Au 21 mai 2026, l’opt-out IA ne vaut que s’il devient preuve, clause et rapport de force dans l’entreprise.
Une entreprise ne perd pas seulement des données lorsqu’elle laisse ses équipes utiliser des IA génératives sans cadre. Elle peut perdre une marge, un secret, une position de négociation, une preuve, une valorisation ou une liberté de changer de fournisseur.
Le guide de la CNIL sur l’opposition à la réutilisation des données personnelles pour l’entraînement des agents conversationnels donne un levier utile, mais ce levier reste faible s’il demeure individuel, tardif et non documenté. Pour un dirigeant, le sujet n’est pas de cocher une case de confidentialité : c’est de décider quelles informations ne doivent jamais devenir une matière première d’entraînement, d’amélioration ou de dépendance.
La question opérationnelle est donc simple : « Si je laisse faire, qu’est-ce que je perds réellement ? » Cette question oblige à traiter l’IA non comme un outil neutre, mais comme un objet de pouvoir, de gouvernance et de négociation.
I. Ce que le dirigeant sous-estime
1. Point de friction réel
Le guide de la CNIL rappelle que les données personnelles utilisées pour entraîner ou améliorer un agent conversationnel restent soumises au RGPD. Une donnée ne devient pas libre parce qu’elle est saisie dans un prompt, copiée dans une conversation, transmise via un fichier, publiée sur une page professionnelle ou extraite d’un contenu accessible en ligne.
Nom d’un client, adresse professionnelle nominative, identité d’un salarié, voix, photographie, CV, compte rendu d’entretien, demande de support, clause annotée, échange de négociation : dès qu’une personne physique est identifiable directement ou indirectement, les droits des personnes s’appliquent.
Mais le dirigeant sous-estime souvent que, dans l’entreprise, une donnée personnelle n’est presque jamais seulement une donnée personnelle. Elle peut aussi porter une marge, une dépendance commerciale, une stratégie RH, une tension d’associés, une faiblesse contractuelle, une cible d’acquisition, une invention non protégée ou un élément de valorisation.
C’est ici que le raisonnement juridique devient stratégique. Une demande d’opposition peut être fondée, mais elle intervient souvent après l’exposition ; or lorsqu’un directeur commercial saisit dans une IA le nom d’un client fragile, le montant d’une remise envisagée et les concessions possibles, il ne communique pas seulement des données identifiantes : il révèle un rapport de force.
Lorsque la direction RH téléverse un compte rendu d’entretien mentionnant un arrêt de travail, une inaptitude, un handicap ou un aménagement de poste, elle expose potentiellement des données sensibles au sens du règlement européen. Lorsque le fondateur améliore un pitch investisseur contenant une technologie non déposée, il fragilise un actif immatériel.
Option 1 — Utiliser l’IA uniquement avec des données vertes. L’entreprise autorise les outils grand public pour les contenus déjà publics, les formulations génériques, les plans, les idées non confidentielles et les documents sans personne identifiable.
Option 2 — Utiliser l’IA avec caviardage contrôlé. L’entreprise retire les noms, fonctions rares, montants, dates, lieux, références clients, clauses confidentielles, identifiants et contextes permettant une réidentification.
Option 3 — Ne pas utiliser l’IA. L’option « ne pas utiliser » est pertinente pour les données rouges : RH, santé, contentieux, négociation en cours, secret des affaires, invention non protégée, fichier client, prix de réserve, contrat non signé, médiation ou audit d’acquisition.
2. Asymétrie de pouvoir
Le guide CNIL montre que l’utilisateur peut agir : paramétrer un compte, exercer un droit d’opposition, demander l’effacement ou la limitation, contacter le fournisseur, puis saisir la CNIL si la réponse est insuffisante. Cette capacité juridique est réelle, mais elle ne supprime pas l’asymétrie structurelle.
Le fournisseur connaît son architecture, ses journaux, ses sous-traitants, ses durées de conservation, ses mécanismes de sécurité, ses exceptions, ses processus de suppression et ses éventuels usages d’amélioration. L’entreprise utilisatrice voit souvent une interface, un bouton, une phrase rassurante et des conditions générales qui évoluent.
Elle pense « historique désactivé » ; le fournisseur peut raisonner « conservation technique ». Elle pense « suppression » ; le fournisseur peut répondre « retrait de l’interface ». Elle pense « confidentialité » ; les conditions peuvent viser seulement la sécurité, la non-vente ou le contrôle des paramètres.
Les formules rassurantes ne suffisent pas : « vous restez propriétaire », « vous pouvez gérer vos paramètres », « nous utilisons vos données pour fournir et améliorer le service », « nous ne vendons pas vos données ». Ces phrases ne répondent pas seules aux questions décisives.
Les contenus peuvent-ils être utilisés pour entraîner ou améliorer un modèle ? Pendant combien de temps sont-ils conservés ? Sont-ils examinés humainement ? Sont-ils transmis à des sous-traitants ? Les données dérivées sont-elles supprimées ? Les garanties s’appliquent-elles au compte personnel, à l’API, à l’offre entreprise ou à une intégration tierce ?
La CNIL donne un levier de droit. L’entrepreneur doit le transformer en rapport de force contractuel : absence d’entraînement sur les données professionnelles, durée de conservation, revue humaine, sous-traitants, localisation, suppression, auditabilité, notification d’incident, responsabilité.
Option 1 — Exiger une preuve écrite avant tout usage sensible. L’entreprise n’autorise des données orange ou rouges que si l’offre applicable prévoit clairement la confidentialité, l’absence d’entraînement, les durées de conservation et les mécanismes de suppression.
Option 2 — Séparer strictement les canaux. Compte personnel pour données vertes uniquement ; offre professionnelle ou environnement administré pour données internes non critiques ; interdiction de tout outil non contractuel pour les données rouges.
