La scène se répète dans des milliers de PME chaque jour. Un dirigeant reçoit un contrat fournisseur de 15 pages, le copie-colle dans ChatGPT et demande un résumé des points clés. En trente secondes, c'est fait. Gain de temps spectaculaire. Sauf que ce contrat contenait des montants, des noms de partenaires, des clauses de confidentialité. Et que ces informations viennent de quitter le périmètre de l'entreprise.
C'est une situation que je rencontre très régulièrement quand j'échange avec des dirigeants de PME, que ce soit lors de mes ateliers IA ou dans les réseaux d'entreprises où je suis active en Île-de-France. La plupart utilisent déjà l'IA au quotidien. Très peu se sont posé la question de ce qu'ils lui confient.
Cet article vous propose une méthode simple pour trancher, catégorie par catégorie. Une grille de décision concrète, pensée pour des dirigeants, que vous pourrez appliquer dès demain.
Comment fonctionne un LLM quand vous lui envoyez vos données
Un LLM (Large Language Model) comme ChatGPT, Claude ou Mistral fonctionne un peu comme un prestataire externe ultra-rapide. Vous lui envoyez du texte, il le traite et vous renvoie une réponse. La différence avec un prestataire humain, c'est que les conditions de confidentialité varient énormément selon l'outil que vous utilisez et la formule choisie.
Concrètement, quand vous tapez quelque chose dans la version gratuite de ChatGPT, vos échanges peuvent être utilisés pour améliorer le modèle. Autrement dit, des fragments de ce que vous écrivez peuvent, en théorie, influencer les réponses données à d'autres utilisateurs. Les versions professionnelles (ChatGPT Teams, Enterprise, les API d'Anthropic ou de Mistral) fonctionnent différemment : vos données ne servent pas à l'entraînement et sont soumises à des engagements de confidentialité plus stricts.
J'utilise souvent cette analogie avec mes clients : envoyer un texte dans un LLM grand public, c'est comme confier un document confidentiel à un prestataire dont vous n'avez pas lu le contrat. Vous ne feriez jamais ça avec un expert-comptable ou un avocat. Avec l'IA, le réflexe devrait être le même.
Les 5 types de données que vous manipulez au quotidien (et leur niveau de risque)
Tous les fichiers de votre entreprise ne présentent pas le même enjeu. Voici une grille de lecture adaptée aux PME de 5 à 50 salariés, pour décider rapidement ce que vous pouvez soumettre à une IA et ce qui doit rester en interne.
Données clients (contacts, historique, contrats)
Niveau de risque : élevé
Ce que vous pouvez faire : demander à l'IA de reformuler un email type de relance, ou d'analyser des tendances à partir de données anonymisées (sans noms ni emails). Vous pouvez aussi lui faire générer des trames de réponses commerciales à personnaliser ensuite.
Ce qui doit rester en interne : coller une base clients complète avec noms, emails et historique d'achat. Même chose pour un contrat nominatif contenant des conditions spécifiques. Ces données sont protégées par le RGPD et relèvent souvent du secret des affaires.
Données RH (salaires, arrêts, évaluations)
Niveau de risque : critique
Ce que vous pouvez faire : générer un modèle de fiche de poste générique, rédiger une trame d'entretien annuel, ou demander des conseils sur la formulation d'une offre d'emploi. Tant que vous ne communiquez aucune information nominative, le risque est quasi nul.
Ce qui doit rester en interne : soumettre un tableau de salaires avec les noms de vos collaborateurs, un compte-rendu d'entretien individuel, ou un dossier d'arrêt maladie. Ce sont des données personnelles sensibles au sens du RGPD. Une fuite pourrait avoir des conséquences juridiques et humaines sérieuses.
Données financières (bilans, trésorerie, devis)
Niveau de risque : élevé
Ce que vous pouvez faire : poser des questions générales (« comment lire un solde intermédiaire de gestion ? »), demander un modèle de devis vierge, ou faire reformuler des conditions générales de vente. L'IA excelle dans ce type de tâches génériques.
Ce qui doit rester en interne : envoyer un bilan complet, un prévisionnel chiffré avec votre nom de société, ou des relevés bancaires. Ces documents révèlent la santé financière de votre entreprise et pourraient être exploités par un concurrent ou un partenaire mal intentionné.
Données commerciales (stratégie, pricing, prospects)
Niveau de risque : moyen à élevé
Ce que vous pouvez faire : travailler sur une structure d'argumentaire commercial en utilisant des données fictives, ou demander à l'IA de vous aider à construire un pitch. C'est exactement le type de tâche où l'IA fait gagner un temps considérable.
