Guide pratique — Utiliser l'IA au travail
Quelles données ne faut-il jamais partager avec une IA au travail ?
Une question reste sans réponse ?
Nous pouvons vous aider à clarifier votre situation.
Un salarié colle le mail d'un client pour le reformuler. Un manager résume un dossier collaborateur pour gagner du temps. Un service charge un tableau de données "pour aller plus vite". Ces gestes semblent anodins — ils peuvent exposer l'organisation à des risques réels de confidentialité, de protection des données ou de violation contractuelle. Le problème ne vient pas d'un usage sophistiqué de l'IA : il vient d'un geste quotidien, banal, fait sans réflexe de vérification préalable. Cette page vous donne les repères pour reconnaître immédiatement les données à ne jamais partager avec une IA au travail, et adopter le bon réflexe avant chaque usage.
Pourquoi la question des données partagées avec une IA est si sensible au travail
Quand vous collez un contenu dans un outil d'IA, cette information quitte votre environnement de travail pour transiter vers un serveur externe. Selon l'outil, ses conditions d'utilisation et le contrat passé avec le fournisseur, ces données peuvent être conservées, utilisées pour entraîner le modèle, ou accessibles à des tiers. Ce n'est pas une hypothèse théorique — c'est le fonctionnement standard de la plupart des outils grand public.
Ce qui se passe vraiment quand on colle un contenu dans un outil d'IA
Lorsque vous saisissez ou collez un contenu dans un outil d'IA générative grand public, ce contenu est envoyé sur les serveurs du fournisseur pour être traité. Selon les conditions d'utilisation de l'outil :
- Les données peuvent être conservées pendant une durée variable
- Elles peuvent être utilisées pour améliorer le modèle (entraînement)
- Elles peuvent être accessibles aux équipes du fournisseur à des fins de modération ou d'audit
- En cas de faille de sécurité, elles peuvent être exposées à des tiers non autorisés
Les offres entreprise avec accord de confidentialité (DPA) offrent des garanties supplémentaires — mais elles ne suppriment pas tous les risques, et elles ne sont pas toujours en place dans les organisations.
Les risques concrets : confidentialité, vie privée, sécurité, conformité
Un seul geste d'inattention peut générer plusieurs types de risques simultanément :
- Risque RGPD — exposition de données personnelles sans base légale adaptée
- Risque contractuel — violation d'une clause de confidentialité avec un client ou un partenaire
- Risque de sécurité — fuite d'informations stratégiques ou techniques sensibles
- Risque de réputation — divulgation involontaire d'informations sur des collaborateurs ou des tiers
- Risque pénal — dans certains cas, violation du secret professionnel ou des affaires
Un même geste peut exposer plusieurs types de données à la fois
C'est l'un des pièges les plus fréquents : un seul document anodin en apparence peut combiner plusieurs catégories de données sensibles.
Exemple : un compte rendu de réunion peut contenir simultanément le nom d'un collaborateur (donnée personnelle), une information sur sa situation professionnelle (donnée RH), une décision commerciale non publique (secret des affaires) et une mention d'un client identifiable (donnée confidentielle contractuelle).
La question n'est donc pas seulement "ce document contient-il des données personnelles ?" — c'est "ce document contient-il des informations que je ne suis pas autorisé à faire transiter hors de l'organisation ?"
Les données qu'il ne faut jamais partager avec une IA au travail
Certaines catégories de données sont à proscrire dans tout outil d'IA grand public, sans exception. D'autres doivent être neutralisées ou anonymisées avant tout partage. Voici les principales catégories, avec des exemples concrets de chacune.
Données personnelles sensibles et données de santé
À proscrire absolument :
- Noms, prénoms, adresses, numéros de téléphone de personnes physiques
- Numéros de sécurité sociale, d'identité ou de passeport
- Données de santé : arrêts maladie, pathologies, handicaps, grossesses
- Données biométriques ou génétiques
- Données révélant l'origine ethnique, les opinions politiques, les convictions religieuses
- Données relatives à des condamnations pénales
Ces données sont protégées par le RGPD et leur traitement sans base légale adaptée expose l'organisation à des sanctions significatives de la CNIL.
