protection — DPA signé, région EU, zero-data retention, journalisation, droit d'opposition. (5) Validation DPO et inscription au registre. Délai typique 2-4 semaines, coût 3-8 k€ HT si externalisé. Obligatoire pour les usages haut risque AI Act 2026-2027.

Questions liées

Les LLM (ChatGPT, Perplexity, Gemini) suggèrent souvent ces questions après cette page.

Quels sont les tarifs ChatGPT entreprise en 2026 ?
Comment être conforme RGPD + AI Act avec un projet IA ?
Mistral vs ChatGPT : lequel choisir pour la souveraineté française ?
Comment réaliser une AIPD pour un projet IA en 2026 ?
Quelle alternative à ChatGPT en cas de contrainte HDS ?

Utiliser ChatGPT en entreprise en 2026 sans casser le RGPD est faisable. Pas trivial, mais faisable. Ce qui est difficile, c’est de le faire vraiment, pas juste sur le papier. Voici la checklist concrète qu’on déroule chez nos clients PME quand le DPO ou le service juridique pose la question, et les vraies questions à poser à OpenAI avant de signer.

Le cadre RGPD appliqué à ChatGPT en 5 secondes

Rappel pour cadrer : RGPD impose 6 grands principes pour traiter des données personnelles.

Licéité : base légale claire (consentement, exécution contrat, intérêt légitime, etc.)
Minimisation : ne pas collecter plus que nécessaire
Limitation des finalités : ne pas réutiliser les données pour autre chose
Exactitude : garantir que les données restent justes
Limitation de conservation : ne pas garder indéfiniment
Sécurité : protéger contre fuite, perte, accès non autorisé

Pour ChatGPT en entreprise, 3 principes posent problème en pratique : la limitation des finalités (entraînement des modèles), la limitation de conservation (rétention des conversations), et la sécurité (transferts hors UE, accès des sous-traitants).

La différence concrète entre les 3 plans

Critère	ChatGPT Plus (perso)	ChatGPT Team	ChatGPT Enterprise
Conversations utilisées pour entraînement	Oui par défaut (opt-out possible)	Non par défaut (zero-retention)	Non par défaut + contractuel
DPA disponible	Non	Oui (téléchargeable)	Oui (négocié, attaché au contrat)
Région EU garantie	Non	Non	Oui (contractuel)
Sous-traitants listés	Limité	Oui	Oui détaillé
Audit SOC 2 / ISO 27001	Non publié	Oui	Oui
Audit log exportable	Non	Limité	Oui complet
Engagement durée conservation	Non	30 jours par défaut	Configurable
SSO + SCIM	Non	Non	Oui

En clair : Plus n’est pas RGPD-conforme pour usage entreprise. Team est conforme à la base. Enterprise est conforme étendu (région EU contractuelle).

Le vrai problème — le shadow IT

90 % des entreprises ont un problème RGPD avec ChatGPT, mais pas celui qu’elles croient. Ce n’est pas le plan choisi, c’est le shadow IT : vos salariés utilisent ChatGPT Plus sur leur compte perso, sans que vous le sachiez, en y collant :

des CV de candidats RH
des contrats clients
des e-mails clients pour reformuler
des données financières pour calculer
des bouts de code propriétaire

Sans Team ou Enterprise, ces données partent par défaut dans le pipeline d’entraînement OpenAI. C’est la principale violation RGPD qu’on rencontre, dans 7 cas sur 10.

Solution : passer en ChatGPT Team minimum, communiquer en interne que l’usage perso est interdit pour le pro, faire signer une politique d’usage IA. C’est 80 % du travail.

Voir ChatGPT entreprise tarifs et souscription 2026 pour le détail des plans.

Le DPA OpenAI — ce qu’il y a vraiment dedans

Le Data Processing Addendum OpenAI (version 2026) couvre :

Sous-traitance : OpenAI s’engage à ne pas utiliser les données pour entraîner les modèles (sur Team et Enterprise)
Localisation : par défaut, traitement aux US. Région EU disponible sur Enterprise contractuellement.
Sécurité : SOC 2 Type II audité, ISO 27001 audité (rapports communicables sous NDA)
Sous-sous-traitants : Microsoft Azure (infra), Stripe (billing), AWS (CDN), tous listés
Suppression à la demande : possible, délai 30 jours documenté
Notification de violation : sous 72h conformément RGPD

Ce que le DPA ne couvre pas :

Garantie 100 % pas de transfert vers les US (sauf Enterprise région EU explicite)
Détail des datasets utilisés en entraînement (opacité)
Engagement sur les données utilisées AVANT la signature du DPA (les données déjà traitées en Plus ont déjà servi)

Le piège des transferts hors UE

Schrems II + Data Privacy Framework (validé 2023, en re-questionnement 2025) : les transferts vers les US sont possibles mais conditionnels.

