Programme IA sur mesureC'est gratuit →
← Blog
IA en entreprise22 min read

Risque juridique ChatGPT entreprise : guide complet 2026

ChatGPT expose votre entreprise à 3 régimes juridiques cumulatifs : RGPD, AI Act et droit du travail. Sanctions jusqu'à 35 M€. Guide 2026 avec checklist de conformité.

À retenir

  • Trois régimes cumulatifs — RGPD (20 M€), AI Act (35 M€) et droit du travail : une même infraction peut déclencher les trois simultanément
  • 31 % des TPE/PME françaises utilisent l'IA générative (Bpifrance, 2025), dont une majorité via des versions gratuites — exposition juridique massive et sous-estimée
  • Depuis le 2 février 2025, l'Art. 4 de l'AI Act impose aux déployeurs de systèmes d'IA (dont les entreprises utilisant ChatGPT) de former leurs collaborateurs à la « littératie IA » — obligation légale, pas recommandation ; l'enforcement par les autorités nationales débute au 2 août 2026
  • La Garante italienne a condamné OpenAI à 15 M€ : la jurisprudence IA est réelle, les entreprises utilisatrices sont elles aussi dans le viseur en tant que responsables de traitement

Un responsable des achats d'un cabinet d'expertise comptable envoie un mémo confidentiel à ChatGPT pour en obtenir un résumé. Trois jours plus tard, le DPO lui signale que ce document contenait des données personnelles de 47 salariés — transmises sur des serveurs américains, sans base légale, sans clause de confidentialité signée avec OpenAI, sans information préalable des personnes concernées. Le RGPD a été violé quatre fois en un clic.

Ce scénario n'est pas hypothétique. D'après Bpifrance Le Lab (juin 2025), parmi les PME et ETI françaises qui ont adopté l'IA, 54 % utilisent des solutions gratuites (ChatGPT, Gemini, Copilot version de base) — sans DPA, sans opt-out d'entraînement, sans registre des traitements mis à jour. Ce guide cartographie les risques juridiques réels de ChatGPT pour votre entreprise, les sanctions concrètes qui ont déjà été prononcées, et les actions à mener pour vous couvrir.

💡 Bon à savoir : En France, 31 % des TPE/PME utilisent déjà l'IA générative (Bpifrance, 2025), dont la majorité via ChatGPT Free ou Plus — sans Data Processing Agreement, sans registre des traitements mis à jour, et sans information des personnes concernées. C'est une exposition juridique massive, souvent ignorée.

Pourquoi l'exposition juridique est plus large qu'on ne le croit

Quand votre employé saisit des données dans ChatGPT, c'est votre entreprise qui devient responsable de traitement au sens du RGPD Art. 4.7 — pas OpenAI. Vous avez l'obligation de documenter ce traitement, d'informer les personnes concernées, de vous assurer qu'un Data Processing Agreement (DPA) est signé avec OpenAI, et de vérifier la localisation des serveurs. Sur les versions Free et Plus, aucune de ces conditions n'est remplie par défaut.

La plupart des articles sur ce sujet listent des risques. Aucun ne montre ce que ça coûte quand ça tourne mal — ni pourquoi le problème ne vient pas seulement de ChatGPT mais de votre propre statut juridique face à lui.

Sur ChatGPT Free et Plus, les conversations peuvent être utilisées par OpenAI pour améliorer ses modèles. Toute donnée personnelle ou confidentielle transmise est hors de votre contrôle dès l'envoi. Ce n'est pas un risque théorique : l'incident Samsung (mars 2023) a vu des ingénieurs transmettre du code source propriétaire à ChatGPT, entraînant une fuite de secrets industriels — et le bannissement de l'outil par Samsung pour tous ses collaborateurs.

Selon l'INSEE (octobre 2025), 33 % des entreprises de 250 salariés et plus utilisent déjà au moins une technologie d'IA — et ce chiffre double chaque année. La massification de l'usage amplifie proportionnellement l'exposition.

