À retenir
- Trois régimes cumulatifs — RGPD (20 M€), AI Act (35 M€) et droit du travail : une même infraction peut déclencher les trois simultanément
- 31 % des TPE/PME françaises utilisent l'IA générative (Bpifrance, 2025), dont une majorité via des versions gratuites — exposition juridique massive et sous-estimée
- Depuis le 2 février 2025, l'Art. 4 de l'AI Act impose aux déployeurs de systèmes d'IA (dont les entreprises utilisant ChatGPT) de former leurs collaborateurs à la « littératie IA » — obligation légale, pas recommandation ; l'enforcement par les autorités nationales débute au 2 août 2026
- La Garante italienne a condamné OpenAI à 15 M€ : la jurisprudence IA est réelle, les entreprises utilisatrices sont elles aussi dans le viseur en tant que responsables de traitement
Un responsable des achats d'un cabinet d'expertise comptable envoie un mémo confidentiel à ChatGPT pour en obtenir un résumé. Trois jours plus tard, le DPO lui signale que ce document contenait des données personnelles de 47 salariés — transmises sur des serveurs américains, sans base légale, sans clause de confidentialité signée avec OpenAI, sans information préalable des personnes concernées. Le RGPD a été violé quatre fois en un clic.
Ce scénario n'est pas hypothétique. D'après Bpifrance Le Lab (juin 2025), parmi les PME et ETI françaises qui ont adopté l'IA, 54 % utilisent des solutions gratuites (ChatGPT, Gemini, Copilot version de base) — sans DPA, sans opt-out d'entraînement, sans registre des traitements mis à jour. Ce guide cartographie les risques juridiques réels de ChatGPT pour votre entreprise, les sanctions concrètes qui ont déjà été prononcées, et les actions à mener pour vous couvrir.
💡 Bon à savoir : En France, 31 % des TPE/PME utilisent déjà l'IA générative (Bpifrance, 2025), dont la majorité via ChatGPT Free ou Plus — sans Data Processing Agreement, sans registre des traitements mis à jour, et sans information des personnes concernées. C'est une exposition juridique massive, souvent ignorée.
Pourquoi l'exposition juridique est plus large qu'on ne le croit
Quand votre employé saisit des données dans ChatGPT, c'est votre entreprise qui devient responsable de traitement au sens du RGPD Art. 4.7 — pas OpenAI. Vous avez l'obligation de documenter ce traitement, d'informer les personnes concernées, de vous assurer qu'un Data Processing Agreement (DPA) est signé avec OpenAI, et de vérifier la localisation des serveurs. Sur les versions Free et Plus, aucune de ces conditions n'est remplie par défaut.
La plupart des articles sur ce sujet listent des risques. Aucun ne montre ce que ça coûte quand ça tourne mal — ni pourquoi le problème ne vient pas seulement de ChatGPT mais de votre propre statut juridique face à lui.
Selon l'INSEE (octobre 2025), 33 % des entreprises de 250 salariés et plus utilisent déjà au moins une technologie d'IA — et ce chiffre double chaque année. La massification de l'usage amplifie proportionnellement l'exposition.
ChatGPT Free, Teams ou Enterprise : la différence qui change tout pour votre RGPD
C'est la question que les DPO posent en premier et que 0/5 articles concurrents traitent sérieusement. La réponse est simple : seules les versions Teams et Enterprise permettent une conformité RGPD, grâce à un DPA disponible, un opt-out d'entraînement garanti, et une option de localisation UE. Les versions Free et Plus exposent immédiatement votre entreprise dès qu'une donnée personnelle est saisie.
Même avec ChatGPT Enterprise, votre entreprise reste responsable de traitement : vous devez mettre à jour votre registre des traitements (RGPD Art. 30), informer les personnes dont les données sont traitées (Art. 13/14) et réaliser une AIPD si les données sont sensibles (Art. 35). Le DPA signé avec OpenAI vous positionne en sous-traitant qualifié — il ne vous exonère pas de vos propres obligations.
