Tu tapes un prompt, tu obtiens une réponse. Mais qu'est-ce que l'IA fait de ce que tu lui as écrit ? Et si tu avais glissé sans le savoir le nom d'un client, un chiffre d'affaires, une stratégie confidentielle ? Je me suis posé cette question sérieusement. Voici ce que j'ai trouvé sur ChatGPT, Claude, Gemini, Midjourney et Mistral — et surtout, ce que tu peux faire pour garder le contrôle.
Selon une étude européenne de 2024, 63 % des données saisies dans ChatGPT contiennent des informations personnelles identifiables. Noms, adresses e-mail, coordonnées de clients, données financières. Des informations qui arrivent dans un prompt parce que c'est plus rapide de copier-coller un e-mail entier que d'en extraire l'essentiel.
Je ne juge pas. Je fais pareil. Mais j'ai voulu comprendre exactement ce qui se passe ensuite.
La réalité, c'est que seulement 22 % des utilisateurs de ChatGPT connaissent les paramètres de confidentialité de l'outil — toujours selon la même source. Et 67 % des entreprises françaises utilisent ChatGPT sans avoir réalisé d'Analyse d'Impact sur la Protection des Données (AIPD), d'après les données disponibles pour 2026. Ce n'est pas un reproche : ces paramètres ne sont pas mis en avant. Il faut aller les chercher.
Cet article ne te demande pas de renoncer aux IA. Il te donne les informations pour les utiliser en sachant ce que tu fais.
Commençons par les faits, outil par outil.
ChatGPT (OpenAI)
Par défaut, les conversations sur les versions gratuites ou Plus de ChatGPT ne sont pas strictement privées. OpenAI collecte ces données pour entraîner ses modèles. [F8] C'est écrit dans leur politique de confidentialité, mais il faut savoir où regarder. La bonne nouvelle : tu peux désactiver cette collecte dans les paramètres de ton compte, ou opter pour les versions professionnelles (Business, Enterprise) qui offrent des garanties différentes.
À la date de cet article, GPT-5.5 est le modèle par défaut pour les abonnés Plus, Pro, Business et Enterprise depuis le 23 avril 2026. GPT-5.6 Sol, un modèle de raisonnement pour les travaux complexes, a été déployé le 9 juillet 2026 pour certains forfaits payants éligibles. Ces évolutions rapides rappellent que les conditions d'utilisation, elles aussi, peuvent changer vite.
Claude (Anthropic)
C'est le point qui m'a le plus surpris. La politique de confidentialité de Claude a été mise à jour le 8 juin 2026, avec une entrée en vigueur le 8 juillet 2026. Elle permet désormais le partage proactif de données de conversation avec les forces de l'ordre — sans ordonnance judiciaire — pour les abonnés Free, Pro et Max.
Ce n'est pas une rumeur. C'est dans leur documentation officielle. Si tu utilises Claude pour rédiger des contrats, analyser des situations sensibles ou traiter des données clients, c'est une information qui change la donne. Claude Opus 4.8, annoncé le 28 mai 2026, est le modèle frontière actuel d'Anthropic — mais la puissance du modèle ne change rien à ces conditions d'utilisation.
Gemini (Google)
Google collecte des données via Gemini, comme pour ses autres services. Les variantes Flash (usage gratuit) et Pro (offres payantes) de Gemini 3.5 sont disponibles à la date de cet article. Les conditions de Gemini s'inscrivent dans l'écosystème plus large de Google, ce qui signifie que tes interactions peuvent nourrir l'amélioration des modèles selon les paramètres de ton compte Google.
Midjourney
Midjourney utilise explicitement les prompts et images téléchargées par les utilisateurs pour entraîner et affiner ses modèles. Et il n'existe pas d'option standard de désinscription pour les comptes grand public. Si tu génères des visuels pour des clients avec des briefs détaillés, ces briefs alimentent le modèle. Midjourney V8.1 alpha, déployée le 16 avril 2026, a apporté des évolutions esthétiques — mais rien n'a changé sur ce point précis.