ChatGPT Free, Teams ou Enterprise : la différence qui change tout pour votre RGPD

C'est la question que les DPO posent en premier et que 0/5 articles concurrents traitent sérieusement. La réponse est simple : seules les versions Teams et Enterprise permettent une conformité RGPD, grâce à un DPA disponible, un opt-out d'entraînement garanti, et une option de localisation UE. Les versions Free et Plus exposent immédiatement votre entreprise dès qu'une donnée personnelle est saisie.

ChatGPT Free / Plus

Opt-out entraînement
❌ Non par défaut (désactivable manuellement)
Data Processing Agreement
❌ Aucun
Localisation serveurs
🇺🇸 USA — transfert hors UE non garanti
Rétention des données
30 jours + potentiellement entraînement
Conformité RGPD usage pro
❌ Non — risque immédiat si données personnelles
Recommandé

ChatGPT Teams / Enterprise

Opt-out entraînement
✅ Garanti contractuellement
Data Processing Agreement
✅ DPA disponible (clauses UE incluses)
Localisation serveurs
🇪🇺 Option EU disponible sur Enterprise
Rétention des données
Non utilisées pour entraînement
Conformité RGPD usage pro
⚠️ Acceptable sous conditions : DPA signé + opt-out + registre mis à jour

Même avec ChatGPT Enterprise, votre entreprise reste responsable de traitement : vous devez mettre à jour votre registre des traitements (RGPD Art. 30), informer les personnes dont les données sont traitées (Art. 13/14) et réaliser une AIPD si les données sont sensibles (Art. 35). Le DPA signé avec OpenAI vous positionne en sous-traitant qualifié — il ne vous exonère pas de vos propres obligations.

Pour comparer les offres en détail, consultez notre article sur ChatGPT Business vs gratuit : quel plan choisir pour votre entreprise.

Le Data Privacy Framework UE-USA (accord d'adéquation de juillet 2023) facilite les transferts vers des entreprises américaines certifiées — dont OpenAI. Mais cette certification doit être vérifiée annuellement, et le DPF pourrait être remis en cause si la Cour de justice de l'UE juge qu'il ne protège pas suffisamment les données européennes (comme elle l'a fait pour ses prédécesseurs Safe Harbor et Privacy Shield).

Les 6 risques juridiques à connaître — avec les montants réels

La plupart des articles listent ces risques comme une checklist. Voici ce que chacun peut coûter, avec une décision réelle ou une base légale précise.

🔒

RGPD — violation de données personnelles

Saisir des noms, emails, données RH ou financières dans ChatGPT Free constitue un traitement sans base légale (RGPD Art. 6) et sans DPA conforme. Sanction : jusqu'à 20 M€ ou 4 % du CA mondial. La CNIL a prononcé 83 sanctions pour 486 M€ en 2025 — tous secteurs confondus.
🏭

Secret des affaires — fuite de données confidentielles

Le code source, les stratégies commerciales, les plans produits transmis à ChatGPT quittent l'entreprise. Loi n°2018-670 transposant la Directive 2016/943/UE : la divulgation non autorisée engage la responsabilité pénale et civile. Samsung a banni ChatGPT après cet incident exact (mars 2023).
✍️

Propriété intellectuelle — droits d'auteur

En droit français, seule une personne physique peut être auteur (Code de la PI, Art. L.111-1). Les contenus générés par ChatGPT ne bénéficient pas de protection automatique. Si l'outil reproduit des fragments d'œuvres protégées dans ses outputs, votre entreprise qui les publie s'expose à des poursuites pour contrefaçon (Art. L.335-2 CPI).
⚠️

Responsabilité civile — hallucinations et contenus erronés

ChatGPT produit parfois des informations fausses. Si vous diffusez un contenu erroné ou diffamatoire généré par l'IA sans validation humaine, votre responsabilité civile est engagée (Art. 1240 Code civil). La faute réside dans l'absence de supervision — pas dans le fait d'avoir utilisé l'IA.
⚖️

