Question, simple, têtue, dérangeante : si un contrôleur CNIL ou Tracfin débarque demain et demande à consulter l'historique des prompts envoyés par votre entreprise sur des outils IA grand public, qu'avez-vous à montrer ? Un registre, un DPA, une politique d'usage ? Ou un silence, suivi d'une tentative d'explication ?
Les usages de l'IA générative grand public
Avant toute chose, il est important de rappeler comment fonctionne l’IA générative et comment sont traitées les données. En effet, puisqu’elle est devenue le stylo bille du XXIᵉ siècle, qu’elle est aussi omniprésente que pratique, il faut savoir que contrairement au stylo, elle mémorise, elle analyse, elle rediffuse. Et surtout, elle appartient à quelqu'un d'autre. Tout le monde peut le constater, l’IA générative, par nature, opacifie. On ne sait pas exactement ce qu'elle fait des données, même quand elle promet de ne rien en faire. On ne sait pas où commence « l'amélioration du modèle » ni où finit « le traitement contractuel ». On fait confiance à une boîte noire, parce qu'elle est efficace.
Ce qui se joue vraiment quand on « prompt » une donnée client
Le RGPD impose que toute donnée personnelle traitée par un outil numérique fasse l'objet d'un encadrement contractuel, d'une analyse de risque, d'une traçabilité. L'article 28 oblige le responsable de traitement — c'est-à-dire l’entreprise — à s'assurer que son sous-traitant — l'outil IA — garantit un niveau de sécurité adéquat.
Or, la plupart des outils IA grand public ne signent aucun Data Processing Agreement (DPA) avec leurs utilisateurs gratuits. Autrement dit : pas de contrat, pas de garantie, pas de responsabilité partagée. Juste une clause d'utilisation rédigée en Californie qui stipule, quelque part à la ligne 47, que les données peuvent servir à « améliorer le modèle ».
Concrètement, cela signifie qu'un nom, un montant d'actifs, une adresse, un numéro de téléphone, une situation familiale — tout ce qui compose la fiche client standard d'un CGP ou d'un courtier — peuvent techniquement alimenter l'entraînement d'un modèle utilisé par des milliers d'autres utilisateurs. Pas par malveillance. Par conception.
Le problème ne s'arrête pas au RGPD. L'article L. 561-3 du Code monétaire et financier impose aux professionnels assujettis à la lutte contre le blanchiment une obligation de confidentialité stricte sur les informations collectées dans le cadre de la vigilance clientèle. Verser ces données dans un outil tiers non sécurisé, même pour simplifier la rédaction d'un rapport de soupçon, constitue une rupture de confidentialité. La CNIL, comme Tracfin, disposent des moyens de le vérifier.
Force est de constater que la majorité des solutions d'IA générative grand public ne proposent pas de cadre contractuel adapté aux exigences B2B, exposant ainsi les entreprises utilisatrices à un risque de non-conformité structurel. De ce fait, il faut prendre les choses par le bon angle et démarrer par une cartographie réelle des risques puis proposer des solutions de mitigation, comme on le ferait pour n’importe quel autre risque professionnel.
Et la RC Pro dans tout ça ?
Compte-tenu de l’essor de l’IA publique dans toutes les entreprises et dans toutes les mains, certaines compagnies d’assurance offrent désormais une couverture spécifique à l’usage de l’IA dans leurs produits de Responsabilité Civile Professionnelle. Reste à bien regarder les clauses d’exclusion et ce qui est vraiment couvert.
C’est pourquoi il est indispensable aujourd’hui d’intégrer l’utilisation de l’IA dans une démarche globale de transformation digitale responsable, conciliant innovation, performance et conformité. Une approche par le risque reste aujourd’hui la meilleure prévention possible.
Les entreprises qui sauront structurer une gouvernance robuste et documentée disposeront d'un avantage concurrentiel significatif, tout en se prémunissant contre les risques de sanctions administratives et de mise en cause de leur responsabilité.