Option 3 — Ne pas utiliser l’outil si le fournisseur reste opaque. Si l’entreprise ne peut pas déterminer ce qui est conservé, réutilisé, transmis, revu humainement ou supprimé, elle doit refuser l’usage pour les données stratégiques.
3. Arbitrage destructeur
L’arbitrage destructeur le plus fréquent est discret. Le dirigeant autorise l’IA « pour gagner du temps » sans décider quelles données ne doivent jamais entrer dans l’outil.
L’usage commence par une reformulation anodine, puis glisse vers un contrat, un mail client, un litige, un tableau RH, un pitch investisseur, une stratégie de rupture ou une note de négociation. La pente est connue : le gain immédiat est visible, le coût différé est invisible.
Le guide CNIL permet d’exercer une opposition auprès du responsable concerné, souvent via les paramètres du compte ou les formulaires dédiés. Mais cette mécanique intervient souvent après l’exposition. Pour un dirigeant, le meilleur droit est parfois celui qu’il n’a pas besoin d’exercer, parce que la donnée n’est jamais sortie.
La MESORE — meilleure solution de repli — doit exister avant le besoin opérationnel. Si le prestataire IA refuse la non-réutilisation, si l’offre professionnelle reste floue, si les paramètres ne sont pas vérifiables, l’entreprise doit pouvoir basculer vers un autre outil, un modèle local, un traitement manuel, une anonymisation renforcée ou un prestataire sous NDA.
Sans MESORE, l’entreprise accepte les conditions parce qu’elle a déjà construit sa dépendance. La négociation raisonnée commence donc avant le choix de l’outil : intérêts réels, critères objectifs, alternatives crédibles, seuils de refus.
Option 1 — Autoriser avec gouvernance courte. Une charte IA de deux pages peut suffire : données vertes autorisées, données orange sous conditions, données rouges interdites, outils approuvés, procédure d’exception, réaction en cas d’erreur.
Option 2 — Autoriser avec validation préalable pour les données orange. Un responsable interne valide les usages portant sur contrats anonymisés, documents internes, supports de formation, analyses clients non nominatives ou données commerciales partielles.
Option 3 — Ne pas autoriser tant que les usages réels ne sont pas cartographiés. Si personne ne sait quels outils sont utilisés, par qui, avec quels comptes et quels documents, l’autorisation générale est une faute de gouvernance.
II. Ce que le dirigeant confond
1. Point de friction réel
Le guide CNIL impose une distinction que beaucoup d’entreprises ne font pas : s’opposer à la réutilisation de ses données personnelles pour l’entraînement n’est pas la même chose que supprimer une conversation, désactiver l’historique, fermer un compte, retirer un contenu d’un site ou demander l’effacement RGPD.
Supprimer une conversation agit souvent sur l’interface visible. Désactiver un paramètre peut limiter certains usages futurs. Exercer un droit d’opposition vise une finalité de traitement. Demander l’effacement vise certaines données personnelles. Demander la limitation gèle certains usages contestés. Demander l’accès permet de savoir quelles données sont détenues.
Pour un entrepreneur, cette confusion est coûteuse. Il peut croire avoir « réglé le problème » parce qu’un historique a disparu de son écran, alors que des journaux techniques, sauvegardes, traces de sécurité, données déjà examinées, feedbacks ou contenus transmis à des sous-traitants subsistent selon les conditions applicables.
L’enjeu n’est pas de dramatiser ; il est de ne pas confondre confort d’interface et preuve juridique. La question reste : « Si je laisse faire, qu’est-ce que je perds réellement ? »
La réponse peut être : la capacité de prouver que l’entreprise a réagi correctement, la possibilité de rassurer un client, la solidité d’un secret des affaires, la crédibilité d’une politique RH ou la maîtrise d’un dossier contentieux.
Option 1 — Traiter le paramétrage comme une mesure minimale. Désactiver l’utilisation des conversations pour l’amélioration lorsque l’option existe, fermer l’historique ou supprimer les conversations sensibles : ces gestes sont utiles, mais insuffisants pour les données rouges déjà exposées.
Option 2 — Formuler une demande juridique complète. L’entreprise ou la personne concernée demande expressément opposition, effacement, limitation, accès, information sur les destinataires, durées de conservation, transferts et finalités.
Option 3 — Ne pas réparer par l’interface un incident stratégique. Si un fichier client, un dossier RH, un élément de santé, un document de négociation ou un contrat non signé a été envoyé, la suppression visible ne suffit pas.
2. Asymétrie de pouvoir
La confusion profite mécaniquement au fournisseur. L’utilisateur voit des boutons ; le fournisseur maîtrise les catégories juridiques et techniques.
L’utilisateur pense « effacement » ; le fournisseur peut répondre « suppression de l’historique ». L’utilisateur pense « entraînement » ; le fournisseur peut parler d’amélioration du service. L’utilisateur pense « confidentialité » ; les conditions peuvent parler sécurité, non-vente ou paramétrage.
Le guide CNIL a précisément l’intérêt de replacer le débat sur le terrain des droits : l’utilisateur peut s’opposer à certains traitements, et le responsable doit répondre. Mais dans l’entreprise, cette logique doit devenir contractuelle.
Un prestataire ne doit pas pouvoir se réfugier derrière les conditions générales d’un outil tiers s’il a traité vos données confidentielles sans autorisation. Il doit déclarer ses outils, ses paramètres, ses garanties, ses sous-traitants et ses mesures de suppression.
La négociation raisonnée permet de sortir du débat stérile « IA ou pas IA ». Le prestataire veut produire vite. Le client veut préserver la confidentialité. Le dirigeant veut réduire le coût. Le juriste veut une preuve. L’investisseur veut une société auditable.
