Vous y pensez depuis de nombreux mois. Grâce à l'IA, vous pourriez gagner du temps, automatiser des tâches, améliorer votre relation client. Mais chaque fois revient la même peur : « Si j'utilise ChatGPT, mes données vont-elles servir à l'entraînement ? Mes fichiers clients vont-ils se retrouver sur un serveur à l'étranger ? » Cette crainte entourant l'utilisation de l'IA en entreprise et la protection des données est la plus répandue lors de nos échanges avec les dirigeants de TPE et PME. Ce n'est pas illogique. Et ce n'est d'ailleurs pas totalement infondé.
Cet article vous explique ce qu'il advient — concrètement — de vos données en cas d'utilisation de l'IA, et quels outils existent pour mieux les protéger. Sans jargon, ni panique.
Pourquoi cette peur est (en partie) justifiée
Le vrai sujet n'est pas tant les outils d'IA que vous utilisez. Ce sont ceux qui se retrouvent dans les mains de vos collaborateurs sans que vous en ayez été mis au courant.
D'où l'expression de « Shadow AI » : un salarié pose un tableau à ChatGPT pour en avoir un résumé, un autre un mail client à reformuler, un troisième un contrat pour en extraire les clauses clés. Personne n'a demandé, personne ne sait quelles données partent, personne ne sait où elles vont. Selon un rapport IBM de 2024, quand le Shadow AI est à l'origine d'une fuite, le coût moyen de l'incident dépasse 600 000 €. Ce ne sont pas des considérations théoriques, c'est là que peuvent nous amener des outils mal maîtrisés pour traiter des données sensibles.
Et c'est un phénomène considérable. Toujours d'après le même rapport, 60 % des entreprises ne définissent aucune politique pour encadrer l'usage de l'IA par leurs équipes. Pas de charte, pas de formation, pas de liste des outils autorisés. Supposez que vous laissiez vos collaborateurs expédier des documents confidentiels à partir de n'importe quelle boîte mail personnelle : le risque existe, nul ne contestera, mais tant qu'il ne se matérialise pas, il reste invisible.
À cela s'ajoute un risque nouveau. Les deepfakes, ces vidéos ou enregistrements sonores produits par IA, ont été multipliés par quinze en quelques années. Ils sont déjà utilisés pour usurper l'identité de dirigeants afin de valider des virements frauduleux. Les possibilités se multiplient, y compris celles d'en abuser.
Ce que deviennent réellement vos données
La peur cache généralement un flou. Que font ces outils des données qu'on leur confie ? Explication simple.
Trois situations. Dans la première, vous confiez un dossier à un prestataire externe dont les pratiques vous sont inconnues. Il s'en saisit, le traite, le conserve dans ses archives. Vous n'avez aucun contrôle sur l'usage qui sera fait des données transmises. C'est ce qui se passe quand vous utilisez ChatGPT en version gratuite : vos conversations peuvent être utilisées pour améliorer le modèle, et vos données circulent sur des serveurs dont vous ne savez pas où ils se trouvent.
Dans le deuxième cas, vous adressez ce même dossier à un prestataire qui s'engage contractuellement à ne garder aucune trace, à ne pas transmettre le dossier à des tiers et à le détruire après traitement. C'est ce qui se passe avec les versions professionnelles et les API d'OpenAI, Google ou Mistral : les données sont traitées mais ne servent pas à entraîner le modèle. C'est un canal sécurisé, encadré par des conventions contractuelles.
Dans le troisième cas, vous ne sortez aucun document de votre entreprise. Vous installez un expert directement dans votre bureau, qui ne travaille qu'avec vos dossiers, sur vos équipements. C'est le principe de l'IA locale (ou IA souveraine) : le modèle tourne sur vos serveurs ou dans un hébergement français sous votre contrôle. Rien ne sort. Aucune donnée ne transite par un serveur étranger.
Chaque approche a ses atouts et ses limites. La bonne question n'est pas « l'IA est-elle dangereuse ? » mais « quelle IA est adaptée à mon usage et à la sensibilité de mes données ? ».
Les 3 solutions pour garder le contrôle sur vos données
| Critère | IA cloud publique | IA cloud souverain | IA locale |
|---|---|---|---|
| Sécurité des données | Hébergement à l'étranger, susceptible d'être utilisé pour l'entraînement en version gratuite | Données hébergées en France/Europe, non utilisées pour l'entraînement | Données sur vos propres serveurs, rien ne sort de votre infrastructure |
| Coût mensuel | Gratuit à 20 €/mois par utilisateur | 50 à 200 €/mois selon l'usage | 1 000 à 5 000 € d'installation + hébergement |
| Performance | Très élevée (derniers modèles disponibles) | Élevée, parfois légèrement en retrait | Variable selon le matériel, en progression permanente |
| Idéal pour | Tâches non sensibles, veille, rédaction générique | PME avec données clients, documents contractuels | Secteurs réglementés : médical, juridique, industriel |
La quasi-totalité des TPE et PME que nous accompagnons en Finistère choisissent l'option médiane : un cloud souverain hébergé en France, avec des garanties contractuelles sur le traitement des données. C'est le meilleur compromis entre performance, coût et sécurité. L'IA locale se justifie quand les données sont particulièrement sensibles ou quand les volumes rendent l'abonnement cloud trop coûteux.
L'important est de ne pas mélanger les usages. Votre comptable peut recourir à un outil cloud public pour résumer un article de presse. En revanche, il ne doit pas y coller votre bilan comptable. Séparer les usages sensibles des usages courants, c'est la première mesure de protection, avant toute considération technique.
