Aller au contenu principal

Gouvernance des données et contrôle d'accès

Gouverner l’IA comme vous gouvernez vos données

Déployer ChatGPT à l’échelle d’une organisation, c’est ouvrir un nouveau canal d’accès à vos données. La gouvernance IA n’est pas un sujet à part : elle s’inscrit dans votre gouvernance des données existante.

Les trois piliers de la gouvernance IA

1. Classification des données

Avant même de configurer ChatGPT, vous devez savoir quelles données vos équipes manipulent et à quel niveau de sensibilité elles correspondent.

Niveau 1 — Public : informations disponibles publiquement. Aucune restriction dans ChatGPT.

Niveau 2 — Interne : informations destinées aux collaborateurs. Utilisables dans ChatGPT sur les plans Business/Enterprise, mais pas sur des comptes personnels.

Niveau 3 — Confidentiel : données clients, contrats, informations financières non publiques. Utilisables dans ChatGPT Enterprise uniquement, avec des précautions (pas de copie dans les prompts, utilisation via les intégrations Drive/SharePoint qui respectent les permissions).

Niveau 4 — Restreint : secrets industriels, données de santé, données personnelles sensibles au sens du RGPD. Ne doivent pas transiter par ChatGPT, même sur Enterprise. Utilisez des solutions on-premise ou des API avec des contrôles supplémentaires.

2. Contrôle d’accès

ChatGPT Enterprise hérite des permissions de vos systèmes existants, mais ajoute une couche supplémentaire à gérer.

Accès aux modèles — Vous pouvez restreindre l’accès à certains modèles par workspace. Exemple : o3-pro réservé aux équipes de data science, GPT-5.3 pour tout le monde.

Accès aux GPTs internes — Un GPT créé dans un workspace n’est visible que par ses membres. Mais vous pouvez aussi publier un GPT à l’échelle de l’organisation entière.

Accès aux documents — Via les intégrations Drive/SharePoint, ChatGPT respecte les permissions existantes. Un collaborateur ne peut pas accéder à un document via ChatGPT s’il n’y a pas accès dans Drive.

Accès aux Shared Projects — Les projets partagés sont visibles uniquement par leurs membres. Les conversations au sein d’un projet sont accessibles à tous les membres du projet.

3. Audit et traçabilité

Enterprise fournit des logs d’activité détaillés :

  • Qui a utilisé quel modèle, quand, et combien de fois
  • Quels documents ont été consultés via les intégrations
  • Quels GPTs internes sont utilisés et par qui
  • Les conversations peuvent être exportées pour audit (sous contrôle admin)

Ces logs sont exportables en CSV et intégrables dans votre SIEM (Security Information and Event Management) via l’API d’administration.

Mettre en place une politique de gouvernance

Le document de référence

Créez un document de gouvernance IA qui couvre :

  1. Périmètre — quels outils IA sont autorisés dans l’organisation (ChatGPT Enterprise, et quoi d’autre ?)
  2. Classification — quelles données peuvent être utilisées dans chaque outil
  3. Responsabilités — qui est responsable de quoi (DSI, DPO, managers, utilisateurs)
  4. Incidents — que faire si un collaborateur a saisi des données restreintes dans ChatGPT
  5. Revue — à quelle fréquence la politique est réexaminée (minimum : trimestrielle)

Les rôles clés

  • Le DPO valide la conformité RGPD du déploiement
  • La DSI gère l’infrastructure (SSO, SCIM, intégrations)
  • Les managers de workspace supervisent l’utilisation au quotidien dans leur périmètre
  • Les champions IA (voir leçon 9) relaient les bonnes pratiques dans chaque équipe

Le processus de validation des GPTs

Chaque GPT interne devrait passer par un processus de validation avant d’être publié à l’organisation :

  1. Le créateur documente l’objectif, les instructions et les données de référence du GPT
  2. Le manager de workspace vérifie que le GPT respecte la politique de gouvernance
  3. La DSI valide si le GPT accède à des sources de données sensibles
  4. Publication avec un propriétaire identifié, responsable de la maintenance

Contrôle d’accès en pratique

Scénario : une entreprise de 500 personnes

  • Workspace Direction : 15 membres, accès GPT-5.4 et o3-pro, mémoire désactivée, pas d’intégration Drive (trop sensible)
  • Workspace Marketing : 40 membres, tous les modèles, Drive connecté au drive partagé Marketing
  • Workspace Tech : 80 membres, tous les modèles, SharePoint connecté
  • Workspace RH : 20 membres, GPT-5.3 uniquement, Drive connecté au drive RH (accès restreint)
  • Workspace Finance : 30 membres, GPT-5.3 et GPT-5.4, pas d’intégration Drive (données confidentielles)

Ce découpage garantit que chaque équipe a les outils dont elle a besoin sans accéder aux données des autres.

Le principe fondamental

La gouvernance IA ne ralentit pas l’adoption — elle la sécurise. Une organisation qui déploie ChatGPT sans gouvernance finira par avoir un incident. Une organisation qui gouverne dès le départ peut accélérer en confiance.

Lecon precedenteConnecter Google Drive et SharePointLecon suivantePolitiques d'usage et guidelines internes