Les critères objectifs sont : nature des données, secret des affaires, RGPD, contrat client, non-entraînement, conservation, sous-traitants, localisation, auditabilité. Si ces critères ne sont pas acceptés, la relation doit être reconfigurée.
Option 1 — Insérer une clause IA déclarative. Pour les petits prestataires : obligation d’indiquer si des outils d’IA sont utilisés, pour quelles tâches, avec quelles données, et interdiction des données confidentielles sans accord écrit.
Option 2 — Insérer une clause IA renforcée. Pour les prestataires ayant accès aux clients, RH, code, contrats, propriété intellectuelle ou données commerciales : non-entraînement, confidentialité, sous-traitants, localisation si pertinente, suppression, notification, contrôle proportionné.
Option 3 — Ne pas confier les données au prestataire opaque. Si un prestataire refuse de dire quels outils il utilise ou refuse toute garantie, l’entreprise doit retirer le lot sensible, changer de prestataire ou traiter en interne.
3. Arbitrage destructeur
L’arbitrage destructeur consiste à choisir l’outil le plus pratique en se disant que les droits RGPD pourront être exercés ensuite. C’est juridiquement faible et stratégiquement naïf.
Certains droits peuvent se heurter à des exceptions ; certaines données peuvent avoir déjà été traitées ; certaines demandes peuvent être difficiles à relier à un contenu précis ; certains fournisseurs peuvent répondre partiellement ; certaines preuves peuvent manquer.
Le guide CNIL invite à agir auprès des services concernés et à saisir l’autorité en cas de difficulté. Mais la capacité de recours ne remplace pas une politique d’exposition.
Une entreprise qui a mis des données clients dans un outil grand public ne se trouve pas dans la même position qu’une entreprise qui a interdit cet usage, formé ses équipes, conservé une trace de ses décisions et archivé les garanties applicables.
Les modes amiables peuvent aussi devenir des outils de maîtrise du risque. Lorsque le désaccord porte sur des données déjà exposées, un prestataire opaque, un client inquiet, un associé qui reproche l’usage d’une IA ou un salarié sanctionné, la médiation, le processus collaboratif, la conciliation ou l’audience de règlement amiable permettent de travailler sous confidentialité.
Option 1 — Corriger par protocole interne. Si l’incident est limité : qualification, demande de suppression, note interne, rappel de règle, formation ciblée, restriction du compte.
Option 2 — Corriger par accord confidentiel. Si la relation compte encore : médiation ou processus collaboratif pour fixer les faits, supprimer les données, modifier les clauses, répartir les coûts, préserver la relation.
Option 3 — Ne pas poursuivre la relation. Si l’autre partie nie, dissimule ou refuse toute mesure vérifiable, la MESORE devient contentieuse : mise en demeure, suspension, résiliation, référé, notification CNIL si nécessaire, action indemnitaire.
III. Ce que le dirigeant accepte sans en mesurer le coût
1. Point de friction réel
Le guide CNIL traite principalement la réutilisation des données personnelles pour l’entraînement des agents conversationnels. Mais sa portée pratique dépasse le seul compte utilisateur.
Les données peuvent venir de prompts, de fichiers téléversés, de conversations, de feedbacks, de publications publiques, de pages professionnelles, de contenus aspirés en ligne, de connecteurs ou de services intégrés.
Un dirigeant peut s’opposer dans un outil tout en laissant son site, ses supports, ses publications sociales ou ses prestataires alimenter d’autres circuits. Il peut paramétrer ChatGPT, mais laisser ses modèles contractuels en accès libre.
Il peut interdire l’usage interne de données clients, mais permettre à un prestataire marketing de traiter des bases nominatives dans un outil non déclaré. Il peut ajouter une mention d’interdiction d’apprentissage par IA dans ses mentions légales, mais ne pas configurer les exclusions techniques élémentaires.
La cohérence probatoire compte. Une entreprise qui interdit contractuellement l’entraînement par IA dans ses mentions légales doit aussi vérifier que son équipe technique a configuré les exclusions pertinentes dans le fichier robots.txt, même si cette mesure ne bloque que les robots qui respectent ces instructions.
Le fichier robots.txt n’est pas une barrière absolue ; il renforce cependant la cohérence entre position juridique, exécution technique et capacité de réclamation.
La lecture comparée des conditions générales devient alors indispensable. OpenAI / ChatGPT, Google Gemini, Microsoft Copilot, Anthropic Claude, Mistral, Perplexity, Meta AI, xAI / Grok, DeepSeek ou Character.AI ne présentent pas le même risque selon le canal utilisé.
Compte gratuit, abonnement individuel, API, offre entreprise, réseau social, moteur de réponse, environnement bureautique, connecteur, plugin, intégration tierce : la marque ne suffit jamais. Le régime applicable décide.
Option 1 — Comparer les IA par régime contractuel, pas par réputation. Pour chaque outil : offre exacte, type de compte, données admises, entraînement, conservation, revue humaine, sous-traitants, localisation, suppression, responsabilité, modification des conditions.
Option 2 — Créer une matrice vert/orange/rouge par fournisseur. Données vertes : usage possible. Données orange : caviardage ou offre professionnelle. Données rouges : interdiction sauf garantie négociée.
Option 3 — Ne pas intégrer un outil dans un processus critique sans plan de sortie. Si l’entreprise ne peut pas migrer, exporter, substituer ou internaliser l’usage, elle crée une dépendance fournisseur.
2. Asymétrie de pouvoir
L’asymétrie ne vient pas seulement du volume de données. Elle vient de la capacité du fournisseur à agréger, améliorer, modifier et imposer ses conditions à grande échelle.
Une PME négocie rarement les conditions générales d’un géant technologique. Mais elle peut négocier son propre périmètre : quelles données elle expose, quels prestataires elle autorise, quels comptes elle interdit, quelles clauses elle impose à ses sous-traitants, quels usages elle réserve à des offres professionnelles.
