ChatGPT : qu'en est-il de vos données personnelles ?

Un homme en costume tenant une tablette, avec des icônes numériques représentant un cerveau, une balance de la justice et une puce IA en surimpression.

ChatGPT, l’IA générative d’OpenAI, est devenue le chatbot le plus populaire depuis son lancement en novembre 2022. Cette IA est basée sur le modèle d’apprentissage automatique deep learning qui consiste en un traitement massif de données afin de permettre une amélioration de la qualité de l’algorithme[1].

Dans cet article, un éclaircissement sera fait sur les pratiques de collecte et de traitement des données à caractère personnel de système d’intelligence artificielle (« IA », ci-après).

OpenAI propose plusieurs abonnements, dont une version gratuite avec accès limité et des options payantes offrant des fonctionnalités plus complètes, ainsi que deux versions spécifiques (les versions Team et Entreprise). Ces deux dernières versions ne seront pas traitées dans le présent article et feront l’objet d’un autre billet spécifique.

Politique de confidentialité appliquée aux utilisateurs de ChatGPT

En ce qui concerne les utilisateurs européens, ChatGPT propose une politique de confidentialité commune entre les trois versions grand public.

Quelles données personnelles sont traitées ?

En ce qui concerne les utilisateurs européens, ChatGPT propose une politique de confidentialité commune entre les trois versions grand public.

Données directement fournies par les utilisateurs :

Catégories
Exemples
Informations liées au compte utilisateur
Nom, coordonnées, identifiants du compte, date de naissance, informations de paiement et historique des transactions
Entrées utilisateurs
Prompts et autres contenus fournis par les utilisateurs (fichiers, images, audios)
Données de communication
Informations collectées lors des communications des utilisateurs avec OpenAI par e-mail ou via les réseaux sociaux
Autres informations
Informations fournies par les utilisateurs lors de la participation à des événements, des enquêtes ou pour établir leur identité (par exemple, âge)

Données collectées indirectement par ChatGPT :

Type de données
Exemples
Données de connexion
Adresse IP, paramètres du navigateur
Données d’utilisation
Fonctionnalités utilisées, fuseau horaire, pays, heure d’accès
Informations sur l’appareil
Nom de l’appareil, système d’exploitation
Données de localisation
Zone géographique

Pour quelles finalités ChatGPT traite nos données personnelles ?

OpenAI traite des données à caractère personnel dans le cadre de l’utilisation de ses services, notamment pour assurer leur bon fonctionnement, améliorer ses modèles, communiquer avec les utilisateurs, prévenir les abus, ou encore se conformer à certaines obligations légales.

À ce titre, l’entreprise indique s’appuyer sur plusieurs bases juridiques, telles que l’exécution du contrat (ex. : traitement des requêtes utilisateurs), l’intérêt légitime (ex. : amélioration des services ou sécurité des systèmes), ainsi que le respect d’obligations légales. Dans certains cas, le traitement repose également sur le consentement, notamment pour certaines communications marketing.

OpenAI précise que les données utilisées pour entraîner ses modèles proviennent de sources librement accessibles sur Internet, à l’exclusion de données issues de canaux illégaux, tels que le « dark web ». Par ailleurs, l’entreprise affirme ne pas constituer de base de données dédiée à l’entraînement et ne pas utiliser les données à des fins de profilage ou de prospection commerciale. Des garanties techniques, telles que la pseudonymisation ou l’agrégation des données, sont mises en œuvre afin de limiter les risques pour les droits et libertés des personnes concernées.

En complément, plusieurs mécanismes sont proposés aux utilisateurs : un système d’opt-out permet de s’opposer à l’utilisation des données pour l’entraînement des modèles, et une fonctionnalité de « chats temporaires » offre la possibilité d’interagir sans que les conversations ne soient conservées ni utilisées à cette fin (sous réserve d’une conservation temporaire de 30 jours à des fins de sécurité).