Informations RH nominatives et situations individuelles
À proscrire dans un outil grand public :
- Fiches de paie, niveaux de rémunération, primes individuelles
- Évaluations de performance nominatives
- Dossiers disciplinaires ou procédures en cours
- Informations sur un entretien de recrutement ou une candidature identifiée
- Situations personnelles ou professionnelles d'un collaborateur
Même reformuler "à partir" d'un dossier RH dans un outil non encadré constitue un risque. Pour ces usages, seuls des outils avec un accord de traitement de données (DPA) adapté sont acceptables.
Données clients, contrats, secrets d'affaires et documents confidentiels
À ne jamais partager sans encadrement :
- Coordonnées et données personnelles de clients identifiés
- Contrats en cours de négociation ou signés avec clauses de confidentialité
- Propositions commerciales ou devis non publics
- Informations couvertes par un accord de non-divulgation (NDA)
- Données financières non publiées (résultats, budgets, prévisions)
- Savoir-faire, formules, méthodes ou procédés protégés
La violation d'une clause de confidentialité contractuelle peut engager la responsabilité civile de l'organisation, indépendamment des obligations RGPD.
Identifiants, accès, informations de sécurité et données techniques critiques
À proscrire absolument :
- Mots de passe, codes d'accès, tokens d'authentification
- Clés API ou certificats de sécurité
- Architectures réseau ou schémas d'infrastructure internes
- Codes source propriétaires non publiés
- Données de connexion ou journaux d'accès nominatifs
Ces informations peuvent être exploitées à des fins malveillantes si elles transitent dans un environnement non maîtrisé.
Les cas gris : données banales en apparence, mais risquées en contexte
Toutes les situations à risque ne sont pas évidentes. Certaines données semblent anodines prises isolément mais deviennent sensibles dans leur contexte d'usage. C'est ce qu'on appelle le risque de re-identification ou de recoupement : des informations génériques, combinées entre elles ou associées à un contexte métier précis, permettent d'identifier une personne ou de reconstituer une information confidentielle.
Un simple e-mail peut déjà contenir trop d'informations
Un e-mail professionnel collé dans un outil d'IA peut contenir, sans que vous y ayez pensé :
- Le nom et les coordonnées de l'expéditeur ou du destinataire
- Des informations sur une situation en cours (litige, négociation, recrutement)
- Des données financières mentionnées en passant
- Des indications sur l'organisation interne ou les relations entre personnes
Réflexe : avant de coller un e-mail, demandez-vous si vous le transmettriez à un prestataire externe sans précaution particulière. Si non, ne le collez pas.
Un tableau anonyme ne l'est pas toujours vraiment
L'illusion "pas de nom = pas de risque" est l'un des pièges les plus fréquents. Un tableau peut sembler anonyme et pourtant permettre d'identifier des individus :
- Si le poste, le service et la tranche de salaire sont combinés dans une petite équipe
- Si la date d'entrée et la qualification permettent d'identifier un collaborateur spécifique
- Si un identifiant interne non nominatif est retraçable depuis un autre système
L'EDPB rappelle que l'anonymisation doit être irréversible pour être considérée comme effective — ce qui est rarement le cas avec des suppressions de colonnes simples.
Les contenus commerciaux, projets, devis et comptes rendus peuvent être sensibles
Des documents qui ne semblent pas contenir de données personnelles peuvent pourtant être confidentiels :
- Un devis détaillé révèle la politique tarifaire de l'organisation
- Un compte rendu de réunion stratégique révèle des orientations non publiques
- Un document de projet contient des informations sur des partenaires ou des tiers
- Une présentation interne peut comporter des éléments couverts par le secret des affaires
La règle pratique : si ce document est marqué "confidentiel", "interne" ou "usage restreint", il ne doit pas transiter dans un outil d'IA sans cadre approprié — même pour une simple reformulation.
Comment décider vite avant de copier-coller ou de téléverser un contenu
Il ne s'agit pas de bloquer tous les usages de l'IA — il s'agit d'acquérir un réflexe de vérification qui prend 30 secondes et évite l'essentiel des incidents. Voici une méthode simple, applicable avant tout partage de contenu dans un outil d'IA au travail.