La CNIL donne au titulaire des données un levier juridique. Le dirigeant doit convertir ce levier en rapport de force économique.
Cela suppose d’avoir des alternatives : outil local, environnement enterprise, traitement humain, fournisseur européen ou non européen mais mieux contractualisé, anonymisation, lot exclu, délai assumé. Sans alternative, l’entreprise est condamnée à accepter les conditions.
Cette logique vaut aussi pour les réseaux sociaux et les IA intégrées. Meta AI et Grok / X ne doivent pas être traités comme des espaces neutres.
Les publications, commentaires, images, interactions et signaux sociaux sont des données de contexte. Perplexity révèle parfois moins par les documents téléversés que par les questions posées.
DeepSeek peut être performant, mais pour des données rouges, l’absence de garanties robustes et opposables doit conduire à l’exclusion. Character.AI est, sauf cas très particulier, incompatible avec les dossiers professionnels sensibles.
La question demeure : « Si je laisse faire, qu’est-ce que je perds réellement ? » Je peux perdre la confidentialité d’un actif, mais aussi la possibilité de prouver que j’ai agi en dirigeant prudent, informé et capable de reprendre la main.
Option 1 — Utiliser les outils sociaux uniquement pour contenu assumé public. Meta AI, Grok / X ou outils similaires peuvent servir à travailler un ton public ou une publication non sensible.
Option 2 — Utiliser les moteurs de réponse avec requêtes anonymisées. Perplexity ou outils de recherche augmentée peuvent être utiles pour la veille publique, mais les requêtes doivent retirer noms, montants, calendrier, contreparties et signaux de vulnérabilité.
Option 3 — Ne pas utiliser les outils à garanties insuffisantes pour données rouges. DeepSeek sans cadre contractuel robuste, Character.AI pour dossiers professionnels, ou tout outil opaque pour RH, propriété intellectuelle, contentieux et clients stratégiques doivent être exclus.
3. Arbitrage destructeur
L’arbitrage destructeur final consiste à traiter les conditions générales comme un sujet de conformité secondaire. Or elles gouvernent l’allocation du pouvoir informationnel.
Elles déterminent qui peut traiter, conserver, transférer, améliorer, supprimer, modifier, limiter sa responsabilité et imposer ses mises à jour. Une entreprise qui ne lit pas ces clauses ne fait pas seulement une erreur juridique ; elle accepte une dépendance non négociée.
Le guide CNIL rappelle que le droit d’opposition est un levier. Mais un levier utilisé seul et tardivement reste fragile.
La bonne stratégie combine droit, gouvernance, négociation et preuve : classification des données, clauses prestataires, paramètres des comptes, demandes d’opposition, archivage des réponses, formation des équipes, politique de site, configuration des exclusions techniques, audit des connecteurs, plan de sortie.
La mention légale doit donc être cohérente avec les pratiques. Interdire l’entraînement IA dans les mentions légales sans protéger les contenus à forte valeur, sans fichier robots.txt, sans accès réservé et sans surveillance des reprises crée une position juridiquement utile mais opérationnellement incomplète.
À l’inverse, une stratégie cumulée — clause, technique, preuve, sélection des contenus publiés — augmente le coût de la réutilisation non autorisée et renforce la position de négociation.
Option 1 — Gouvernance complète. Pour entreprises exposées : cartographie des usages IA, matrice fournisseurs, clauses contrats, charte interne, audit des droits d’accès, registre des incidents, procédure d’opposition et d’effacement, politique de site, configuration technique des exclusions.
Option 2 — Gouvernance minimale mais exécutable. Pour PME : interdiction des données rouges dans les IA grand public, liste d’outils autorisés, caviardage obligatoire pour données orange, modèle de clause prestataire, modèle de demande au fournisseur, vérification du fichier robots.txt.
Option 3 — Ne pas déployer l’IA dans les processus critiques avant arbitrage dirigeant. Pas d’IA dans RH, contentieux, négociation stratégique, propriété intellectuelle, fusion-acquisition, médiation, support client sensible ou données réglementées tant que les critères objectifs et la MESORE ne sont pas établis.
Le guide CNIL doit être utilisé comme un déclencheur de gouvernance : il ne suffit pas à protéger l’entreprise, mais il fournit les bons points d’appui pour reprendre la main.
Le dirigeant ne doit pas seulement demander l’opposition ; il doit organiser la non-exposition, la preuve et la réversibilité. Une IA utile est une IA dont l’usage reste choisi, limité, prouvé et négociable.
« La négociation est un sport de combat – Il faut savoir être dur avec les questions à traiter tout en préservant les relations. »
Une question ? Parlons-en, tout simplement.
Prise de rendez-vous via la page d’accueil ou par courriel :
<martin@lacour-avocat.fr> (conditions applicables)
FAQ — IA, données personnelles et rapport de force dirigeant
1. Mon directeur commercial utilise ChatGPT avec des noms de clients stratégiques : est-ce que le droit d’opposition CNIL suffit à protéger ma marge ?
Non, le droit d’opposition ne suffit pas à protéger votre marge si les données stratégiques ont déjà été exposées dans un compte non maîtrisé. Le nom du client peut être une donnée personnelle, mais le prompt révèle aussi une dépendance économique, un risque de perte de compte ou une stratégie de concession.
L’entreprise doit vérifier les paramètres du compte, demander suppression ou limitation si nécessaire, documenter l’incident et interdire les données rouges dans les outils grand public. L’option “ne pas utiliser” devient pertinente dès que le prompt contient un prix de réserve, une faiblesse commerciale ou une négociation en cours.
2. Mon associé a copié un pacte d’associés non signé dans une IA : est-ce que supprimer l’historique règle le risque de preuve ?