Le cadre légal en 2026 : ce qui change pour les TPE/PME
Le sujet est désormais réglementaire, et non plus seulement technique. Deux textes encadrent l'usage de l'IA et des données personnelles en Europe.
Le RGPD, en vigueur depuis 2018, impose que les données personnelles de vos clients soient traitées de manière transparente, sécurisée et avec leur consentement. Si un outil d'IA traite des données clients, le RGPD s'applique pleinement : il faut savoir où sont envoyées ces données, où elles sont stockées et combien de temps elles sont conservées.
L'IA Act, le règlement européen sur l'intelligence artificielle, prévoit des obligations supplémentaires. Certaines sont en vigueur depuis février 2025 : interdiction des systèmes d'IA les plus dangereux et obligation de former vos équipes aux outils qu'elles utilisent. D'ici août 2026, le cadre s'étend aux systèmes « à haut risque », ceux qui analysent des données personnelles pour prendre des décisions (tri de CV, scoring client, etc.).
Pour une TPE ou PME, cela implique trois choses concrètes. Premièrement, savoir quels outils d'IA sont utilisés dans l'entreprise. Deuxièmement, vérifier que vos fournisseurs respectent le cadre européen. Troisièmement, former les salariés, même succinctement, aux outils qu'ils manipulent.
On a détaillé tout cela dans un article dédié : IA Act : ce que doivent faire les TPE du Finistère avant août 2026. Si vous ne l'avez pas encore lu, c'est un bon complément.
La tendance est claire, en Europe comme ailleurs : l'absence de gouvernance sur l'usage de l'IA en entreprise n'est plus une option, quelle que soit la taille de la structure.
Comment on déploie ça chez Ecma-Tech
Lorsqu'un client nous sollicite pour intégrer de l'IA dans son activité, la première question posée n'est pas « quel modèle voulez-vous ? » mais « quelles données allez-vous lui confier ? ». La réponse conditionne tout le reste.
Sur SmartStock, un outil de suggestions de commandes dédié au commerce, l'IA croise météo locale, événements et catalogue produits pour préconiser les bons réapprovisionnements. Les informations commerciales sont stockées sur un cloud sécurisé, et les appels à l'IA passent par des API professionnelles dont les conditions stipulent que les données ne servent pas à entraîner les modèles.
Le raisonnement suit la même logique : on repère le niveau de sensibilité des données, on détermine l'architecture adéquate (cloud souverain ou local) et on documente le tout pour que le client sache où vont ses informations. Nos clients finistériens et bretons apprécient cette proximité : quand on est à Brest et qu'on se connaît, les questions de confiance se règlent plus naturellement qu'avec un prestataire à l'autre bout du monde.
Si vous envisagez d'automatiser certaines tâches de votre PME avec l'IA, on peut vous aider à le faire dans un cadre sécurisé. C'est tout l'objet de nos solutions IA sur mesure.
Questions fréquentes
ChatGPT utilise-t-il mes données pour s'entraîner ? En version gratuite ou Plus, oui, sauf si vous désactivez manuellement l'option dans les paramètres. En version Team, Enterprise ou via l'API, non : vos données ne sont pas utilisées pour entraîner le modèle. C'est également le cas pour les outils concurrents comme Google Gemini ou Mistral. Vérifiez toujours les conditions d'utilisation de la version que vous utilisez.
Combien coûte une solution IA sécurisée pour une PME ? Comptez entre 50 et 200 euros par mois pour une solution en cloud souverain, adaptée à la majorité des usages. Une installation locale (sur vos propres serveurs) démarre entre 1 000 et 5 000 euros, avec un coût de fonctionement plus faible ensuite. Le bon choix dépend du volume et de la sensibilité des données.
Mon entreprise est-elle concernée par l'IA Act ? Oui, si vous utilisez un outil intégrant de l'intelligence artificielle dans un cadre professionel. Même un simple chatbot sur votre site vous place dans la catégorie des « déployeurs ». Les obligations sont proportionnelles au risque de l'outil, pas à la taille de votre entreprise.
Peut-on utiliser l'IA sans connexion internet ? Oui, c'est le principe de l'IA locale. Des modèles peuvent tourner directement sur un serveur dans vos locaux, sans connexion extérieure. Les performances ne sont pas encore au niveau des grands modèles cloud, mais suffisent pour l'essentiel des usages métier (analyse de documents, classification, assistance rédactionnelle). C'est la solution la plus sûre quand la confidentialité est non négociable.
Comment savoir si mes salariés utilisent déjà l'IA sans autorisation ? En leur posant la question. Dans la plupart des entreprises que nous accompagnons, au moins un collaborateur utilise ChatGPT ou un outil équivalent à titre personnel pour des tâches professionnelles. Ce n'est pas un problème en soi, du moment que l'usage est encadré. Une charte interne d'une page suffit à définir ce qui est autorisé et ce qui ne l'est pas.
Ce qu'il faut retenir
La question n'est pas de savoir si l'IA est quelque chose de sûr ou de dangereux. C'est de savoir comment l'utiliser pour votre activité en tenant compte de la sensibilité de vos données. Les outils existent, le cadre légal se précise et les solutions souveraines permettent d'accéder à l'IA sans sacrifier la protection de vos informations.
Vous avez un projet ou des questions sur la sécurité de vos données avec l'IA ? Discutons de votre projet. On vous aide à y voir clair, sans engagement.
Cet article vous intéresse ? Découvrez nos solutions IA ou consultez nos réalisations clients.