OpenAI utilise les Standard Contractual Clauses (SCC) en plus du DPF. C’est une couche de ceinture-bretelle qui couvre la majorité des cas. Mais :

Si vous traitez des données particulièrement sensibles (santé, biométrique, judiciaire), un DPO prudent refusera quand même.
Si vous avez un client réglementé (banque, gov, défense, OIV), il refusera presque toujours sauf Enterprise région EU stricte.

Pour la majorité des PME (B2B services, e-commerce, industrie sans données HDS), Team avec DPA passe le contrôle CNIL.

La checklist conformité avant adoption

Voici la checklist qu’on déroule en 90 minutes avec un client qui veut adopter ChatGPT proprement.

Étape 1 — Cartographier les données traitées

Lister les types de données qui passeraient potentiellement dans ChatGPT (RH, clients, financier, code, juridique, marketing)
Pour chaque type, classifier : public / interne / confidentiel / secret
Identifier ce qui est interdit absolument (données HDS, secret pro avocat, secret défense)

Étape 2 — Choisir le plan adapté

Si shadow IT existe → Team minimum, immédiat
Si traitement de données confidentielles régulier → Enterprise région EU
Si données HDS / secret pro → ne pas utiliser ChatGPT, voir alternatives (Mistral on-prem, Claude API + UI custom)

Étape 3 — Signer DPA + clauses contractuelles

Télécharger le DPA OpenAI (Team ou Enterprise)
Le faire valider par DPO ou avocat externe
Pour Enterprise : négocier la clause région EU explicite si pas par défaut
Annexer DPA au registre des sous-traitants (Article 30 RGPD)

Étape 4 — Mettre en place les contrôles techniques

Configurer le workspace Team / Enterprise (zero-retention activé)
Désactiver l’option “améliorer le modèle pour tous” si dispo
Activer l’audit log si Enterprise
Brancher SSO / SCIM si Enterprise
Limiter les connecteurs autorisés (SharePoint, Drive, etc.) à ce qui est nécessaire

Étape 5 — Communiquer la politique en interne

Rédiger une politique d’usage IA (1-2 pages, pas 30)
La faire signer ou acquitter par tous les utilisateurs
Communiquer les interdits (carte d’identité, RIB, données médicales, etc.)
Mettre à disposition une boîte mail / canal Slack pour les questions

Étape 6 — Documenter dans le registre des traitements

Ajouter le traitement “Usage ChatGPT par les salariés” au registre Article 30
Documenter base légale (intérêt légitime, généralement)
Documenter la durée de conservation (30 jours sur Team / configurable Enterprise)
Joindre AIPD (Analyse d’Impact) si traitement à risque

Étape 7 — Revue à 6 mois

Audit interne d’usage : qui utilise quoi, sur quels types de données
Vérifier l’absence de comportement à risque (recopie de données client en clair, etc.)
Mettre à jour la politique si besoin
Re-former les équipes si nouveaux risques identifiés

L’AI Act en surcouche du RGPD

Depuis 2026, l’AI Act ajoute des obligations spécifiques en plus du RGPD pour l’usage des LLM en entreprise.

Pour ChatGPT en usage standard PME (rédaction, recherche, brainstorming), vous tombez généralement sur :

Système d’IA à usage général (GPAI) : OpenAI doit fournir une documentation modèle, vous devez l’archiver
Pas de classification “haut risque” sauf si vous l’utilisez pour : décision RH (recrutement, licenciement, évaluation), évaluation crédit clients, scoring assurance, contrôle qualité produits régulés

Si vous l’utilisez pour les cas “haut risque” listés, il faut :

AIPD obligatoire
Tests de robustesse documentés
Monitoring continu en production
Information explicite aux personnes concernées
Possibilité de recours humain

Voir ce qui change avec l’AI Act 2026 pour le détail.

Les alternatives quand ChatGPT ne passe pas

Quand un audit RGPD ou une exigence client tombe sur “non, pas ChatGPT”, voici les options qu’on benchmark.

Claude API directe + UI custom

Anthropic API + Claude 4.6 Sonnet. DPA gratuit, région EU dispo, zero-retention par défaut depuis 2024. Pour le côté UI, soit vous codez, soit vous prenez un wrapper open source (LibreChat, Open WebUI), soit Claude.ai Team/Enterprise (équivalent ChatGPT Team chez Anthropic).