Pour comparer les offres en détail, consultez notre article sur ChatGPT Business vs gratuit : quel plan choisir pour votre entreprise.
Les 6 risques juridiques à connaître — avec les montants réels
La plupart des articles listent ces risques comme une checklist. Voici ce que chacun peut coûter, avec une décision réelle ou une base légale précise.
RGPD — violation de données personnelles
Secret des affaires — fuite de données confidentielles
Propriété intellectuelle — droits d'auteur
Responsabilité civile — hallucinations et contenus erronés
Discrimination algorithmique — RH et crédit
Non-conformité AI Act — jusqu'à 35 M€
La jurisprudence IA est réelle : la condamnation d'OpenAI à 15 M€
Voici le précédent que vos concurrents ne citent pas.
En début 2025, la Garante italienne — équivalent de la CNIL en Italie — a condamné OpenAI à 15 millions d'euros d'amende pour violations multiples du RGPD. Les manquements retenus : absence de notification de la violation de données de mars 2023 (9 heures d'exposition de données bancaires), absence de base légale pour le traitement des données d'entraînement, politique de confidentialité insuffisante, et protection inadéquate des mineurs. OpenAI a également été contraint de financer une campagne de communication institutionnelle obligatoire sur le fonctionnement de ChatGPT.
Ce qui compte pour votre entreprise : cette décision prouve que le RGPD s'applique concrètement à l'IA générative. Et si OpenAI — avec ses équipes juridiques — a été condamné pour des manquements à ses propres obligations de fournisseur, les entreprises utilisatrices qui ne remplissent pas les leurs (registre, DPA, information des personnes) sont encore plus exposées.
La CNIL française a prononcé 259 décisions en 2025, dont 83 sanctions pour un total de 486 839 500 euros — deux amendes géantes de 325 M€ et 150 M€ pour traçage sans consentement. Aucune sanction nominative ciblant un utilisateur de ChatGPT n'est publiée à ce jour, mais la CNIL a engagé des procédures de contrôle sur l'IA générative dès 2023 et a publié ses recommandations pratiques en juin 2025.
💡 Bon à savoir : La CNIL a publié en juin 2025 un guide pratique sur l'utilisation de l'IA générative en entreprise. Ce document précise les conditions dans lesquelles un traitement via ChatGPT ou un autre LLM peut être qualifié de licite — et constitue le référentiel officiel pour construire votre dossier de conformité.
Calendrier AI Act 2024-2026 : vos obligations par date
L'AI Act est le règlement que 4/5 articles concurrents ignorent — parce qu'ils ont été écrits en 2023, avant son entrée en vigueur. Depuis le 2 février 2025, l'Art. 4 de l'AI Act impose aux déployeurs de systèmes d'IA (dont les entreprises utilisant des outils comme ChatGPT) de prendre des mesures pour garantir un niveau suffisant de littératie IA de leur personnel. Ce n'est pas une recommandation : c'est une obligation inscrite dans le règlement européen. L'enforcement par les autorités nationales débute au 2 août 2026, ce qui rend l'anticipation indispensable — le non-respect pourra être sanctionné jusqu'à 35 M€.
L'obligation de littératie IA (Art. 4) n'est pas un vœu pieux. Elle signifie que si un de vos collaborateurs utilise ChatGPT sans formation documentée, et qu'un incident survient, votre entreprise ne pourra pas se prévaloir de la bonne foi — la loi exige que vous ayez formé votre personnel.
Risques sectoriels : ce que la généralisation ignore
Les risques juridiques ne sont pas identiques selon votre secteur. Un cabinet d'avocats, une clinique et une agence marketing n'ont pas le même profil d'exposition face à ChatGPT.
