En bref — ChatGPT est légal en entreprise en France, mais son usage doit être cadré pour respecter le RGPD et le secret des affaires. Trois points clés : (1) les données personnelles identifiables ne vont pas dans la version grand public (chatgpt.com) tant que vous n’avez pas anonymisé ou pseudonymisé ; (2) désactivez la clause d’entraînement dans les paramètres (Settings → Data controls) ; (3) rédigez une charte d’usage IA courte et déployez-la. Les versions ChatGPT Team et Enterprise offrent une protection contractuelle et sont recommandées pour un usage professionnel étendu. La formation ChatGPT Sowaycom consacre un module dédié à ces enjeux et fournit un template de charte.
Article rédigé par Sylvain Gillet, fondateur de Sowaycom — organisme de formation certifié Qualiopi, spécialisé dans la formation IA générative pour entreprises.
ChatGPT est-il légal en entreprise ?
Oui. ChatGPT n’est pas interdit en France ni en Europe. L’outil est utilisé quotidiennement par des dizaines de millions de professionnels, y compris dans des entreprises réglementées (banques, assurances, secteur public sous réserves). La vraie question n’est pas la légalité de ChatGPT, mais la conformité de vos usages avec le RGPD (Règlement général sur la protection des données) et la protection du secret des affaires.
Le raccourci courant « ChatGPT est illégal » vient d’une confusion. La CNIL italienne a bloqué temporairement ChatGPT en 2023 pour non-conformité, OpenAI a corrigé, et le service a été rétabli. En France, la CNIL n’a jamais interdit ChatGPT. Elle a publié des recommandations pour un usage cadré — c’est très différent.
Ce qu’il faut retenir : la responsabilité de la conformité n’appartient pas à OpenAI seul, elle appartient aussi à votre entreprise en tant que responsable de traitement. Si vous saisissez des données personnelles de vos clients ou salariés dans ChatGPT, c’est vous qui devez pouvoir démontrer que vous respectez le RGPD — pas OpenAI.
Quelles données peut-on mettre dans ChatGPT ?
C’est LA question opérationnelle. La réponse dépend de deux facteurs : la version que vous utilisez et la sensibilité de la donnée.
Sur ChatGPT grand public (chatgpt.com gratuit ou Plus)
- Oui : données publiques (contenu web, documents publiés, extraits d’articles), données que vous avez créées vous-même sans information personnelle, données synthétiques ou fictives que vous construisez pour un cas d’usage.
- Non par défaut : données personnelles identifiables (noms, emails, numéros de téléphone, adresses, numéros de dossier), données clients internes, données RH nominatives (fiches de paie, entretiens individuels), secret des affaires (contrats en négociation, résultats financiers non publiés, propriété intellectuelle).
- Oui après anonymisation ou pseudonymisation : documents professionnels dont vous avez retiré ou remplacé les mentions personnelles identifiantes.
Sur ChatGPT Team ou Enterprise
Les données que vous saisissez ne sont pas utilisées pour entraîner les modèles (engagement contractuel d’OpenAI), et ne sont pas partagées avec le grand public. Le périmètre des données admissibles s’élargit fortement : vous pouvez travailler sur des documents internes, des extraits de contrats, des CV, des tickets clients, avec un niveau de risque nettement réduit.
Attention néanmoins : même sur ChatGPT Enterprise, certaines données restent hors périmètre : données de santé, données bancaires détaillées, secrets industriels critiques. Pour ces catégories, il faut une analyse au cas par cas avec votre DPO.
Que dit la CNIL sur ChatGPT en entreprise ?
La CNIL a publié plusieurs communications et recommandations depuis 2023 sur les IA génératives. Voici les points opérationnels à retenir pour une entreprise française en 2026 :
1. Faire une AIPD (Analyse d’Impact sur la Protection des Données) avant tout déploiement massif de ChatGPT dans votre entreprise. L’AIPD documente les usages prévus, les types de données concernées, les mesures de sécurité, et les risques résiduels. Elle est obligatoire si le traitement présente un risque élevé pour les personnes concernées.
2. Documenter le traitement dans votre registre RGPD : indiquer que vous utilisez ChatGPT, pour quels usages, avec quelles catégories de données, et sur quelle base légale (intérêt légitime, consentement, obligation légale…).
3. Informer les personnes concernées : vos collaborateurs, vos clients si leurs données sont traitées via ChatGPT. En interne, une note d’information et une charte d’usage IA sont recommandées.
4. Désactiver la clause d’entraînement sur les comptes grand public : Settings → Data controls → Improve the model for everyone → décocher. Sur Team et Enterprise, c’est désactivé par défaut.