Les 5 questions à se poser avant tout partage
Avant de coller ou téléverser un contenu dans un outil d'IA, posez-vous ces cinq questions :
- Ce contenu identifie-t-il une personne physique ? (nom, poste, situation personnelle, données de santé...)
- Ce contenu est-il couvert par un accord de confidentialité ? (contrat client, NDA, clause interne...)
- Ce contenu contient-il des informations stratégiques non publiques ? (chiffres, projets, négociations...)
- L'outil utilisé est-il autorisé par mon organisation ? (outil validé, offre entreprise avec DPA...)
- Puis-je reformuler ce besoin sans inclure les données sensibles ?
Si vous répondez oui à l'une des quatre premières questions et non à la cinquième, ne partagez pas.
Anonymiser, résumer, neutraliser : quand cela aide vraiment
Dans certains cas, il est possible d'utiliser l'IA sur un contenu sensible en le neutralisant au préalable :
- Remplacer les noms par des identifiants génériques (Collaborateur A, Client X)
- Supprimer les montants précis et les remplacer par des ordres de grandeur
- Reformuler la demande en décrivant la situation sans les données brutes
- Ne partager que la structure du document, pas son contenu réel
Cette neutralisation n'est pas toujours suffisante — si le contexte permet la re-identification, le risque subsiste. En cas de doute, la règle reste : ne pas partager.
Outil autorisé, cadre interne, validation : ce qu'il faut vérifier
La nature du contenu n'est pas le seul critère de décision. L'outil utilisé et le cadre interne de l'organisation jouent un rôle déterminant :
- Outil grand public sans contrat — réserver aux contenus sans aucune donnée sensible
- Offre entreprise avec DPA — élargit les usages possibles, mais ne supprime pas toutes les obligations
- Outil interne ou on premise — le niveau de garantie le plus élevé pour les données sensibles
Si votre organisation a défini une liste d'outils autorisés ou une politique d'usage, référez-vous-y avant tout partage. Si ce cadre n'existe pas encore, appliquez par défaut le principe de précaution maximum.
Exemples de situations de travail à risque
Pour rendre ces principes concrets et mémorables, voici des situations fréquentes — avec ce qu'il ne faut pas faire et ce qu'on peut faire à la place.
RH : CV, entretiens, dossiers collaborateurs
- ❌ Ne pas faire : coller un CV avec nom et coordonnées pour rédiger une synthèse ou un e-mail de retour
- ✅ À la place : décrire le profil en termes génériques ("candidat de 5 ans d'expérience en comptabilité") sans données nominatives
- ❌ Ne pas faire : téléverser le compte rendu d'un entretien annuel pour en extraire des axes de développement
- ✅ À la place : reformuler les axes à travailler sans mentionner le collaborateur ni ses données personnelles
Commercial / relation client : mails, litiges, propositions
- ❌ Ne pas faire : coller l'e-mail d'un client mécontent avec ses coordonnées pour obtenir une réponse rédigée
- ✅ À la place : décrire la situation ("un client exprime une insatisfaction sur un délai de livraison") et demander une trame de réponse
- ❌ Ne pas faire : téléverser un contrat client pour en extraire les clauses clés
- ✅ À la place : reformuler les questions juridiques de façon générique et consulter un juriste pour les clauses contractuelles
Support / administratif : contrats, factures, tableaux, procédures
- ❌ Ne pas faire : charger un fichier Excel de paie pour en demander une synthèse ou des statistiques
- ✅ À la place : travailler sur des données agrégées et anonymisées, ou utiliser un outil interne adapté
- ❌ Ne pas faire : coller une procédure interne confidentielle pour la reformuler ou la simplifier
- ✅ À la place : décrire la structure souhaitée et rédiger la procédure à partir de zéro avec l'IA, sans partager l'original
Ce que l'entreprise doit clarifier pour sécuriser les usages
La vigilance individuelle est nécessaire — elle ne suffit pas. Sans cadre collectif, chaque collaborateur navigue à vue, et les incidents dépendent de la prudence de chacun plutôt que d'une politique maîtrisée. Un cadre minimal permet de transformer des réflexes individuels en pratiques partagées et vérifiables.