Ces garanties n’ont toutefois pas suffi à convaincre l’Autorité de contrôle italienne («la Garante » ci-après). À l’issue d’une enquête ouverte en mars 2023[1], la Garante a relevé plusieurs manquements au RGPD, notamment l’absence de base légale appropriée pour le traitement des données personnelles à des fins d’entraînement du modèle, une information jugée insuffisante et peu transparente à destination des utilisateurs, ainsi que l’absence de mécanisme de vérification de l’âge. Par ailleurs, la société n’a pas notifié à l’Autorité la violation de données survenue en mars 2023.

Sur cette base, la Garante[2] a imposé à OpenAI une amende de 15 millions d’euros, assortie d’une obligation de mettre en œuvre une campagne d’information de six mois destinée à sensibiliser le public à la manière dont leurs données peuvent être utilisées pour l’entraînement de l’intelligence artificielle, et à les informer de leurs droits, notamment d’opposition, de rectification et d’effacement.

Respect des droits des utilisateurs européens

En ce qui concerne les droits des utilisateurs, OpenAI indique dans ses politiques de confidentialité garantir aux utilisateurs européens l’ensemble des droits des personnes concernées prévus par le RGPD, tels que le droit d’accès, le droit à la rectification ou encore le droit d’opposition.

Les utilisateurs peuvent directement exercer leurs droits via les paramètres de leur compte, mais, pour une demande plus détaillée, il est possible de contacter directement l’entreprise.

Concernant l’exactitude, OpenAI précise qu’elle ne peut garantir l’exactitude des données, mais permet aux utilisateurs de demander une rectification ou une suppression des données inexactes également via le portail de confidentialité d’OpenAI.

Néanmoins, durant le premier semestre 2023[1], plusieurs plaintes ont été déposées auprès de la CNIL, l’autorité de protection des données française. Notamment à la suite à l’absence de réponse à une demande d’accès aux données à caractère personnel et pour des informations inexactes concernant une personne concernée.

ChatGPT est-il actuellement conforme au RGPD ?

OpenAI affiche une volonté croissante de se conformer aux exigences européennes en matière de protection des données à caractère personnel.

Cette dynamique s’est intensifiée à la suite de plusieurs différends avec des autorités de contrôle, qui ont poussé l’entreprise à revoir certaines de ses pratiques. Pour rappel, en mars 2023[1], la Garante avait temporairement suspendu l’accès à ChatGPT sur le territoire italien en raison de manquements constatés au RGPD.

Malgré les efforts entrepris, des insuffisances persistent dans la mise en conformité. Les informations relatives à la vie privée demeurent éparpillées sur plusieurs pages du site web, rendant leur consultation peu intuitive pour les personnes concernées. Par ailleurs, à l’exception de la politique de confidentialité dédiée aux utilisateurs, la majorité des contenus, y compris le chatbot mis à disposition pour répondre aux questions, ne sont disponibles qu’en anglais. Cette absence de traduction généralisée constitue un frein concret à l’exercice effectif des droits des personnes concernées et à la compréhension des traitements opérés.

En mars 2025, l’ONG spécialisée en protection des données NOYB a déposé plainte en Norvège[2] portant sur des hallucinations diffamatoires générées par le système. Ces nouveaux signalements témoignent de préoccupations toujours vives concernant le respect des droits fondamentaux dans le cadre du développement de l’intelligence artificielle générative.

Bonnes pratiques à adopter

OpenAI a multiplié les efforts pour se conformer au RGPD, notamment en renforçant la transparence et de contrôle utilisateur.

Toutefois, chaque utilisateur a un rôle actif à jouer pour assurer une utilisation responsable de ces outils.

Peu importe la version que vous utilisez de ChatGPT, voici quelques recommandations essentielles :

  1. Configurez vos paramètres de confidentialité

Si vous utilisez ChatGPT gratuit, « Pro » ou « Plus », vérifiez vos paramètres et n’autorisez pas que vos données soient utilisées pour entraîner l’IA et/ou activez les « Chats temporaires » quand vous le souhaitez.