Non, supprimer l’historique ne règle pas à lui seul le risque de preuve attaché à un pacte d’associés non signé. La suppression visible peut réduire l’exposition dans l’interface, mais elle ne prouve pas l’effacement complet des traitements techniques.
Il faut identifier l’outil, le compte, la date, les clauses copiées, les données personnelles éventuelles, les engagements de confidentialité et les conditions applicables. Les options sont claires : demande formelle d’effacement, sécurisation des versions, ou interdiction future des IA externes pour les documents de gouvernance non signés.
3. Mon équipe RH veut utiliser Gemini pour reformuler des comptes rendus d’entretien : quel est le risque réel pour l’entreprise ?
Le risque réel est de transformer des données RH rouges, et parfois des données sensibles, en matériau traité hors d’un cadre maîtrisé. Un compte rendu d’entretien peut mentionner des arrêts de travail, une inaptitude, un handicap, un aménagement de poste ou des éléments relatifs à l’état de santé.
Ces informations relèvent des données sensibles au sens du règlement européen et ne doivent pas être soumises à une IA externe non strictement encadrée. Les options sont : cas fictifs, environnement professionnel avec garanties strictes, ou non-utilisation pour les comptes rendus réels, les situations d’inaptitude, les arrêts maladie, les alertes internes et les dossiers disciplinaires.
4. Mon prestataire marketing utilise Perplexity pour analyser nos concurrents et nos clients : comment éviter que nos intentions de marché deviennent visibles ?
Il faut anonymiser les requêtes et interdire les recherches qui révèlent vos cibles, vos échéances ou vos vulnérabilités commerciales. Perplexity peut être utile pour la veille publique, mais une requête peut révéler plus qu’un document.
Une recherche du type « attaquer tel marché avant septembre » expose déjà une stratégie. Les options sont : veille sectorielle générale, requêtes caviardées sans noms ni dates, ou non-usage pour conquête, prix, acquisition et rupture de relation commerciale.
5. Mon cabinet de conseil refuse de dire quelle IA il utilise sur nos livrables : est-ce un motif suffisant pour suspendre la mission ?
Oui, l’opacité sur les outils peut justifier la suspension du lot sensible si vos données confidentielles ou personnelles sont concernées. La négociation doit porter sur l’outil utilisé, les données traitées, le non-entraînement, la conservation, les sous-traitants, la localisation, la suppression et la responsabilité.
Les options sont : déclaration écrite, usage limité à des données caviardées, ou suspension du lot sensible si le prestataire refuse toute transparence. L’opacité transfère le risque vers vous.
6. Mon investisseur me demande si des données clients ont servi à entraîner une IA : quelle réponse défendable puis-je donner ?
Une réponse défendable suppose une cartographie datée des outils, comptes, données et garanties applicables. Dire “nous faisons attention” ne suffit pas dans une levée de fonds ou une due diligence.
Il faut montrer les outils autorisés, les données interdites, les paramètres, les clauses prestataires, les incidents connus et les mesures correctrices. Les options sont : matrice complète, note de gouvernance minimale, ou reconnaissance d’une zone d’incertitude avec interdiction immédiate des données rouges jusqu’à audit.
7. Mon site publie des articles juridiques et des supports de formation : l’opposition CNIL protège-t-elle contre l’aspiration par des IA ?
Non, l’opposition exercée dans un compte ne protège pas automatiquement les contenus publics de votre site contre l’aspiration par des robots d’IA. Votre site appelle une stratégie de publication et de protection technique.
Cette stratégie combine conditions d’utilisation, interdiction contractuelle d’entraînement, fichier robots.txt, accès réservé, watermarking, surveillance des logs et réaction rapide. Les options sont : contenus d’appel publics, supports à forte valeur derrière accès contrôlé, et configuration du fichier robots.txt contre les principaux agents de collecte.
8. Mon responsable produit a testé DeepSeek avec une feuille de route technique : faut-il traiter cela comme un incident critique ?
Oui, une feuille de route technique envoyée dans un outil à garanties insuffisantes doit être traitée comme un incident potentiellement critique. La donnée peut révéler innovation, calendrier, priorités, dépendance fournisseur ou stratégie de propriété intellectuelle.
Les options sont : qualification de l’incident, demande de suppression, revue de la politique PI, ou interdiction de DeepSeek et de tout outil non contractualisé pour les données techniques rouges. Le sujet n’est pas de juger l’outil en général, mais de mesurer ce que l’entreprise perd.
9. Mon équipe utilise Microsoft 365 Copilot : le risque vient-il encore de l’entraînement des modèles ?
Le risque principal peut venir des droits internes mal configurés autant que de l’entraînement des modèles. Dans Microsoft 365, Copilot peut révéler des documents déjà accessibles mais invisibles en pratique.
Les options sont : audit de SharePoint, Teams, OneDrive et groupes de sécurité ; déploiement pilote ; ou non-activation tant que RH, contentieux, direction et fusion-acquisition ne sont pas cloisonnés. Une garantie fournisseur ne compense pas une architecture documentaire trop ouverte.
10. Mon franchiseur veut imposer un outil IA commun au réseau : comment préserver mes données locales de clientèle ?
Il faut négocier le périmètre de données transmis, l’absence d’entraînement et la séparation entre réseau et exploitation locale. Le franchiseur peut rechercher cohérence, performance et mutualisation ; le franchisé doit protéger ses clients, marges et zones de chalandise.
Les options sont : données agrégées, anonymisation avec garanties, ou refus d’intégration des données clients identifiables sans clause dédiée. La négociation doit porter sur la donnée, pas seulement sur l’outil.
11. Mon salarié a demandé à Claude de rédiger une réponse à un client mécontent : faut-il sanctionner ou corriger la procédure ?