Pourquoi une règle implicite ne suffit pas
Dire "soyez prudents avec les données" n'est pas une politique d'usage. Sans liste claire des outils autorisés, sans catégorisation des données interdites, sans processus de validation pour les cas douteux, les équipes improviseront — et les incidents surviendront.
Un cadre minimal n'a pas besoin d'être un document de 20 pages. Il peut tenir en une page : quels outils sont autorisés, quelles données sont interdites, qui contacter en cas de doute.
Qui doit définir les données autorisées ou interdites
La définition du périmètre de données autorisées dans les outils IA implique généralement plusieurs fonctions :
- Le DPO ou responsable conformité — pour les données personnelles et les obligations RGPD
- Le RSSI ou responsable sécurité — pour les données techniques et les risques d'exposition
- La direction juridique — pour les données couvertes par des obligations contractuelles
- La direction générale ou RH — pour la validation de la politique globale
Dans les petites structures sans ces fonctions dédiées, le dirigeant ou le responsable opérationnel doit prendre ces décisions explicitement, quitte à se faire accompagner.
Quand renvoyer vers une charte ou une politique d'usage
Si votre organisation n'a pas encore défini de politique d'usage de l'IA, c'est le moment de le faire. Les pages dédiées du corpus couvrent ces sujets en profondeur : la construction d'une politique d'usage globale, et la rédaction d'une charte adaptée à votre organisation. Ces documents formalisent le cadre collectif dont les réflexes individuels ont besoin pour être durables.
Former les équipes avant les incidents d'usage
La plupart des incidents liés au partage de données avec une IA ne sont pas malveillants — ils résultent d'un manque de sensibilisation. Un collaborateur qui n'a pas été formé ne peut pas anticiper des risques qu'on ne lui a pas expliqués. La formation est donc la première ligne de prévention, bien avant les sanctions ou les politiques restrictives.
Pourquoi la sensibilisation doit précéder la généralisation
Déployer des outils d'IA sans former les équipes à leurs limites et à leurs risques, c'est exposer l'organisation à des incidents inévitables. La sensibilisation n'a pas besoin d'être exhaustive pour être efficace — quelques réflexes bien intégrés suffisent à réduire significativement les risques les plus fréquents.
La règle pratique : avant d'autoriser un usage régulier de l'IA dans une équipe, prévoyez au minimum une session de sensibilisation sur les données à ne pas partager et les outils autorisés.
Les bons réflexes à intégrer dès les premiers usages
Cinq réflexes à intégrer dès le départ dans tout usage professionnel de l'IA :
- Vérifier que l'outil est autorisé par l'organisation avant de l'utiliser
- Ne jamais coller de données personnelles ou confidentielles sans vérification préalable
- Traiter toute sortie de l'IA comme un brouillon à relire avant diffusion
- Signaler tout doute à son responsable ou au référent conformité
- Appliquer le principe de précaution en cas d'incertitude : ne pas partager
Quand proposer une formation d'initiation ou une sensibilisation RH
Une formation courte et structurée est particulièrement utile dans deux situations : lorsque des collaborateurs commencent à utiliser des outils d'IA sans cadre défini, et lorsqu'une organisation souhaite généraliser l'usage de l'IA à plusieurs équipes ou fonctions. Elle permet d'acquérir en quelques heures les réflexes qui, sans accompagnement, prennent plusieurs mois à se construire — et qui ne se construisent pas toujours correctement en autodidaxie. Pour les fonctions RH et les équipes qui traitent des données sensibles, une sensibilisation spécifique aux enjeux de conformité complète utilement la formation généraliste.
À propos de l'auteur
Marc-François MICHEL est Docteur en Mathématiques, formateur professionnel d'adultes certifié FPA spécialisé en formation IA en entreprise, pilotage de projets IA, transformation digitale, pédagogie professionnelle.
Marc-François Michel, Docteur en Mathématiques et formateur certifié FPA, accompagne dirigeants, managers et équipes dans l'appropriation réaliste et opérationnelle de l'IA depuis 28 ans. Son approche, centrée sur la prise de décision et le pilotage, vise à rendre l'IA compréhensible et exploitable dans les pratiques professionnelles. Il intervient en intra-entreprise avec une pédagogie claire, sans jargon, fondée sur des cas concrets adaptés à chaque secteur et des outils directement applicables en situation de travail.