💡 Bon à savoir : Les professions réglementées (avocats, notaires, experts-comptables) sont soumises au secret professionnel absolu (Art. 226-13 Code pénal). Transmettre des informations clients à ChatGPT — même dans une version Enterprise — peut constituer une violation caractérisée, passible d'un an d'emprisonnement et de 15 000 € d'amende, indépendamment des sanctions RGPD.
Ce que dit le droit du travail sur ChatGPT et vos salariés
C'est l'angle que 0/5 concurrents traitent — pourtant il concerne directement la relation employeur/salarié.
Trois obligations concrètes pèsent sur l'employeur.
Information-consultation du CSE
Avant de déployer ChatGPT comme outil de travail à grande échelle, l'employeur doit informer et consulter le Comité Social et Économique (Code du travail, Art. L.2312-8). Le défaut d'information-consultation est un délit d'entrave (Art. L.2317-1), passible de prison et d'amende. Cette obligation est souvent oubliée par les directions qui déploient l'IA par circulaire interne.
Mise à jour de la charte informatique
La charte informatique existante ne mentionne probablement pas l'IA générative. Elle doit être mise à jour pour préciser : usages autorisés et interdits de ChatGPT, catégories de données qui ne peuvent pas être saisies, obligation de vérification des outputs avant diffusion, sanctions disciplinaires en cas de violation. Cette charte doit être annexée au règlement intérieur pour être opposable aux salariés. Depuis la loi de simplification du 27 mai 2026, le dépôt au greffe du conseil de prud'hommes n'est plus requis.
Formation à la littératie IA
Depuis le 2 février 2025, l'Art. 4 de l'AI Act impose que les déployeurs de systèmes d'IA s'assurent que les collaborateurs utilisant ces outils disposent d'un niveau de connaissance suffisant sur leurs capacités et limites. Cette formation n'est plus optionnelle : elle est légalement exigée, et son absence aggrave la responsabilité de l'employeur en cas d'incident.
Un employeur peut interdire unilatéralement ChatGPT sur les équipements professionnels, sans justification particulière, dès lors que l'interdiction est proportionnée et communiquée. En revanche, il ne peut pas surveiller les conversations d'un salarié sur son téléphone personnel — la vie privée est protégée (Art. 9 Code civil + RGPD).
Pour aller plus loin sur l'encadrement de l'IA dans votre organisation, consultez notre guide sur comment encadrer l'usage de l'IA en entreprise.
Checklist : 10 actions pour sécuriser votre exposition juridique
Inventaire des usages
Cartographier comment et par qui ChatGPT est utilisé dans l'entreprise — par service, par volume, par type de données saisies. Impossible de se protéger de ce qu'on ne voit pas.
Interdire les données personnelles sur les versions Free/Plus
Soit interdire formellement la saisie de données personnelles ou confidentielles dans ChatGPT Free et Plus, soit basculer vers ChatGPT Teams/Enterprise avec DPA signé.
Signer le DPA OpenAI Enterprise
Si vous utilisez ChatGPT Enterprise, vérifier que le Data Processing Agreement est signé et que l'opt-out d'entraînement est activé. Conserver une copie dans votre dossier de conformité.
Mettre à jour le registre des traitements
Ajouter un traitement « utilisation de ChatGPT / LLM » incluant base légale, catégories de données, sous-traitants, transferts hors UE et durée de rétention (RGPD Art. 30).
Informer les personnes concernées
Si ChatGPT traite des données de clients, candidats ou salariés, mettre à jour vos politiques de confidentialité pour inclure ce traitement (RGPD Art. 13/14).
Réviser et annexer la charte informatique
Mettre à jour la charte informatique pour couvrir l'IA générative et l'annexer au règlement intérieur. Depuis la loi de simplification du 27 mai 2026, le dépôt au greffe du conseil de prud'hommes n'est plus requis ; la transmission à l'Inspection du travail et la publicité auprès des salariés restent obligatoires.
Consulter le CSE
Si le déploiement est à grande échelle, organiser l'information-consultation du CSE avant le déploiement — pas après.
