IA et confidentialité en qualité — ce que dit le RGPD.
Version grand public vs version entreprise, ce qu'on peut faire sans risque, ce qui nécessite un DPA, technique d'anonymisation. 3 règles pratiques pour utiliser l'IA sans risque RGPD.
La question revient dans toutes les formations sur l'IA en entreprise : "Est-ce qu'on a le droit de mettre nos données dans ChatGPT ?" La réponse est toujours plus nuancée qu'un simple oui ou non.
Pour les qualiticiens, le sujet est particulièrement sensible : le SMQ traite des données clients (réclamations, contacts), des données salariés (habilitations, évaluations), des données fournisseurs (évaluations, incidents), et parfois des données commercialement sensibles. Toutes ces données ont un régime juridique — et les outils IA ne sont pas tous équivalents.
Ce que le RGPD dit sur les outils IA
Le RGPD ne parle pas explicitement des outils d'IA générative — le règlement date de 2018. Mais ses principes s'appliquent pleinement.
Le principe clé : tout transfert de données personnelles à un tiers nécessite une base légale.
Quand vous collez des données dans un outil IA cloud, vous transférez ces données aux serveurs du fournisseur. Si ces données contiennent des informations personnelles — noms de clients, noms de salariés, données d'évaluation individuelles — ce transfert est soumis au RGPD.
Les deux questions à se poser :
- 1Ces données contiennent-elles des informations personnelles ?
- 2Ai-je un DPA (Data Processing Agreement) signé avec ce fournisseur IA ?
Si réponse 1 = oui et réponse 2 = non — vous avez un problème.
Version grand public vs version entreprise
| Outil | Version grand public | Version entreprise |
|---|---|---|
| ChatGPT | Pas de DPA. Données possiblement utilisées pour entraînement. | ChatGPT Enterprise/Team : DPA signé, données non utilisées pour entraînement. |
| Claude | Politique stricte, paramétrable, mais pas de DPA contractuel. | Claude for Work (Team/Enterprise) : DPA disponible, conformité RGPD documentée. |
| Gemini | Données traitées selon CGU Google. Pas de DPA automatique. | Gemini for Google Workspace Business/Enterprise : DPA inclus dans les contrats GW. |
La règle simple : version grand public = usage personnel, sans données professionnelles sensibles. Version entreprise = usage professionnel possible, après vérification du DPA.
Ce que vous pouvez faire sans risque — quel que soit l'outil
Ces usages ne nécessitent pas de saisir des données personnelles :
- Rédiger des procédures depuis zéro (processus générique, sans nommer personne)
- Générer des questions d'audit ("génère des questions pour le processus achats §8.4")
- Créer des supports de formation (contenu pédagogique générique)
- Analyser des textes normatifs ("explique-moi §6.1 de l'ISO 9001:2015")
- Rédiger des emails types (templates sans nommer le client)
- Structurer une analyse de cause (sans les données réelles du dossier)
Ce qui nécessite une version entreprise avec DPA
- Analyser des données de réclamations réelles avec noms de clients
- Traiter des fiches NC avec noms de salariés
- Synthétiser des données de revue de direction avec indicateurs financiers confidentiels
- Analyser des évaluations fournisseurs nominatives
- Traiter des données RH individuelles (habilitations, évaluations)
La technique d'anonymisation
Pas de version entreprise ? Remplacez les identifiants personnels par des codes neutres avant de saisir dans l'outil.
| Données originales | Version anonymisée |
|---|---|
| "Réclamation du client Renault SAS concernant..." | "Réclamation du client C01 concernant..." |
| "L'opérateur Martin Dupont n'a pas suivi la procédure" | "L'opérateur OP-03 n'a pas suivi la procédure" |
| "Le fournisseur Acier Industries, CA 450 k€" | "Le fournisseur F-12, volume annuel significatif" |
| "CA 12 M€, marge 8%" | "Indicateurs de performance : niveau A" |
L'IA produit la même qualité d'analyse avec des données anonymisées. Vous conservez la table de correspondance localement.
En résumé — Les 3 règles pratiques
Règle 1 — Sans DPA : zéro donnée personnelle identifiante. Rédaction et contenu générique — oui. Données clients nominatives, données salariés, données fournisseurs avec noms — non.
Règle 2 — Avec DPA : vérifiez le périmètre contractuel. Un DPA signé ne signifie pas que tout est permis. Vérifiez que les données traitées sont couvertes par le contrat.
Règle 3 — En cas de doute : anonymisez. L'anonymisation résout 80% des cas d'usage intermédiaires sans version enterprise. 2 minutes de plus pour remplacer les noms par des codes — c'est la règle la plus universelle.
Cet article est un éclairage pratique, pas un avis juridique. Pour des questions spécifiques, consultez votre DPO ou un avocat spécialisé en protection des données.
Autres articles.
ISO 9001:2015 vs ISO 9001:2026 — Ce qui va changer (et ce qui ne change pas)
La révision ISO 9001 arrive en septembre 2026. DIS publié, période de transition de 3 ans, changement climatique déjà exigible — tout ce que les qualiticiens doivent savoir maintenant.
5 erreurs que font les qualiticiens avec l'IA générative (et comment les éviter)
Procédures inutilisables, références normatives inventées, données confidentielles exposées — les 5 pièges à éviter pour utiliser l'IA efficacement en SMQ.