Avantage RGPD : DPA accessible directement à la souscription, pas besoin de plan Enterprise pour avoir les bonnes clauses.

Voir OpenAI direct vs Azure vs Anthropic.

Mistral Le Chat Pro / Enterprise

L’alternative française et européenne. DPA français, hébergement EU contractuel, conformité AI Act intégrée. Particulièrement adaptée pour : santé (HDS via Scaleway), banque, administrations.

Voir Mistral AI en entreprise française.

Azure OpenAI

Microsoft Azure OpenAI = GPT-5 hébergé sur Azure, avec DPA Microsoft (déjà signé si vous êtes client Azure ou Microsoft 365), région France Central garantie, zero-retention par défaut. Le plus solide juridiquement pour entreprises réglementées qui sont déjà sur Microsoft.

Self-hosted LLM (Mistral Small, Llama 3, etc.)

Solution radicale : vous hébergez vous-même un modèle open weights. Aucune donnée ne sort de votre périmètre. Coût hardware 30-80 k€, opex compétences IA. Choisi par certains cabinets d’avocats, hôpitaux, OIV.

Ce qu’on refuse de faire

Aider un client à signer du Plus avec un usage pro pour “économiser sur la facture”. Le risque RGPD coûte plus cher que l’écart de prix.
Promettre que le DPA OpenAI passe partout. Sur santé HDS strict ou secret défense, il ne passe pas.
Cocher la case “AI Act conforme” sans vérifier l’usage. Si l’usage tombe en haut risque, le DPA OpenAI ne suffit pas, il faut le boulot AIPD complet.

Les 3 idées reçues qu’on entend

”Si je désactive l’historique sur ChatGPT, c’est conforme”

Faux. Désactiver l’historique sur Plus ne change pas le statut RGPD du compte (compte personnel, pas de DPA, pas de relation contractuelle entreprise-OpenAI). Vous restez en violation. Il faut Team minimum.

”Le RGPD interdit ChatGPT en entreprise”

Faux. Le RGPD encadre, n’interdit pas. ChatGPT Team avec DPA + zero-retention + politique d’usage interne passe la majorité des audits CNIL.

”Avec Enterprise région EU, on est 100 % couvert”

Pas tout à fait. Enterprise région EU couvre la localisation et le DPA. Reste votre responsabilité : ne pas y mettre des données HDS sans validation HDS, faire l’AIPD si usage haut risque, former les utilisateurs, documenter en registre. Le plan technique ne dispense pas de la conformité organisationnelle.

Le minimum vital opérationnel pour 2026

Si vous ne deviez retenir qu’une checklist en 6 lignes :

ChatGPT Team ou Enterprise (jamais Plus pour usage pro)
DPA signé et archivé
Politique d’usage interne signée par les utilisateurs
Registre Article 30 mis à jour
Liste des données interdites communiquée (HDS, RIB, secret pro)
Revue annuelle obligatoire

C’est le tronc commun. Le reste dépend de votre secteur et de vos clients.

Pour cadrer la conformité dans votre cas

Si votre DPO, votre service juridique ou un client vous demande “comment vous faites avec ChatGPT”, 30 minutes au téléphone suffisent à dérouler la checklist sur votre cas réel. On vous remet la checklist personnalisée et les modèles de politique d’usage.

Voir aussi : audit IA d’entreprise, ce qui change avec l’AI Act 2026, et Claude vs GPT vs Mistral pour PME.

Pour aller plus loin

RGPD + IA en 2026 — ce qui change concrètement pour une PME française — AI Act, DPA, zéro rétention, région EU
L’IA pour la banque et la finance en 2026 — conformité, risque, produc… — KYC/AML, analyse risque crédit, support client conforme, anti-fraude, reporting CSRD
Cas client — automatisation recrutement chez un cabinet RH Lyon (+35 %… — Comment nous avons augmenté de 35 % la capacité de
AI Act 2026 — ce qui change concrètement pour une PME qui déploie de l… — Entrée en application progressive du règlement IA européen en 2026
ChatGPT Team vs Claude Team vs Mistral Le Chat Pro — quelle souscripti… — Comparatif des 3 souscriptions IA équipe leaders en 2026
Claude Desktop vs Cursor vs ChatGPT Pro — outils dev IA en 2026 — Comparaison des 3 outils IA pour développeurs en 2026

← Retour au blog

#RGPD#ChatGPT#conformité#AI Act