  1. Limitez l’introduction de données à caractère personnel et jamais de données sensibles

 Évitez de transmettre des données à caractère personnel lors des requêtes adressées à ChatGPT.

  1. Vérifiez les réponses fournies par ChatGPT

Les réponses fournies par ChatGPT peuvent être erronées, il est donc conseillé de croiser plusieurs sources.

  1. Anonymisez vos données

Sécurisez les données que vous échangez avec ChatGPT (anonymisation, pseudonymisation si besoin).

  1. Tenez un registre des traitements

Incluez l’utilisation de ChatGPT dans votre registre des activités de traitements

  1. Choisissez l’offre adaptée à vos besoins

Que ce soit les options gratuites, « Pro », « Plus », « Team » ou « Entreprise », choisissez celle qui correspond le plus à vos besoins en matière de sécurité ou de contrôle des données.

  1. Restez informés

Formez-vous et vos équipes aux bonnes pratiques liées à la protection des données

  1. Rédigez une politique d’usage de l’intelligence artificielle (employeurs)

Définissez les usages autorisés, encadrez les traitements de données personnelles, et veillez à la conformité au RGPD. Cette politique doit prévoir des règles claires, une gestion des risques et, si nécessaire, une analyse d’impact (DPIA). Elle renforce la sécurité juridique et la confiance des utilisateurs.

1 E. DEGRAVE, F. JACQUES, J. MONT ET A. NARDI, « ChatGPT : le droit en question(s) », J.D.E., 2024/4, p.163.

2 Garante per la protezione dei dati personali, « stop to ChatGPT by the Italian SA Personal data is collected unlawfully, no age verification system is in place for children », 31 mars 2023, disponible sur https://www.garanteprivacy.it

3 Garante per la protezione dei dati personali, « ChatGPT, The Italian Data Protection Authority closes the preliminary investigation », 20 décembre 2024, mis à jour le 21 mars 2025 disponible sur https://www.garanteprivacy.it

4 LeMonde, « ChatGPT : premières plaintes auprès de la CNIL contre le logiciel d’intelligence artificielle », 05 avril 2023, disponible sur https://www.lemonde.fr/   

5 Voy., plus haut, le n°2

6 NOYB, « AI hallucinations: ChatGPT created a fake child murderer », 20 mars 2025, disponible sur www.noyb.eu

 

Vous souhaitez garantir un usage de vos outils IA conforme aux règlementations au sein de votre organisation ?

Faites-vous accompagner par nos consultants pour avancer en toute sérénité.

Contactez-nous !

Découvrez nos autres articles

NIS2 et pouvoirs locaux : qui est vraiment concerné ?
NIS2 et pouvoirs locaux : qui est vraiment concerné ?
Découvrez si votre commune, CPAS ou intercommunale est concernée par la directive NIS2. Activités critiques, seuils de taille, obligations légales,...
Voir Plus
Intelligence artificielle: votre organisation cadre-t-elle son usage de manière adéquate ?
Intelligence artificielle: votre organisation cadre-t-elle son usage de manière adéquate ?
Face à l’essor de l’IA,...
ChatGPT: qu’en est-il de vos données personnelles ?
ChatGPT: qu’en est-il de vos données personnelles ?
Dans cet article, un éclaircissement...

À propos de CTI

CTI CONSULTING est un cabinet de conseil qui aide les organisations à faire usage du digital à bon escient.  

Notre équipe pluridisciplinaire de consultants vous accompagne pour définir, acquérir, intégrer et utiliser des outils numériques de manière efficace et responsable.  

Envie d’en savoir plus ?

Découvrez notre équipe !

Vous souhaitez assurer la conformité RGPD des traitements de données au sein de votre organisation ?

Faites-vous accompagner par nos consultants pour avancer en toute sérénité.

Contactez-nous !
Cookies : Vérifier ou modifier mes choix

CTI Consulting SRL • Quai Louva 21, 4102 Seraing

info@cticonsulting.be • BE 0684.508.610

Police vie privée   Cookies