Discrimination algorithmique — RH et crédit

Les modèles de langage peuvent reproduire des biais présents dans leurs données d'entraînement. En RH (tri de CV), en crédit, en assurance : des décisions automatisées discriminatoires exposent l'entreprise à des sanctions RGPD (Art. 22 sur les décisions automatisées) et au droit pénal antidiscriminatoire.
🏛️

Non-conformité AI Act — jusqu'à 35 M€

Le Règlement (UE) 2024/1689 est entré en vigueur le 1er août 2024. Votre entreprise est qualifiée de « déployeur » de modèle GPAI (General Purpose AI). Violations des pratiques interdites : jusqu'à 35 M€ ou 7 % du CA mondial. Non-conformité aux obligations systèmes haut risque : jusqu'à 15 M€ ou 3 % du CA.

La jurisprudence IA est réelle : la condamnation d'OpenAI à 15 M€

Voici le précédent que vos concurrents ne citent pas.

En début 2025, la Garante italienne — équivalent de la CNIL en Italie — a condamné OpenAI à 15 millions d'euros d'amende pour violations multiples du RGPD. Les manquements retenus : absence de notification de la violation de données de mars 2023 (9 heures d'exposition de données bancaires), absence de base légale pour le traitement des données d'entraînement, politique de confidentialité insuffisante, et protection inadéquate des mineurs. OpenAI a également été contraint de financer une campagne de communication institutionnelle obligatoire sur le fonctionnement de ChatGPT.

Ce qui compte pour votre entreprise : cette décision prouve que le RGPD s'applique concrètement à l'IA générative. Et si OpenAI — avec ses équipes juridiques — a été condamné pour des manquements à ses propres obligations de fournisseur, les entreprises utilisatrices qui ne remplissent pas les leurs (registre, DPA, information des personnes) sont encore plus exposées.

La CNIL française a prononcé 259 décisions en 2025, dont 83 sanctions pour un total de 486 839 500 euros — deux amendes géantes de 325 M€ et 150 M€ pour traçage sans consentement. Aucune sanction nominative ciblant un utilisateur de ChatGPT n'est publiée à ce jour, mais la CNIL a engagé des procédures de contrôle sur l'IA générative dès 2023 et a publié ses recommandations pratiques en juin 2025.

💡 Bon à savoir : La CNIL a publié en juin 2025 un guide pratique sur l'utilisation de l'IA générative en entreprise. Ce document précise les conditions dans lesquelles un traitement via ChatGPT ou un autre LLM peut être qualifié de licite — et constitue le référentiel officiel pour construire votre dossier de conformité.

Calendrier AI Act 2024-2026 : vos obligations par date

L'AI Act est le règlement que 4/5 articles concurrents ignorent — parce qu'ils ont été écrits en 2023, avant son entrée en vigueur. Depuis le 2 février 2025, l'Art. 4 de l'AI Act impose aux déployeurs de systèmes d'IA (dont les entreprises utilisant des outils comme ChatGPT) de prendre des mesures pour garantir un niveau suffisant de littératie IA de leur personnel. Ce n'est pas une recommandation : c'est une obligation inscrite dans le règlement européen. L'enforcement par les autorités nationales débute au 2 août 2026, ce qui rend l'anticipation indispensable — le non-respect pourra être sanctionné jusqu'à 35 M€.

