Dès qu’une IA touche à des données personnelles, un nom, un email, un dossier client, vous en restez responsable, même si c’est un outil tiers qui les traite. Le fournisseur ne porte pas le risque à votre place. C’est une réalité que beaucoup découvrent tard, souvent au pire moment, et qui mérite d’être posée avant de signer quoi que ce soit.
Je ne suis pas juriste, et ce qui suit ne remplace pas un avis professionnel. Mais ces questions-là ne demandent pas d’être expert. Elles demandent seulement d’être posées avant, au moment où vous avez encore le pouvoir de dire non.
Où sont traitées les données
C’est la première question, et elle filtre déjà beaucoup d’offres. Un hébergement et un traitement dans l’Union européenne simplifient énormément les choses. Un traitement ailleurs, hors des cadres reconnus, ouvre un dossier de conformité que peu de PME ont les moyens de gérer sereinement.
Cette question n’est pas théorique. En 2023, l’autorité italienne a temporairement bloqué ChatGPT sur son territoire, précisément sur des sujets de traitement de données personnelles. Quand un régulateur peut suspendre un outil mondial du jour au lendemain, c’est que la localisation et les garanties ne sont pas un détail contractuel, mais un risque opérationnel réel.
Mes données servent-elles à entraîner le modèle
Deuxième question, et elle est décisive. Si la réponse est oui, ou si elle est floue, les informations que vous confiez à l’outil peuvent contribuer à l’entraîner, et potentiellement ressortir ailleurs, chez quelqu’un d’autre. Pour un usage professionnel touchant à des données clients ou à votre savoir-faire, on veut un non clair et écrit. Pas un non oral rassurant, un engagement contractuel.
C’est souvent là que se distingue une offre grand public d’une offre pensée pour les entreprises. Les secondes proposent en général de désactiver l’entraînement sur vos données, ou ne l’activent jamais. Les premières restent volontairement vagues, parce que vos données sont une partie de ce qui les nourrit.
Puis-je supprimer, et savoir ce qui est conservé
Le droit à l’effacement n’est pas négociable, et un fournisseur incapable de le garantir vous met en faute, vous, pas lui. Vous devez pouvoir demander la suppression des données, obtenir la liste de ce qui est conservé, et savoir combien de temps. Si ces réponses n’existent pas, ou se perdent dans des renvois entre services, c’est déjà un signal.
Qui est responsable de quoi, par écrit
Dernière question, la plus structurante. Un contrat de traitement des données qui répartit clairement les rôles n’est pas une formalité administrative, c’est votre protection le jour où une question se pose, qu’elle vienne d’un client, d’un salarié ou d’une autorité. Qui traite, à quelles fins, avec quelles garanties, qui répond en cas d’incident. Tout cela doit être écrit, pas sous-entendu.
La conformité n’est pas l’ennemie de la vitesse
On présente souvent ces questions comme un frein, une paperasse qui ralentit l’innovation. C’est l’inverse. Bien posée au départ, la conformité vous évite de devoir tout arrêter six mois plus tard parce qu’une question gênante a fini par remonter, ou parce qu’un client a découvert où atterrissaient ses données. Le coût d’un arrêt en cours de route, en temps, en argent et en confiance, dépasse de loin celui de quelques bonnes questions au moment de signer.
Et il y a un test simple pour jauger un fournisseur. Un prestataire sérieux répond à ces questions clairement, par écrit, sans se cabrer. Un prestataire qui botte en touche, qui noie la réponse dans le jargon ou qui promet de revenir vers vous vous a déjà tout dit. La façon dont il traite vos questions sur les données est un assez bon aperçu de la façon dont il traitera vos données.