Questions fréquentes
- Peut-on coller un e-mail client dans ChatGPT pour le reformuler ?
-
Pas sans précaution. Un e-mail client contient généralement des données personnelles (nom, coordonnées, situation) et peut relever d'une obligation de confidentialité. Le coller dans un outil grand public comme ChatGPT expose ces données à des serveurs externes, sans garantie sur leur traitement. La bonne pratique : décrire la situation de façon générique ("un client se plaint d'un délai de livraison") et demander une trame de réponse sans partager le contenu réel de l'e-mail.
- Une donnée anonymisée peut-elle encore poser problème avec une IA ?
-
Oui, dans certains cas. Une donnée n'est véritablement anonyme que si elle ne permet plus d'identifier une personne physique, même par recoupement avec d'autres informations. Supprimer un nom ne suffit pas si le poste, le service, la date d'entrée et la tranche salariale permettent d'identifier le collaborateur dans une petite équipe. L'EDPB rappelle que l'anonymisation doit être irréversible pour être effective. En cas de doute sur le caractère réellement anonyme d'un jeu de données, il vaut mieux consulter votre DPO avant de le partager.
- Les données RH sont-elles toujours interdites dans les outils d'IA ?
-
Pas systématiquement, mais elles nécessitent un cadre strict. Les données RH nominatives — fiches de paie, évaluations individuelles, dossiers disciplinaires, données de santé — ne doivent pas transiter dans un outil grand public sans encadrement. En revanche, des données RH agrégées et anonymisées (taux de turnover global, répartition par catégorie sans identification individuelle) peuvent être traitées dans des outils adaptés, à condition que l'organisation ait défini un cadre d'usage et que l'outil dispose des garanties contractuelles nécessaires.
- Puis-je téléverser un contrat ou un compte rendu dans une IA au travail ?
-
Cela dépend du contenu et de l'outil. Un contrat contient généralement des données personnelles et des clauses de confidentialité — le téléverser dans un outil grand public expose l'organisation à un risque contractuel et RGPD. Un compte rendu de réunion peut contenir des informations stratégiques non publiques. Dans les deux cas, la règle est : vérifier d'abord si l'outil est autorisé par votre organisation, puis évaluer si le document contient des données personnelles ou confidentielles. En cas de doute, reformulez votre besoin sans partager le document original.
- Comment savoir si mon entreprise autorise ou non le partage de certaines données avec une IA ?
-
Si votre organisation a défini une politique d'usage de l'IA ou une charte, référez-vous-y. Elle doit préciser les outils autorisés, les catégories de données interdites et les interlocuteurs à contacter en cas de doute. Si ce cadre n'existe pas encore, appliquez par défaut le principe de précaution maximum : ne partagez que des données non sensibles, non nominatives et non confidentielles, et uniquement dans des outils que vous êtes certain de pouvoir utiliser dans un cadre professionnel. Signalez l'absence de cadre à votre responsable — c'est un point à traiter collectivement, pas individuellement.
Sources et références
- Utiliser l'IA générative dans les TPE et PME — CNIL ,
- Questions-réponses sur l'utilisation d'un système d'IA générative — CNIL ,
- Comment déployer une IA générative ? La CNIL apporte de premières précisions — CNIL ,
- AI Privacy Risks & Mitigations — Large Language Models (LLMs) — EDPB ,
- Opinion 28/2024 on certain data protection aspects related to AI models — EDPB ,
Informations complémentaires
Sommaire
Sur le même sujet
- IA générative en entreprise — Capacités, limites et bonnes pratiques
- Construire une politique d'usage de l'IA en entreprise
- Comment rédiger une charte d'usage de l'IA pour ses collaborateurs ?
- RGPD et données RH à l'ère de l'IA — Ce que tout DRH doit savoir
- Risques RH de l'IA — Guide complet pour les professionnels des ressources humaines
- IA et droit du travail — Ce que l'employeur doit prévoir
Posez nous des questions
UCert est un organisme de formation créé et déclaré en 2007. A ce titre, il a été certifié Qualiopi en juin 2020 pour la catégorie "actions de formation".
Depuis 2020, nous avons réalisé plus de 380 formations spécialisées et sur mesure et formé plus de 900 personnes.