Former les équipes (obligation légale)
Organiser une formation à la littératie IA pour les collaborateurs utilisant ChatGPT — obligation AI Act Art. 4 depuis le 2 février 2025, enforcement par les autorités nationales à partir du 2 août 2026. Conserver les preuves de formation.
Réaliser une AIPD si nécessaire
Si votre usage implique des données sensibles à grande échelle (Art. 35 RGPD), réaliser une Analyse d'Impact relative à la Protection des Données avant de déployer.
Nommer un référent IA interne
Désigner un responsable (DPO, juriste ou DSI) qui suit l'évolution réglementaire, coordonne la mise en conformité et est l'interlocuteur en cas de contrôle CNIL.
Former ses équipes : obligation légale et bouclier juridique
L'Art. 4 de l'AI Act n'exige pas de former vos équipes pour qu'elles soient plus efficaces. Il l'impose pour que votre entreprise puisse prouver qu'elle a pris des mesures raisonnables pour prévenir les risques liés à l'utilisation de l'IA. En cas de contrôle ou d'incident, une entreprise qui peut produire des attestations de formation est dans une position radicalement différente de celle qui ne peut rien documenter.
La formation joue donc un double rôle : obligation légale active depuis le 2 février 2025 (enforcement autorités nationales au 2 août 2026) — et preuve de bonne foi en cas de contrôle. Un cabinet qui forme ses équipes à l'utilisation sécurisée de ChatGPT (données interdites, vérification des outputs, secret professionnel) se constitue un dossier de diligences que la CNIL prend en compte dans ses décisions de sanction.
À The Intelligence Academy, nous formons les équipes à l'utilisation professionnelle et conforme de l'IA générative — y compris les modules spécifiques sur le RGPD, les données confidentielles et la vérification critique des outputs. Nos formations sont certifiées Qualiopi, éligibles au financement par OPCO, et directement calibrées sur les obligations de l'AI Act Art. 4.
Découvrez notre formation ChatGPT en entreprise (sécurisation RGPD, usages avancés, configuration conforme) ou notre formation IA certifiée Qualiopi — et consultez notre guide sur le financement via les OPCO.
Découvrez nos formations IA
Sources et références
- AGN Avocats (2025) — Obligations AI Act pour les entreprises utilisatrices, calendrier 2025-2026
- CNIL LINC — Dossier IA générative : fonctionnement de ChatGPT et enjeux RGPD
- MonExpertRGPD (2025) — Condamnation d'OpenAI par la Garante italienne à 15 M€
- INSEE (octobre 2025) — Adoption de l'IA dans les entreprises françaises, données 2024
- CNIL — Bilan des sanctions 2025 : 259 décisions, 486 M€ d'amendes cumulées
- service-public.gouv.fr (octobre 2025) — AI Act : calendrier des obligations pour les entreprises (août 2024, février 2025, août 2026)
- Bpifrance Le Lab (juin 2025) — « L'IA dans les PME et ETI françaises : une révolution tranquille » — 54 % des adoptants utilisent des solutions gratuites
- AI Act — Article 4 — Obligation de littératie IA pour les fournisseurs et déployeurs de systèmes d'IA
- Haas Avocats — Charte informatique IA et obligations de l'employeur
FAQ
ChatGPT est-il conforme au RGPD pour un usage professionnel ?
Ça dépend de la version. ChatGPT Free et Plus ne sont pas conformes pour un usage professionnel impliquant des données personnelles : pas de DPA disponible, données potentiellement utilisées pour l'entraînement, serveurs américains sans garanties suffisantes. ChatGPT Teams et Enterprise offrent un DPA, l'opt-out d'entraînement garanti contractuellement, et une option de localisation UE — ce qui permet une conformité RGPD sous conditions (registre mis à jour, information des personnes, AIPD si nécessaire).
Quelles sont les sanctions maximales encourues pour mauvaise utilisation de ChatGPT ?