Mistral AI
La politique de confidentialité de Mistral AI, effective au 7 avril 2026, indique la collecte de données fournies par l'utilisateur, générées lors de l'utilisation, disponibles publiquement et provenant de tiers — pour l'entraînement des modèles. Mistral Small 4, lancé le 16 mars 2026 sous licence Apache 2.0, est l'un de leurs modèles disponibles. L'avantage de Mistral : des modèles open source que tu peux héberger toi-même, ce qui change complètement l'équation en matière de données.
Copier-coller un document entier dans un prompt parce que c'est plus rapide. J'ai pris cette habitude, et je l'ai corrigée. Avant d'envoyer quoi que ce soit à une IA, je me demande : est-ce que ce texte contient un nom, une adresse, un chiffre que je ne voudrais pas voir circuler ? Si oui, je l'anonymise d'abord. Ça prend 30 secondes. Ça évite beaucoup de problèmes.
Savoir ce qui se passe, c'est déjà beaucoup. Mais voici ce que tu peux faire concrètement.
Désactiver l'entraînement sur tes données (ChatGPT)
Dans ChatGPT, va dans Paramètres > Contrôles des données et désactive l'option "Améliorer le modèle pour tout le monde". Tes conversations ne seront plus utilisées pour l'entraînement. Cette option existe depuis un moment, mais elle n'est pas activée par défaut.
Choisir la bonne version selon l'usage
Les versions Business et Enterprise de ChatGPT offrent des garanties contractuelles différentes des versions gratuites ou Plus. Si tu travailles avec des données clients, c'est la distinction qui compte — pas la puissance du modèle. Même logique chez d'autres fournisseurs : les offres professionnelles incluent généralement des clauses de traitement des données plus strictes.
Anonymiser avant de soumettre
C'est la méthode la plus simple et la plus universelle. Remplace les noms propres par des initiales ou des codes, les montants sensibles par des ordres de grandeur, les adresses par des villes génériques. Apprendre à rédiger un bon prompt t'aide aussi à transmettre l'essentiel sans exposer l'inutile.
Utiliser des modèles en local ou en auto-hébergement
Mistral Small 4 est disponible sous licence Apache 2.0. Cela signifie que tu peux l'installer sur une infrastructure que tu contrôles. Les données ne quittent pas ton environnement. C'est une option plus technique, mais elle existe — et des solutions no-code commencent à faciliter ce déploiement.
Exercer tes droits
Le RGPD te donne des droits sur tes données : accès, rectification, effacement, opposition. OpenAI, Anthropic et Google ont des formulaires dédiés pour exercer ces droits. Ils sont parfois difficiles à trouver, mais ils existent. Une recherche "[nom de l'outil] + data deletion request" te mènera au bon endroit.
Deux textes encadrent la situation, et ils te concernent directement si tu es entrepreneur.
Le RGPD
Le Règlement Général sur la Protection des Données s'applique à tout système d'IA traitant des données personnelles. Il impose des obligations précises : base légale pour le traitement, minimisation des données collectées, information des personnes concernées, respect de leurs droits. Si tu utilises une IA pour traiter des données de tes clients, tu es responsable de ce traitement — pas seulement le fournisseur de l'IA.
C'est là que le chiffre de 67 % d'entreprises françaises sans AIPD devient concret. Une Analyse d'Impact sur la Protection des Données n'est pas une formalité réservée aux grandes entreprises. Elle est obligatoire dès que le traitement présente un risque élevé pour les droits des personnes.
L'AI Act
L'AI Act européen est entré en vigueur le 1er août 2024. À partir du 2 août 2026, il sera pleinement applicable aux systèmes d'IA à haut risque. Il impose des règles sur la gouvernance des risques, la documentation, le contrôle humain, la qualité, la robustesse et la cybersécurité. J'ai consacré un article entier à ce que l'AI Act change pour ton business — je t'y renvoie si tu veux aller plus loin sur ce point.