Depuis août 2024

Quoi
Entrée en vigueur du Règlement (UE) 2024/1689
Pratiques interdites
Manipulation, exploitation de vulnérabilités, notation sociale, identification biométrique temps réel en espace public
Qui
Tous les déployeurs et fournisseurs opérant en UE
Votre statut
Déployeur de modèle GPAI (General Purpose AI)
Recommandé

Depuis février 2025

Obligation clé
Littératie IA — Art. 4 AI Act
Contenu
Former le personnel utilisant l'IA à ses capacités, limites et risques
Qui
Déployeurs de systèmes d'IA (dont toute entreprise utilisant ChatGPT ou tout LLM)
Enforcement autorités nationales
À partir du 2 août 2026 — anticiper dès maintenant

À partir d'août 2026

Quoi
Pleine applicabilité pour systèmes IA à haut risque + enforcement Art. 4
Secteurs concernés
RH (tri de CV), santé, éducation, finance, infrastructure critique
Obligations
Documentation technique, supervision humaine, traçabilité des outputs, audit
Anticipation
Les systèmes haut risque doivent être identifiés maintenant

L'obligation de littératie IA (Art. 4) n'est pas un vœu pieux. Elle signifie que si un de vos collaborateurs utilise ChatGPT sans formation documentée, et qu'un incident survient, votre entreprise ne pourra pas se prévaloir de la bonne foi — la loi exige que vous ayez formé votre personnel.

Une vidéo du cabinet Dipeeo (janvier 2026) qui détaille précisément les obligations AI Act par date pour les entreprises déployant ChatGPT — recommandée pour vos équipes juridiques et DPO.

Risques sectoriels : ce que la généralisation ignore

Les risques juridiques ne sont pas identiques selon votre secteur. Un cabinet d'avocats, une clinique et une agence marketing n'ont pas le même profil d'exposition face à ChatGPT.

Santé et médico-social

Risque principal
Données de santé = catégorie spéciale RGPD Art. 9
Ce que ça signifie
Interdiction de principe de traitement, base légale renforcée (consentement explicite ou dérogation Art. 9.2)
Scénario à risque
Saisir un dossier patient, des notes médicales ou un CRO dans ChatGPT
Recommandation
Interdire ChatGPT sur données médicales — utiliser des solutions certifiées HDS (Hébergement Données de Santé)

RH et recrutement

Risque principal
Biais algorithmiques dans la sélection + RGPD sur données candidats
Ce que ça signifie
Décisions automatisées sur des personnes (tri CV) = Art. 22 RGPD : droit d'opposition, obligation d'intervention humaine
Scénario à risque
Faire noter des CVs par ChatGPT sans supervision humaine et sans information des candidats
Recommandation
Validation humaine systématique + information des candidats dans la politique de confidentialité de recrutement

Finance et banque

Risque principal
Secret bancaire + données financières confidentielles
Ce que ça signifie
L'art. L.511-33 CMF interdit la divulgation d'informations confidentielles sur les clients — même en interne à un outil tiers non encadré
Scénario à risque
Analyser des situations financières clients, des bilans ou des stratégies d'investissement dans ChatGPT Free
Recommandation
Restreindre à ChatGPT Enterprise avec DPA + anonymisation préalable des données clients

Professions réglementées (avocats, notaires, experts-comptables)

Risque principal
Secret professionnel absolu
Ce que ça signifie
Violation du secret professionnel = sanction disciplinaire + pénale (Art. 226-13 Code pénal : 1 an prison + 15 000 €)
Scénario à risque
Rédiger une consultation, un acte ou un bilan en soumettant les données du client à ChatGPT
Recommandation
Utiliser uniquement des solutions IA déployées localement (on-premise) ou avec engagement contractuel de non-réutilisation renforcé

💡 Bon à savoir : Les professions réglementées (avocats, notaires, experts-comptables) sont soumises au secret professionnel absolu (Art. 226-13 Code pénal). Transmettre des informations clients à ChatGPT — même dans une version Enterprise — peut constituer une violation caractérisée, passible d'un an d'emprisonnement et de 15 000 € d'amende, indépendamment des sanctions RGPD.

Ce que dit le droit du travail sur ChatGPT et vos salariés

C'est l'angle que 0/5 concurrents traitent — pourtant il concerne directement la relation employeur/salarié.