5. Préférer les versions Enterprise avec engagement contractuel dès que l’usage se généralise dans l’organisation.
La CNIL n’interdit pas ChatGPT — elle demande un cadrage sérieux. L’esprit de la démarche : ne pas subir l’outil, ne pas l’interdire non plus, mais l’adopter en connaissance de cause avec des règles claires.
Quelles versions sécurisées et alternatives pour un usage RGPD ?
Deux voies principales sur lesquelles Sowaycom vous accompagne pour un déploiement en entreprise :
ChatGPT Team ou ChatGPT Enterprise (OpenAI). Le plus simple si vos équipes sont déjà habituées à ChatGPT. Team : 25 à 30 $ par utilisateur et par mois (facturation annuelle), console admin, historique partagé sur demande, données non utilisées pour l’entraînement. Enterprise : sur devis, engagement contractuel de sécurité renforcé, options de conformité SOC 2, options d’hébergement selon les régions. Notre recommandation : Team dès 3 à 5 utilisateurs réguliers, Enterprise pour les organisations de 50 collaborateurs et plus.
Claude d’Anthropic (Claude Team ou Claude Enterprise). Positionnement rigoureux sur la privacy et l’engagement de non-utilisation des données pour l’entraînement. Claude est particulièrement solide sur les documents longs, l’analyse de contrats, la rédaction rigoureuse. C’est l’alternative que nous recommandons pour les usages B2B où la fiabilité factuelle et la sécurité priment (juridique, achats, direction). Voir la formation Claude Sowaycom pour un panorama complet.
Le bon choix dépend de votre écosystème existant, de vos accords fournisseurs et du niveau de sensibilité de vos usages. Dans les PME et ETI françaises que nous accompagnons, le choix se fait souvent entre ChatGPT Team (si l’usage démarre spontanément côté marketing/commercial) et Claude Team (si les usages métier attendus sont plus rigoureux et documentaires). Il est fréquent d’utiliser les deux en complément.
Comment cadrer l’usage collectif : la charte IA en 4 pages
Rédiger une charte d’usage IA est devenu une bonne pratique standard en 2026. Elle protège l’entreprise, éclaire les collaborateurs, et cadre les managers. Voici les 6 rubriques minimales :
- Outils autorisés et outils interdits — quelle version de ChatGPT (grand public, Team, Enterprise), quels autres outils (Claude, Gemini, NotebookLM…), lesquels sont clairement proscrits.
- Types de données qu’on peut saisir — cartographie simple par niveau de sensibilité (publique, interne, confidentielle, secrète) et par version d’outil.
- Obligation de vérification — les réponses de l’IA doivent être vérifiées avant tout usage externe. Aucun envoi client n’est fait « en direct » d’une génération sans relecture.
- Traçabilité — un référent IA est désigné (souvent le DPO ou un responsable IA nommé), il documente les usages et centralise les questions.
- Droit d’auteur et propriété intellectuelle — clarifier ce que devient un contenu généré par IA (souvent : co-création avec relecture humaine substantielle, mention explicite dans certains cas).
- Sanctions et référent — que se passe-t-il en cas de non-respect, à qui poser une question.
La formation ChatGPT Sowaycom consacre un module dédié à la construction de cette politique interne et fournit un template de charte prêt à adapter à votre entreprise.
Résumé opérationnel
Pour utiliser ChatGPT en entreprise en conformité RGPD, quatre décisions à prendre dans l’ordre :
- Choisir la version — Team ou Enterprise dès que l’usage est régulier (au-delà de quelques utilisations isolées).
- Configurer les paramètres — désactiver la clause d’entraînement sur les comptes grand public restants.
- Rédiger la charte d’usage IA — 2 à 4 pages, validée par le DPO et la direction.
- Former les équipes — pas seulement à l’outil, mais aussi au cadre (RGPD, secret des affaires, droit d’auteur, vérification).
Pour ce dernier point, la formation ChatGPT Sowaycom couvre les 4 volets en 1 journée : maîtrise du prompt engineering, cas d’usage métier, sécurité et RGPD, plan de déploiement. Sowaycom est certifié Qualiopi, formation finançable par les OPCO.
Article rédigé par Sylvain Gillet — Sowaycom, organisme de formation IA générative certifié Qualiopi, basé à Avignon (Vaucluse). Éditorial informationnel, actualisé au fil des évolutions réglementaires et des recommandations CNIL. Cet article ne constitue pas un conseil juridique ; pour un audit de conformité formel, faites appel à votre DPO ou à un cabinet spécialisé.
Aller plus loin :