Il faut d’abord qualifier le contenu envoyé avant de choisir entre correction, formation ou sanction. Si le salarié n’a transmis aucun nom, contrat, donnée sensible ou stratégie, un rappel peut suffire.
Si le prompt révèle litige, faute alléguée, concession ou données personnelles, il faut documenter, demander suppression si possible et corriger la charte IA. La sanction n’est proportionnée que si la règle était connue, claire et violée.
12. Mon avocat adverse produit un mail montrant que notre stratégie a été préparée avec une IA : quel est le risque procédural ?
Le risque procédural est de voir votre sérieux, votre confidentialité ou votre maîtrise du dossier contestés. L’usage d’une IA n’est pas fautif en soi, mais il devient problématique si des données confidentielles, personnelles ou couvertes par le secret ont été exposées.
Les options sont : démontrer un usage méthodologique sans données sensibles, produire la politique interne, ou interdire l’IA externe pour les stratégies contentieuses. En contentieux, la question porte sur les données confiées, le cadre et les garanties.
13. Mon entreprise prépare une levée de fonds et l’équipe a utilisé des IA pour améliorer le pitch deck : que dois-je vérifier avant la data room ?
Il faut vérifier si le pitch contenait des informations non publiques sur la technologie, les clients, la traction, la marge ou la stratégie. Un pitch deck est un actif de négociation, pas un simple support de présentation.
Les options sont : usage acceptable si le contenu est public ou caviardé, demande de suppression si des données sensibles ont été saisies, ou interdiction future pour les versions investisseurs non publiques. En data room, l’enjeu est de prouver que l’entreprise protège ce qui fonde sa valeur.
14. Mon service client veut connecter une IA à l’historique des tickets : quel problème CNIL et commercial dois-je anticiper ?
Le problème est double : données personnelles des clients et exploitation d’un historique révélant vos défauts opérationnels. Les tickets contiennent identités, réclamations, comportements, incidents et parfois données sensibles.
Ils révèlent aussi les failles produit, les irritants commerciaux et les engagements non tenus. Les options sont : environnement contractuel robuste, entraînement sur données anonymisées et filtrées, ou non-connexion tant que les bases légales, durées et garanties ne sont pas établies.
15. Mon entreprise B2B veut utiliser Meta AI pour préparer des publications Instagram et Facebook : où se situe la ligne rouge ?
La ligne rouge est franchie dès que le prompt contient un client, une stratégie, un litige, une donnée RH ou un élément non assumé publiquement. Les outils sociaux appartiennent à un environnement de signaux publics, de profils et d’audiences.
Les options sont : style et calendrier éditorial, contenus déjà validés, ou non-usage pour annonces sensibles, crise, contentieux et clients nommés. Une page professionnelle n’est pas un coffre-fort.
16. Mon directeur technique utilise GitHub Copilot avec du code propriétaire : le guide CNIL est-il suffisant pour traiter le risque ?
Non, le guide CNIL ne suffit pas car le code propriétaire soulève aussi propriété intellectuelle, sécurité, licences et secret technique. Les données personnelles peuvent être marginales, mais l’actif critique est le code.
Les options sont : offre entreprise avec paramètres adaptés, exclusion de dépôts sensibles, ou non-usage pour modules propriétaires, sécurité, algorithmes différenciants et secrets techniques. Le risque est aussi une dilution de l’avantage technologique.
17. Mon directeur financier veut envoyer un tableau de marge à une IA pour obtenir une analyse : quel arbitrage dois-je poser ?
Un tableau de marge ne doit pas être envoyé dans une IA non maîtrisée car il révèle votre pouvoir de négociation. Même sans données personnelles, la marge est un secret économique.
Les options sont : jeu fictif, outil interne sécurisé, ou non-usage d’IA externe pour marges, prix de réserve, remises et scénarios de concession. L’IA peut analyser une structure ; elle ne doit pas recevoir le cœur du rapport de force.
18. Mon entreprise reçoit une demande d’opposition d’un client dont les données ont été saisies dans une IA : comment répondre sans aggraver le risque ?
Il faut répondre précisément, documenter les faits et ne pas promettre plus que ce qui peut être prouvé. Identifiez l’outil, le compte, les données, la date, les finalités, les demandes adressées au fournisseur et les mesures internes.
Les options sont : confirmer l’absence de données si elle est vérifiée, demander effacement ou limitation au fournisseur, ou notifier et réparer si un contrat ou un risque élevé l’exige. Une réponse vague augmente la défiance.
19. Mon contrat client interdit les sous-traitants non autorisés : une IA utilisée par mon prestataire entre-t-elle dans ce risque ?
Oui, l’usage d’une IA externe peut créer un risque de sous-traitance ou de transfert non autorisé selon les données et le contrat. Il faut lire le contrat client, l’annexe de traitement des données et les conditions de l’outil.
Les options sont : outils listés, accord préalable du client, ou non-usage d’IA externe pour les données couvertes par interdiction. Ce que l’outil permet n’est pas forcément ce que le contrat autorise.
20. Mon équipe négociation veut simuler une stratégie avec une IA : comment garder le bénéfice sans exposer notre BATNA ?
Il faut utiliser l’IA pour générer des options, pas pour lui confier votre BATNA réelle. La BATNA ou MESORE est votre meilleure solution de repli ; l’exposer revient à fragiliser votre négociation.
Les options sont : scénarios fictifs, critères objectifs généraux, ou interdiction de saisir prix de réserve, urgence, concessions possibles et faiblesses. L’IA peut préparer une méthode, mais elle ne doit pas recevoir votre vulnérabilité.
21. Mon entreprise a déjà accepté les conditions générales d’une IA sans les archiver : comment reconstruire une preuve minimale ?