Une analyse juridique récente (juillet 2026) sur les droits et obligations de l'employeur face à l'usage de l'IA par ses salariés — droit du travail, charte informatique, rôle du CSE.

Trois obligations concrètes pèsent sur l'employeur.

1

Information-consultation du CSE

Avant de déployer ChatGPT comme outil de travail à grande échelle, l'employeur doit informer et consulter le Comité Social et Économique (Code du travail, Art. L.2312-8). Le défaut d'information-consultation est un délit d'entrave (Art. L.2317-1), passible de prison et d'amende. Cette obligation est souvent oubliée par les directions qui déploient l'IA par circulaire interne.

2

Mise à jour de la charte informatique

La charte informatique existante ne mentionne probablement pas l'IA générative. Elle doit être mise à jour pour préciser : usages autorisés et interdits de ChatGPT, catégories de données qui ne peuvent pas être saisies, obligation de vérification des outputs avant diffusion, sanctions disciplinaires en cas de violation. Cette charte doit être annexée au règlement intérieur pour être opposable aux salariés. Depuis la loi de simplification du 27 mai 2026, le dépôt au greffe du conseil de prud'hommes n'est plus requis.

3

Formation à la littératie IA

Depuis le 2 février 2025, l'Art. 4 de l'AI Act impose que les déployeurs de systèmes d'IA s'assurent que les collaborateurs utilisant ces outils disposent d'un niveau de connaissance suffisant sur leurs capacités et limites. Cette formation n'est plus optionnelle : elle est légalement exigée, et son absence aggrave la responsabilité de l'employeur en cas d'incident.

Un employeur peut interdire unilatéralement ChatGPT sur les équipements professionnels, sans justification particulière, dès lors que l'interdiction est proportionnée et communiquée. En revanche, il ne peut pas surveiller les conversations d'un salarié sur son téléphone personnel — la vie privée est protégée (Art. 9 Code civil + RGPD).

Pour aller plus loin sur l'encadrement de l'IA dans votre organisation, consultez notre guide sur comment encadrer l'usage de l'IA en entreprise.

Checklist : 10 actions pour sécuriser votre exposition juridique

1

Inventaire des usages

Cartographier comment et par qui ChatGPT est utilisé dans l'entreprise — par service, par volume, par type de données saisies. Impossible de se protéger de ce qu'on ne voit pas.

2

Interdire les données personnelles sur les versions Free/Plus

Soit interdire formellement la saisie de données personnelles ou confidentielles dans ChatGPT Free et Plus, soit basculer vers ChatGPT Teams/Enterprise avec DPA signé.

3

Signer le DPA OpenAI Enterprise

Si vous utilisez ChatGPT Enterprise, vérifier que le Data Processing Agreement est signé et que l'opt-out d'entraînement est activé. Conserver une copie dans votre dossier de conformité.

4

Mettre à jour le registre des traitements

Ajouter un traitement « utilisation de ChatGPT / LLM » incluant base légale, catégories de données, sous-traitants, transferts hors UE et durée de rétention (RGPD Art. 30).

5

Informer les personnes concernées

Si ChatGPT traite des données de clients, candidats ou salariés, mettre à jour vos politiques de confidentialité pour inclure ce traitement (RGPD Art. 13/14).

6

Réviser et annexer la charte informatique

Mettre à jour la charte informatique pour couvrir l'IA générative et l'annexer au règlement intérieur. Depuis la loi de simplification du 27 mai 2026, le dépôt au greffe du conseil de prud'hommes n'est plus requis ; la transmission à l'Inspection du travail et la publicité auprès des salariés restent obligatoires.

7

Consulter le CSE

Si le déploiement est à grande échelle, organiser l'information-consultation du CSE avant le déploiement — pas après.