Deux régimes peuvent s'appliquer simultanément. RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé). AI Act : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour violation des pratiques interdites ; jusqu'à 15 millions d'euros ou 3 % du CA pour non-conformité aux obligations des systèmes à haut risque. Une même violation peut déclencher les deux régimes cumulativement.
ChatGPT a-t-il été suspendu en entreprise en France ?
En France, aucune suspension réglementaire nationale de ChatGPT n'a été prononcée. En revanche, la Garante italienne (autorité équivalente à la CNIL) a temporairement interdit ChatGPT en Italie en mars 2023 — interdit levé après mise en conformité partielle par OpenAI. Des entreprises individuelles (Samsung en tête, suivi de Goldman Sachs, Apple et d'autres) ont unilatéralement interdit ChatGPT à leurs employés après des incidents de fuite de données. En France, certaines administrations publiques ont aussi restreint l'accès.
L'employeur peut-il interdire ChatGPT à ses salariés ?
Oui, unilatéralement et sans justification particulière, dès lors que l'interdiction est proportionnée et portée à la connaissance des salariés via la charte informatique. Cette interdiction doit être intégrée au règlement intérieur pour être opposable et permettre des sanctions disciplinaires. L'employeur ne peut en revanche pas contrôler l'usage de ChatGPT sur le téléphone personnel du salarié — la vie privée reste protégée.
Doit-on former ses salariés à l'IA selon la loi ?
Oui. L'Art. 4 du Règlement UE 2024/1689 (AI Act) applicable depuis le 2 février 2025 impose une obligation de « littératie IA » : les déployeurs de systèmes d'IA (dont les entreprises utilisant ChatGPT) doivent s'assurer que leurs collaborateurs comprennent le fonctionnement, les capacités et les limites de l'outil. L'enforcement par les autorités nationales débute au 2 août 2026. Cette obligation est légale — pas seulement éthique — et son respect doit être documenté (attestations de formation conservées).
Peut-on utiliser ChatGPT pour analyser des données de salariés (RH) ?
Avec de très fortes précautions. Les données de salariés sont des données personnelles soumises au RGPD. Leur traitement via ChatGPT nécessite une base légale (Art. 6), l'information des salariés, et l'inscription au registre des traitements. Si l'usage implique des décisions automatisées (tri, évaluation), l'Art. 22 RGPD s'applique : droit d'opposition et obligation d'intervention humaine. Depuis août 2026, les systèmes RH à haut risque sont soumis aux obligations renforcées de l'AI Act.
Comment documenter la conformité de mon entreprise sur ChatGPT ?
Quatre documents constituent le dossier de conformité minimal : (1) mise à jour du registre des traitements (RGPD Art. 30) incluant l'usage de ChatGPT — base légale, catégories de données, sous-traitants, transferts ; (2) charte informatique révisée avec règles d'usage de l'IA, annexée au règlement intérieur (le dépôt au greffe prud'homal n'est plus requis depuis la loi du 27 mai 2026) ; (3) DPA signé avec OpenAI si vous utilisez Teams/Enterprise ; (4) attestations de formation à la littératie IA de vos collaborateurs (obligation AI Act Art. 4 depuis février 2025).
Conclusion
Le risque juridique de ChatGPT en entreprise n'est pas une probabilité lointaine — c'est une réalité documentée par une condamnation à 15 M€, 486 M€ d'amendes CNIL en 2025, et un règlement européen dont deux articles sont déjà applicables aujourd'hui. La bonne nouvelle : la conformité est accessible, progressive et ne nécessite pas d'abandonner l'IA. Elle nécessite de l'encadrer.
L'équation est simple : une entreprise qui a signé un DPA, mis à jour son registre, révisé sa charte informatique et formé ses équipes dispose d'un dossier de diligences qui la distingue fondamentalement de celle qui n'a rien fait. Et depuis février 2025, cette dernière est en infraction.