Ce qu'il faut retenir ici : l'AI Act et le RGPD ne s'annulent pas mutuellement. Ils se cumulent. Utiliser une IA ne te dispense pas de tes obligations existantes en matière de protection des données.
Le RGPD existait avant les IA génératives. Il s'applique à elles comme à n'importe quel outil qui traite des données personnelles. La nouveauté, c'est que les IA rendent le traitement de données tellement fluide qu'on oublie qu'on en fait. Un prompt bien rédigé peut contenir plus d'informations personnelles qu'un formulaire entier. C'est ça, le vrai changement.
Voici les points que je vérifie régulièrement pour mes propres usages et ceux de mes clients.
Avant d'utiliser une IA avec des données
Pour ton organisation
Sur les outils spécifiques
La question des deepfakes et du contenu généré par l'IA pose d'ailleurs des questions similaires sur la traçabilité des données sources — c'est un sujet connexe qui mérite attention.
Non. Par défaut, les conversations sur les versions gratuites ou Plus de ChatGPT peuvent être utilisées par OpenAI pour entraîner ses modèles. Tu peux désactiver cette option dans Paramètres > Contrôles des données. Les versions Business et Enterprise offrent des conditions différentes avec des garanties contractuelles plus strictes.
Plusieurs leviers existent : désactiver l'option d'entraînement dans les paramètres (quand elle est disponible), passer à une offre professionnelle avec clause de non-utilisation, anonymiser tes données avant de les soumettre, ou utiliser un modèle hébergé localement comme Mistral Small 4 sous licence Apache 2.0.
Les versions gratuites offrent généralement moins de garanties. Les offres professionnelles (Business, Enterprise chez OpenAI, par exemple) incluent des clauses contractuelles sur le traitement des données, souvent sans utilisation pour l'entraînement des modèles. Le prix n'est pas le seul critère : lis les conditions spécifiques à chaque niveau d'abonnement.
Non, pas automatiquement. L'AI Act, pleinement applicable aux systèmes d'IA à haut risque à partir du 2 août 2026, encadre la gouvernance, la documentation et le contrôle humain des systèmes d'IA. Il se cumule avec le RGPD mais ne le remplace pas. Tes obligations en matière de protection des données personnelles restent entières.
Avec précaution. Le RGPD impose une base légale pour tout traitement de données personnelles, y compris via une IA. Si ces données sont sensibles (santé, opinions politiques, etc.), les exigences sont encore plus strictes. Anonymise ce qui peut l'être, utilise des offres professionnelles avec garanties contractuelles, et documente ta démarche.
Tu restes responsable du traitement. L'IA est un outil : c'est toi qui décides quelles données y entrent. Si tu génères du contenu incluant des informations personnelles sur des tiers, les règles du RGPD s'appliquent — consentement, base légale, information des personnes concernées. Ce n'est pas parce qu'une IA a "produit" le contenu que ta responsabilité disparaît.
Je fais tout ça d'abord pour moi. J'utilise ces outils tous les jours, et j'ai longtemps été dans le camp des 22 % qui ne connaissent pas les paramètres de confidentialité. Ce n'est pas une question de paranoïa : c'est une question de cohérence. Je ne laisserais pas traîner les coordonnées d'un client sur un post-it dans un café. Je n'ai pas de raison de les coller dans un prompt sans réfléchir.
Les IA génératives sont des outils puissants. Leur utilité ne dépend pas de la quantité de données personnelles qu'on leur confie. Avec de bonnes habitudes — anonymisation, bons paramètres, bon choix de version — on peut profiter de tout ce qu'elles offrent sans exposer ce qui ne devrait pas l'être.

Je teste l'IA pour de vrai et je partage ce qui marche, sans jargon ni hype. Si cet article t'a servi, le plus simple pour ne rien rater c'est ma lettre du vendredi. Et si tu as une question ou un doute : réponds-moi, je lis tout.