8

Former les équipes (obligation légale)

Organiser une formation à la littératie IA pour les collaborateurs utilisant ChatGPT — obligation AI Act Art. 4 depuis le 2 février 2025, enforcement par les autorités nationales à partir du 2 août 2026. Conserver les preuves de formation.

9

Réaliser une AIPD si nécessaire

Si votre usage implique des données sensibles à grande échelle (Art. 35 RGPD), réaliser une Analyse d'Impact relative à la Protection des Données avant de déployer.

10

Nommer un référent IA interne

Désigner un responsable (DPO, juriste ou DSI) qui suit l'évolution réglementaire, coordonne la mise en conformité et est l'interlocuteur en cas de contrôle CNIL.

Former ses équipes : obligation légale et bouclier juridique

L'Art. 4 de l'AI Act n'exige pas de former vos équipes pour qu'elles soient plus efficaces. Il l'impose pour que votre entreprise puisse prouver qu'elle a pris des mesures raisonnables pour prévenir les risques liés à l'utilisation de l'IA. En cas de contrôle ou d'incident, une entreprise qui peut produire des attestations de formation est dans une position radicalement différente de celle qui ne peut rien documenter.

La formation joue donc un double rôle : obligation légale active depuis le 2 février 2025 (enforcement autorités nationales au 2 août 2026) — et preuve de bonne foi en cas de contrôle. Un cabinet qui forme ses équipes à l'utilisation sécurisée de ChatGPT (données interdites, vérification des outputs, secret professionnel) se constitue un dossier de diligences que la CNIL prend en compte dans ses décisions de sanction.

À The Intelligence Academy, nous formons les équipes à l'utilisation professionnelle et conforme de l'IA générative — y compris les modules spécifiques sur le RGPD, les données confidentielles et la vérification critique des outputs. Nos formations sont certifiées Qualiopi, éligibles au financement par OPCO, et directement calibrées sur les obligations de l'AI Act Art. 4.

Découvrez notre formation ChatGPT en entreprise (sécurisation RGPD, usages avancés, configuration conforme) ou notre formation IA certifiée Qualiopi — et consultez notre guide sur le financement via les OPCO.

Découvrez nos formations IA

Sources et références

  • AGN Avocats (2025) — Obligations AI Act pour les entreprises utilisatrices, calendrier 2025-2026
  • CNIL LINC — Dossier IA générative : fonctionnement de ChatGPT et enjeux RGPD
  • MonExpertRGPD (2025) — Condamnation d'OpenAI par la Garante italienne à 15 M€
  • INSEE (octobre 2025) — Adoption de l'IA dans les entreprises françaises, données 2024
  • CNIL — Bilan des sanctions 2025 : 259 décisions, 486 M€ d'amendes cumulées
  • service-public.gouv.fr (octobre 2025) — AI Act : calendrier des obligations pour les entreprises (août 2024, février 2025, août 2026)
  • Bpifrance Le Lab (juin 2025) — « L'IA dans les PME et ETI françaises : une révolution tranquille » — 54 % des adoptants utilisent des solutions gratuites
  • AI Act — Article 4 — Obligation de littératie IA pour les fournisseurs et déployeurs de systèmes d'IA
  • Haas Avocats — Charte informatique IA et obligations de l'employeur

FAQ

ChatGPT est-il conforme au RGPD pour un usage professionnel ?

Ça dépend de la version. ChatGPT Free et Plus ne sont pas conformes pour un usage professionnel impliquant des données personnelles : pas de DPA disponible, données potentiellement utilisées pour l'entraînement, serveurs américains sans garanties suffisantes. ChatGPT Teams et Enterprise offrent un DPA, l'opt-out d'entraînement garanti contractuellement, et une option de localisation UE — ce qui permet une conformité RGPD sous conditions (registre mis à jour, information des personnes, AIPD si nécessaire).

Quelles sont les sanctions maximales encourues pour mauvaise utilisation de ChatGPT ?