Il faut archiver immédiatement la version actuelle, les paramètres du compte et les preuves d’usage disponibles. Vous ne pourrez pas toujours reconstituer exactement la version passée, mais vous pouvez réduire le risque futur.
Les options sont : audit des comptes, demande écrite au fournisseur, ou suspension des données sensibles jusqu’à validation. En gouvernance, la preuve tardive vaut mieux que l’absence de preuve.
22. Mon responsable formation veut utiliser une IA avec des cas issus de médiations commerciales : est-ce compatible avec la confidentialité ?
Non, des cas de médiation commerciale ne doivent pas être transmis à une IA externe s’ils permettent d’identifier les parties ou le différend. La confidentialité est l’actif même du processus.
Les options sont : cas entièrement fictifs, anonymisation avec suppression du contexte reconnaissable, ou non-usage de dossiers réels en IA non maîtrisée. Même anonymisé, un cas peut rester identifiable par le secteur, les montants ou la chronologie.
23. Mon entreprise utilise Mistral parce que l’acteur est européen : est-ce suffisant pour les données sensibles ?
Non, l’ancrage européen ne remplace pas la lecture de l’offre exacte, des sous-traitants, de l’hébergement et de l’usage des données. La souveraineté juridique ne se déduit pas d’un logo.
Les options sont : offre contractualisée, données caviardées, ou non-usage si la chaîne technique reste incertaine. Une IA européenne intégrée par un prestataire opaque peut être moins maîtrisée qu’une offre non européenne mieux contractualisée.
24. Mon équipe communication veut demander à Grok de réagir à une crise publique : quel risque de gouvernance dois-je voir ?
Le risque est de créer des traces exploitables sur votre stratégie de crise, vos responsabilités ou vos angles morts. Un outil lié à un environnement social n’est pas un cabinet de crise confidentiel.
Les options sont : usage pour ton général, préparation des éléments sensibles hors plateforme, ou interdiction de saisir causes, responsabilités, noms et options juridiques. En crise, le prompt peut devenir une cartographie de vos faiblesses.
25. Mon logiciel métier intègre une IA sans nouvelle signature contractuelle : dois-je considérer que les anciennes clauses suffisent ?
Non, une fonctionnalité IA peut modifier les finalités, les sous-traitants, les données traitées et les risques, même si le logiciel reste le même. Il faut demander une notice, un avenant ou une documentation.
Les options sont : acceptation après vérification, désactivation de la fonctionnalité, ou non-envoi de données personnelles ou confidentielles tant que le régime IA n’est pas clair.
26. Mon entreprise veut utiliser des conversations clients pour entraîner son propre chatbot : quel point du guide CNIL devient central ?
Le point central est la base juridique, l’information des personnes et la possibilité d’opposition lorsque le traitement le permet. Les conversations clients contiennent des données personnelles, des réclamations et parfois des informations sensibles.
Les options sont : entraînement sur données anonymisées, information et opposition, ou non-usage des conversations réelles si l’anonymisation ou la base juridique est fragile. Un chatbot interne n’échappe pas au RGPD parce qu’il est développé par l’entreprise.
27. Mon sous-traitant prétend que les données envoyées à l’IA sont anonymisées : comment vérifier sans tomber dans une confiance aveugle ?
Il faut exiger la méthode d’anonymisation, pas seulement l’affirmation d’anonymisation. Une donnée reste réidentifiable si le contexte, la fonction, le montant, le lieu ou la chronologie permet de reconnaître la personne ou l’entreprise.
Les options sont : audit par échantillon, critères écrits d’anonymisation, ou refus d’usage si le prestataire ne peut pas expliquer sa méthode. L’anonymisation n’est pas une formule magique ; c’est un résultat à démontrer.
28. Mon entreprise hésite entre une IA gratuite et une IA enterprise : quel critère doit primer sur le prix ?
Le critère prioritaire est la maîtrise contractuelle des données, pas le coût facial de la licence. Une IA gratuite peut coûter cher si elle expose clients, RH, propriété intellectuelle ou stratégie.
Les options sont : gratuit pour données publiques, enterprise pour données internes, ou non-usage pour données rouges si aucune offre ne fournit les garanties nécessaires. Le vrai prix d’une IA se mesure en responsabilité, preuve, dépendance et perte de pouvoir.
29. Mon client grand compte exige une garantie “zéro IA” dans le contrat : comment négocier sans mentir sur les usages internes ?
Il faut transformer l’exigence « zéro IA » en clause graduée sur les données du client. Votre intérêt est de préserver la productivité ; son intérêt est de protéger ses informations.
Les options sont : zéro IA pour ses données, IA sans données client, ou IA encadrée avec validation, non-entraînement et preuve. Une promesse impossible détruit la confiance ; une clause graduée préserve le rapport commercial.
30. Mon entreprise a besoin d’une règle immédiate pour ses dirigeants et cadres : quelle règle empêche la perte de pouvoir la plus grave ?
La règle immédiate est d’interdire toute donnée rouge dans une IA dont les garanties ne sont pas écrites, archivées et opposables. Les dirigeants manipulent les données les plus dangereuses : prix, conflits, associés, investisseurs, banques, clients clés, contentieux et stratégie.
Les options sont : interdiction stricte des données rouges, autorisation caviardée pour données orange, ou usage libre pour contenus publics. Cette règle protège la marge, la preuve et la négociation.
31. Mon entreprise veut prouver à un assureur cyber qu’elle maîtrise l’IA : quels éléments concrets produire ?
Il faut produire une gouvernance datée, pas une déclaration d’intention. L’assureur cherchera les outils, droits, incidents, clauses, formations et exclusions.
Les options sont : matrice IA, charte interne, clauses prestataires, registre des incidents, preuves de paramétrage et interdiction des données rouges. Sans documentation, la maîtrise reste invérifiable.
