AI FAQFAQ WORK IRL

Qui est responsable si un salarié met des données clients RGPD dans ChatGPT ?

📩 Pour nous contacter: redaction@frenchweb.fr

21/09/2025
1 minute de lecture

Lorsqu’un salarié saisit des données personnelles dans un outil d’IA tiers comme ChatGPT, la responsabilité revient à l’entreprise, en tant que responsable de traitement. Elle doit s’assurer que toute utilisation de données est conforme au RGPD et qu’aucune information sensible n’est communiquée hors du cadre contractuel. Le salarié peut être fautif et sanctionné, mais c’est l’entreprise qui est exposée à un risque de sanction réglementaire et à une perte de confiance de ses clients. Le fournisseur de l’IA, en tant que sous-traitant ou prestataire externe, ne peut être tenu responsable que si un contrat de traitement conforme au RGPD a été signé.

À faire :

  • Interdire explicitement dans la charte informatique et la politique RGPD l’usage d’IA publiques pour traiter des données personnelles.
  • Former les salariés aux risques de divulgation.
  • Mettre en place un monitoring technique (SSO, proxy, DLP) pour détecter les envois de données sensibles.
  • Proposer des alternatives internes conformes (IA souveraines, modèles déployés on-premise).

Références juridiques :

  • RGPD : article 5 (minimisation), article 32 (sécurité des données), article 44 (transferts hors UE).
  • Code du travail : article L.1222-4 (surveillance des salariés avec information préalable).
  • CNIL : recommandations sur l’usage des IA génératives (2023).

Solutions pratiques :

  • Rédiger une politique d’usage des IA génératives.
  • Restreindre techniquement l’accès aux plateformes externes depuis le réseau de l’entreprise.
  • Évaluer et contractualiser avec des prestataires qui garantissent l’absence de réutilisation des données saisies.
  • Prévoir une procédure d’alerte en cas d’incident de divulgation.
Suivez nous:
Les derniers articles par LA REDACTION DE FRENCHWEB.FR (tout voir)
Tags
21/09/2025
1 minute de lecture
© Copyright 2008 / 2025, DECODE MEDIA, The Innovation Media Company. All Rights Reserved
Bouton retour en haut de la page
Qui est responsable si un salarié met des données clients RGPD dans ChatGPT ?
Qui est responsable si un bot enregistre une réunion sans consentement ?
Jusqu’où va la responsabilité du DPO face à un Shadow AI dont il ignore l’existence ?
L’entreprise peut-elle être tenue responsable d’une fuite provenant d’un outil IA utilisé sans validation ?