Le réflexe qui trompe tout le monde sur ChatGPT

Quand une directrice me parle de sécuriser ChatGPT, la conversation commence presque toujours par les mêmes mots. "Il faudrait qu'on encadre ça." Sous-entendu, il faudrait des règles, une charte, peut-être un outil payant. Et c'est exactement là que ça déraille. Parce que rédiger des règles d'usage pour ChatGPT sans connaître le terrain sur lequel elles vont s'appliquer, c'est écrire un règlement de copropriété pour un immeuble dont tu n'as jamais visité les appartements.

La question n'est pas "comment sécuriser ChatGPT". La question, c'est "est-ce que ton entreprise a la maturité pour que des règles de sécurité IA aient un sens". Et dans beaucoup de cas, la réponse honnête est non. Pas parce que l'équipe est incompétente. Pas parce que la direction s'en fiche. Mais parce qu'il manque des étapes intermédiaires que personne ne mentionne dans les guides "5 règles d'or pour sécuriser ChatGPT". Ces guides partent du principe que tu sais déjà quelles données sont sensibles, que tes collaborateurs comprennent la différence entre un prompt anodin et une fuite potentielle, et que tu as un minimum de gouvernance sur tes flux d'information. Or, dans une entreprise de 15 à 50 personnes en Suisse romande, ces prérequis sont rarement réunis.

Trois signes que ta boîte n'est pas prête à encadrer l'IA

Premier signe. Tu ne sais pas qui utilise déjà ChatGPT dans l'équipe, ni pour quoi. Si tu n'as jamais posé la question ouvertement, tu n'as aucune visibilité. Et sans visibilité, toute politique que tu rédiges sera déconnectée de la réalité. Certains collaborateurs copient-collent des emails clients dans ChatGPT pour rédiger des réponses plus vite. D'autres y envoient des briefs internes, des chiffres, parfois des noms. Ils ne font pas ça par malveillance. Ils le font parce que personne ne leur a dit ce qui posait problème, et surtout pourquoi.

Deuxième signe. Tu n'as pas de cartographie de tes données sensibles. Pas besoin d'un document de 40 pages. Mais si tu ne peux pas répondre en deux minutes à la question "quelles informations, si elles fuitaient, mettraient l'entreprise en difficulté", alors tu n'as pas la base. La LPD, entrée en vigueur le 1er septembre 2023 selon le Préposé fédéral à la protection des données (PFPDT), impose une responsabilité claire sur le traitement des données personnelles. Difficile d'appliquer cette responsabilité si tu ne sais pas où ces données se trouvent.

Troisième signe. L'IA est un sujet tabou ou un sujet de blague dans l'équipe. Si tes collaborateurs n'osent pas dire qu'ils utilisent ChatGPT, ou si le sujet est traité à la légère en réunion, il y a un problème de culture avant d'avoir un problème de sécurité. Aucune charte ne résiste à une culture qui la contourne. J'ai détaillé les bases d'une charte IA adaptée aux petites structures dans un autre article, mais la charte vient après, pas avant.

Les vrais prérequis avant de parler sécurité ChatGPT

Voici ce qui devrait être fait avant de rédiger la moindre règle d'usage. D'abord, un état des lieux honnête. Pas un audit formel à 20'000 francs. Un tour de table, département par département, pour comprendre qui utilise quoi, comment, et avec quelles données. Ça prend une demi-journée, pas un trimestre. Si tu veux structurer cette démarche, un bilan IA rapide peut t'aider à poser les bonnes questions sans te perdre dans la technique.

Ensuite, une classification simple de tes données. Trois catégories suffisent. Ce qui peut sortir librement. Ce qui peut sortir sous conditions. Ce qui ne sort jamais. Fais l'exercice avec ton équipe, pas seule dans ton bureau. Quand les gens participent à définir les limites, ils les respectent mieux. C'est du bon sens, mais c'est aussi ce que le NCSC recommande dans ses publications sur la sensibilisation comme première ligne de défense.

Enfin, une conversation ouverte sur l'IA. Pas un PowerPoint corporate. Une vraie discussion où tu poses la question "qu'est-ce que vous faites avec ChatGPT et qu'est-ce qui vous met mal à l'aise". Ce moment-là vaut plus que n'importe quelle politique écrite. Il crée un espace où la sécurité devient un sujet partagé, pas une contrainte imposée d'en haut. Et c'est seulement après ces trois étapes que tu peux commencer à formaliser des règles qui tiendront.

Clé USB et documents papier sur un bureau moderne, représentant les données sensibles qui circulent dans les outils d'entreprise.

Le minimum viable qui protège sans paralyser l'équipe

Une fois que tu as la visibilité et la classification, le minimum de sécurité pour ChatGPT tient en quelques décisions. Pas en un document de 15 pages.

  • Interdire l'envoi de données personnelles de clients dans la version gratuite ou Plus de ChatGPT. OpenAI peut utiliser ces données pour entraîner ses modèles, sauf opt-out explicite.
  • Activer le paramètre de désactivation de l'entraînement dans les comptes individuels, ou passer à ChatGPT Enterprise/Team où cette protection est native.
  • Définir une liste courte de cas d'usage autorisés. Reformulation de textes génériques, brainstorming, synthèse de contenus publics.
  • Définir une liste encore plus courte de ce qui est interdit. Noms de clients, montants de contrats, données RH, informations médicales.
  • Nommer une personne référente dans l'équipe. Pas un "responsable IA", juste quelqu'un à qui on peut poser une question sans se sentir jugé.

Fais le calcul toi-même. Si ton entreprise traite 200 emails clients par semaine et que 10% sont reformulés via ChatGPT, ça fait 20 interactions hebdomadaires potentiellement risquées. Sur un an, plus de 1'000 occasions de fuite. Le coût d'une demi-journée pour poser un cadre clair face à ce risque, c'est un ratio que n'importe qui peut évaluer. Pour aller plus loin sur la question de l'hébergement et la confidentialité des données IA, j'ai écrit un article dédié qui complète bien ce sujet.

Pourquoi la maturité compte plus que la technique

Ma position, et elle va peut-être froisser ceux qui vendent des solutions de sécurité IA clé en main. La majorité des entreprises de 15 à 50 personnes n'ont pas un problème technique avec ChatGPT. Elles ont un problème de maturité organisationnelle. Acheter un abonnement Enterprise, installer un proxy IA ou déployer une solution DLP ne sert à rien si l'équipe ne comprend pas pourquoi certaines données ne doivent pas quitter l'entreprise. La technique sans la culture, c'est un cadenas sur une porte ouverte.

Ce que j'observe régulièrement, c'est que les entreprises qui gèrent le mieux l'arrivée de ChatGPT ne sont pas celles qui ont le plus de budget sécurité. Ce sont celles où la direction a pris le temps de créer un espace de dialogue avant de créer des règles. Où la question "est-ce que je peux utiliser ChatGPT pour ça" n'est pas perçue comme un aveu de faiblesse mais comme un réflexe sain. Ça demande du temps, de l'écoute, et une forme d'humilité de la part de la direction. C'est moins vendeur qu'un outil à 500 francs par mois. Mais c'est ce qui fonctionne. Si tu veux vérifier que tes prestataires IA actuels respectent aussi ces standards, l'article sur l'audit de conformité des prestataires IA face à la LPD peut t'éclairer sur les bonnes questions à poser.