32. Mon équipe utilise des prompts contenant des noms de salariés pour préparer des évaluations : quel risque social et CNIL dois-je retenir ?
Le risque est de traiter des données RH identifiantes dans un outil dont la finalité et la conservation ne sont pas maîtrisées. Une évaluation touche à la carrière, à la rémunération, aux performances et parfois à des situations sensibles.
Les options sont : modèles fictifs, outil interne validé, ou interdiction de saisir des noms ou situations réelles dans une IA grand public. La donnée RH doit être traitée comme une donnée rouge.
33. Mon entreprise veut intégrer un chatbot sur son site pour répondre aux prospects : quel risque de données entrantes faut-il anticiper ?
Le risque est que les prospects saisissent spontanément des données personnelles ou confidentielles que vous devrez ensuite gouverner. Un chatbot ne reçoit pas seulement vos données ; il capte celles des visiteurs.
Les options sont : limiter les champs et avertir clairement, configurer conservation et suppression, ou ne pas activer le chatbot sans registre, information et procédure d’exercice des droits. Le risque vient aussi de ce que les tiers confient à l’outil.
34. Mon concurrent semble avoir reproduit des formulations issues de nos contenus publiés : l’interdiction d’entraînement IA dans nos mentions légales aide-t-elle ?
Oui, l’interdiction aide comme indice de volonté et support de réclamation, mais elle ne suffit pas seule. Elle doit être combinée à des conditions d’utilisation, mesures techniques, preuves de publication, surveillance et réaction rapide.
Les options sont : mise en demeure, négociation de retrait ou licence, ou protection renforcée des contenus à valeur. Pour les contenus stratégiques, ne pas tout publier reste parfois la meilleure protection.
35. Mon entreprise veut former ses cadres à l’IA sans les noyer dans le juridique : quel format prévient vraiment les erreurs ?
Le format efficace est une formation par situations de pouvoir : client, marge, RH, contentieux, propriété intellectuelle, négociation. Les cadres doivent reconnaître les données rouges, pas réciter le RGPD.
Les options sont : atelier cas pratiques, fiche vert/orange/rouge, ou simulation de négociation avec prestataire. La règle doit être mémorisable dans l’urgence : si la donnée fonde notre pouvoir, elle ne va pas dans un outil non maîtrisé.
36. Mon équipe technique doit configurer le fichier robots.txt du site : quels agents de moissonnage faut-il au minimum examiner ?
Il faut examiner les principaux agents déclarés par les grands acteurs IA, puis maintenir cette liste car elle évolue. La configuration peut notamment viser GPTBot, ChatGPT-User, Google-Extended, ClaudeBot, anthropic-ai, PerplexityBot, Applebot-Extended, FacebookBot, meta-externalagent ou CCBot.
Les options sont : blocage large des agents IA déclarés, accès réservé aux contenus sensibles, ou surveillance des logs pour détecter des comportements d’aspiration. Le robots.txt n’est pas une sécurité absolue, mais il aligne la pratique technique avec la position juridique.
37. Mon entreprise publie des livres blancs pour capter des prospects : faut-il tout bloquer contre l’entraînement IA ?
Non, il faut distinguer les contenus d’appel et les contenus qui concentrent votre avantage concurrentiel. Un livre blanc peut être volontairement public pour créer de la visibilité.
Les options sont : contenus d’acquisition publics, contenus à forte valeur derrière accès contrôlé, ou non-publication des éléments qui fondent directement votre différenciation. La stratégie de publication doit être alignée sur votre stratégie de pouvoir.
38. Mon comité de direction veut autoriser l’IA à titre expérimental : quel risque crée une expérimentation sans périmètre écrit ?
Une expérimentation sans périmètre écrit crée une zone grise où les données rouges entrent avant que le dirigeant n’ait arbitré le risque. L’expérimentation est utile seulement si elle est bornée : outils, comptes, personnes, finalités, données interdites, durée, preuve, responsable.
Les options sont : pilote limité sur données vertes, pilote professionnel avec garanties, ou non-expérimentation sur RH, clients stratégiques, contentieux, propriété intellectuelle et fusion-acquisition. Tester un outil ne doit pas signifier tester la résistance de vos secrets.
39. Mon entreprise veut utiliser l’IA pour préparer une médiation commerciale : quelle limite ne doit jamais être franchie ?
La limite à ne jamais franchir est de confier à une IA externe des informations permettant d’identifier les parties, les concessions possibles ou les positions confidentielles. La médiation repose sur la confidentialité et sur la maîtrise du rapport de force.
Les options sont : questions générales, cas fictif sans données reconnaissables, ou non-usage d’IA externe pour les éléments réels du différend. Une médiation mal protégée peut transformer un outil d’apaisement en source de vulnérabilité.
40. Mon entreprise veut ajouter une mention anti-entraînement IA dans ses mentions légales : quelle rédaction est plus robuste qu’une phrase générale ?
Une rédaction robuste vise l’extraction, l’indexation, la fouille de textes et de données, la constitution de base et l’entraînement ou l’amélioration d’un système d’IA. Elle doit être cohérente avec les conditions d’utilisation, le fichier robots.txt, les accès réservés et la politique de publication.
Les options sont : mention courte pour site vitrine, clause détaillée pour contenus à forte valeur, ou restriction d’accès pour supports stratégiques. La clause ne bloque pas techniquement tout usage, mais elle renforce la preuve de votre opposition et votre capacité de mise en demeure.
Mentions légales – Extraits
Toute extraction, indexation, reproduction, fouille de textes et de données, constitution de base de données, réutilisation ou exploitation des contenus du site aux fins d’entraînement, d’amélioration, de paramétrage ou d’évaluation d’un système d’intelligence artificielle est interdite sans autorisation écrite préalable.
Tous droits réservés.
Tout contrevenant s’expose à des poursuites civiles et pénales.