Deux régimes peuvent s'appliquer simultanément. RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé). AI Act : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour violation des pratiques interdites ; jusqu'à 15 millions d'euros ou 3 % du CA pour non-conformité aux obligations des systèmes à haut risque. Une même violation peut déclencher les deux régimes cumulativement.

ChatGPT a-t-il été suspendu en entreprise en France ?

En France, aucune suspension réglementaire nationale de ChatGPT n'a été prononcée. En revanche, la Garante italienne (autorité équivalente à la CNIL) a temporairement interdit ChatGPT en Italie en mars 2023 — interdit levé après mise en conformité partielle par OpenAI. Des entreprises individuelles (Samsung en tête, suivi de Goldman Sachs, Apple et d'autres) ont unilatéralement interdit ChatGPT à leurs employés après des incidents de fuite de données. En France, certaines administrations publiques ont aussi restreint l'accès.

L'employeur peut-il interdire ChatGPT à ses salariés ?

Oui, unilatéralement et sans justification particulière, dès lors que l'interdiction est proportionnée et portée à la connaissance des salariés via la charte informatique. Cette interdiction doit être intégrée au règlement intérieur pour être opposable et permettre des sanctions disciplinaires. L'employeur ne peut en revanche pas contrôler l'usage de ChatGPT sur le téléphone personnel du salarié — la vie privée reste protégée.

Doit-on former ses salariés à l'IA selon la loi ?

Oui. L'Art. 4 du Règlement UE 2024/1689 (AI Act) applicable depuis le 2 février 2025 impose une obligation de « littératie IA » : les déployeurs de systèmes d'IA (dont les entreprises utilisant ChatGPT) doivent s'assurer que leurs collaborateurs comprennent le fonctionnement, les capacités et les limites de l'outil. L'enforcement par les autorités nationales débute au 2 août 2026. Cette obligation est légale — pas seulement éthique — et son respect doit être documenté (attestations de formation conservées).

Peut-on utiliser ChatGPT pour analyser des données de salariés (RH) ?

Avec de très fortes précautions. Les données de salariés sont des données personnelles soumises au RGPD. Leur traitement via ChatGPT nécessite une base légale (Art. 6), l'information des salariés, et l'inscription au registre des traitements. Si l'usage implique des décisions automatisées (tri, évaluation), l'Art. 22 RGPD s'applique : droit d'opposition et obligation d'intervention humaine. Depuis août 2026, les systèmes RH à haut risque sont soumis aux obligations renforcées de l'AI Act.

Comment documenter la conformité de mon entreprise sur ChatGPT ?

Quatre documents constituent le dossier de conformité minimal : (1) mise à jour du registre des traitements (RGPD Art. 30) incluant l'usage de ChatGPT — base légale, catégories de données, sous-traitants, transferts ; (2) charte informatique révisée avec règles d'usage de l'IA, annexée au règlement intérieur (le dépôt au greffe prud'homal n'est plus requis depuis la loi du 27 mai 2026) ; (3) DPA signé avec OpenAI si vous utilisez Teams/Enterprise ; (4) attestations de formation à la littératie IA de vos collaborateurs (obligation AI Act Art. 4 depuis février 2025).

Conclusion

Le risque juridique de ChatGPT en entreprise n'est pas une probabilité lointaine — c'est une réalité documentée par une condamnation à 15 M€, 486 M€ d'amendes CNIL en 2025, et un règlement européen dont deux articles sont déjà applicables aujourd'hui. La bonne nouvelle : la conformité est accessible, progressive et ne nécessite pas d'abandonner l'IA. Elle nécessite de l'encadrer.

L'équation est simple : une entreprise qui a signé un DPA, mis à jour son registre, révisé sa charte informatique et formé ses équipes dispose d'un dossier de diligences qui la distingue fondamentalement de celle qui n'a rien fait. Et depuis février 2025, cette dernière est en infraction.

📩 Recevoir la brochure gratuite