Aller au contenu principal

Sécurité, conformité et protection des données

La question que pose chaque DSI

Avant d’autoriser ChatGPT dans l’entreprise, la direction des systèmes d’information pose toujours la même question : où vont nos données ? Cette leçon vous donne les réponses factuelles pour rassurer — ou alerter — les décideurs.

Le modèle de données d’OpenAI pour les entreprises

Sur les plans Business et Enterprise, OpenAI applique un principe fondamental : les données des conversations ne sont pas utilisées pour entraîner les modèles. C’est inscrit contractuellement, pas seulement dans les conditions générales.

Ce que cela signifie concrètement

  • Les prompts et les réponses de vos collaborateurs ne servent jamais à améliorer GPT-5
  • Les fichiers uploadés (PDF, Excel, images) sont traités en mémoire et supprimés après traitement
  • Les conversations sont stockées de manière chiffrée (AES-256 au repos, TLS 1.3 en transit)
  • Vous pouvez configurer une politique de rétention : 30 jours, 90 jours, ou suppression immédiate

La différence avec les plans individuels

Sur les plans Free et Go, les conversations peuvent être utilisées pour l’entraînement, sauf si l’utilisateur désactive manuellement l’option. Sur Plus, c’est désactivé par défaut mais réactivable. Sur Business et Enterprise, c’est désactivé de manière irréversible au niveau du workspace.

Conformité et certifications

SOC 2 Type II (Enterprise uniquement)

Le plan Enterprise est couvert par un rapport SOC 2 Type II, ce qui signifie qu’un auditeur indépendant a vérifié que les contrôles de sécurité d’OpenAI fonctionnent effectivement sur une période prolongée. Ce rapport est disponible sur demande sous NDA.

RGPD et résidence des données

OpenAI agit en tant que sous-traitant (processor) au sens du RGPD. Un Data Processing Agreement (DPA) est disponible pour les plans Business et Enterprise. Les points clés :

  • Base légale : intérêt légitime ou consentement selon votre usage
  • Transferts internationaux : couverts par les Standard Contractual Clauses (SCC) de l’UE
  • Résidence des données : les données sont traitées aux États-Unis par défaut. Enterprise offre la possibilité de négocier des options de résidence européenne
  • Droit à l’effacement : applicable — vous pouvez demander la suppression de toutes les données de votre workspace

Autres cadres réglementaires

  • HIPAA : Enterprise propose un BAA (Business Associate Agreement) pour les organisations de santé aux États-Unis
  • ISO 27001 : OpenAI est certifié
  • SOX : les contrôles SOC 2 couvrent les exigences pertinentes

Ce que vous devez vérifier avant de déployer

Checklist sécurité

  1. Vérifiez que votre plan exclut bien les données de l’entraînement — c’est le cas par défaut sur Business et Enterprise, mais confirmez-le dans votre contrat
  2. Signez le DPA — disponible dans la console admin, c’est une obligation RGPD
  3. Configurez la rétention des données — ne laissez pas le paramètre par défaut si votre politique interne impose une durée spécifique
  4. Documentez les finalités de traitement — votre registre des traitements RGPD doit inclure ChatGPT
  5. Informez vos collaborateurs — transparence sur l’utilisation de leurs données dans le cadre de l’outil

Les zones grises à anticiper

Données sensibles dans les prompts — Même si les données ne servent pas à l’entraînement, elles transitent par les serveurs d’OpenAI. Établissez des règles claires sur ce qui peut et ne peut pas être saisi dans ChatGPT (données personnelles de clients, informations financières non publiques, secrets industriels).

Mémoire et contexte persistant — La mémoire auto-organisée de ChatGPT retient des informations d’une conversation à l’autre. Sur Enterprise, les admins peuvent la désactiver ou la limiter par groupe d’utilisateurs. Pensez à définir une politique.

Fichiers partagés via Google Drive/SharePoint — Lorsque vous connectez un drive, ChatGPT peut lire les documents. Assurez-vous que les permissions de partage de votre drive sont bien configurées en amont.

Le vrai risque n’est pas technique

Le plus grand risque de sécurité avec ChatGPT en entreprise n’est pas une faille dans le chiffrement d’OpenAI. C’est un collaborateur qui copie-colle un contrat confidentiel dans le chat de la version gratuite sur son téléphone personnel. La solution : fournir un accès professionnel encadré, plutôt que de laisser les équipes se débrouiller avec des comptes personnels.

Lecon precedenteBusiness vs Enterprise vs Edu : fonctionnalités et tarifsLecon suivanteAdministration et SSO