Ce qui doit rester en interne : partager votre grille tarifaire réelle, un plan de conquête commerciale avec les noms de vos prospects, ou vos marges par produit. Votre stratégie commerciale est un actif de l'entreprise : traitez-la comme tel.
Contenus marketing (posts, brochures, présentations)
Niveau de risque : faible
Ce que vous pouvez faire : rédiger, reformuler et améliorer vos contenus destinés à être publiés (articles de blog, posts LinkedIn, brochures commerciales). Ces contenus sont par définition publics, donc le risque de fuite est minimal.
Ce qui doit rester en interne : soumettre un document interne déguisé en contenu marketing. Par exemple, une présentation interne qui contient des données stratégiques ou des chiffres confidentiels. Vérifiez toujours que le document ne contient pas de données sensibles embarquées.
Le principe directeur est simple : ne confiez jamais à une IA une information que vous ne seriez pas prêt à voir affichée sur un panneau dans la rue.
Les 3 réflexes à adopter avant d'envoyer quoi que ce soit à une IA
Chez Harakiwi, c'est le premier sujet qu'on aborde quand on accompagne une PME sur l'IA. Avant de parler d'outils ou d'automatisation, on parle d'hygiène. Trois réflexes suffisent à éliminer l'essentiel des risques.
1. Le test du panneau d'affichage
Avant de coller un texte dans un outil d'IA, posez-vous une question : si cette information était rendue publique demain, est-ce que cela poserait un problème ? Si la réponse est oui, ou même « peut-être », ne l'envoyez pas en l'état.
2. Anonymiser systématiquement
C'est le réflexe le plus simple et le plus efficace. Remplacez les noms de clients par des alias (« Client A », « Fournisseur B »), arrondissez les montants, supprimez les dates précises. L'IA n'a pas besoin de savoir que votre client s'appelle Dupont et qu'il a commandé pour 47 832 € le 14 mars pour vous aider à reformuler un email de relance.
Cette habitude prend quelques secondes et réduit drastiquement le risque.
3. Vérifier son outil et sa version
Tous les LLM ne se valent pas en matière de protection des données. Avant d'utiliser un outil dans un cadre professionnel, vérifiez trois points : est-ce que vos échanges sont utilisés pour entraîner le modèle ? Où sont hébergées les données (France, Europe, États-Unis, Chine) ? Quelle est la politique de conservation (combien de temps vos données sont-elles stockées) ?
Les versions gratuites grand public n'offrent généralement pas les mêmes garanties que les formules professionnelles. C'est un investissement modeste qui change considérablement le niveau de sécurité.
RGPD et AI Act : ce que la loi impose concrètement aux PME
Quelques principes suffisent pour utiliser l'IA de manière conforme. Je constate que la plupart des dirigeants que j'accompagne sous-estiment un point : le simple fait de coller des données personnelles dans un outil tiers constitue un traitement de données au sens du RGPD. C'est loin d'être anodin juridiquement.
Le RGPD s'applique aussi à vos usages de l'IA. Dès que vous soumettez des données personnelles (noms, emails, informations RH) à un outil tiers, cela implique un principe de minimisation (n'envoyez que le strict nécessaire), une obligation d'information si des données de clients ou salariés sont concernées, et une vigilance sur les transferts hors Union européenne.
L'AI Act entre progressivement en vigueur. Ce règlement européen, adopté en 2024, classe les systèmes d'IA par niveau de risque. Pour la majorité des usages en PME (aide à la rédaction, analyse de documents, automatisation de tâches), vous n'êtes pas dans la catégorie « haut risque ». En revanche, si vous utilisez l'IA pour prendre des décisions RH (tri de CV, évaluation de collaborateurs) ou pour du scoring client, des obligations de transparence et de documentation s'appliquent.
L'hébergement compte. Un outil qui traite vos données sur des serveurs en France ou en Europe vous place dans un cadre juridique plus simple et plus protecteur qu'un outil hébergé aux États-Unis ou en Chine. Ce n'est pas qu'une question de principe : c'est une question de conformité. C'est d'ailleurs un critère non négociable dans tous les projets que nous menons chez Harakiwi : les données de nos clients restent hébergées en France.
Les solutions concrètes pour utiliser l'IA sans exposer vos données
Utiliser les versions professionnelles des outils
ChatGPT Teams ou Enterprise, l'API Claude d'Anthropic, Mistral via API : ces formules garantissent que vos données ne sont pas utilisées pour l'entraînement des modèles. Le surcoût est modeste au regard du risque évité.
Privilégier un hébergement français ou européen
Mistral, hébergé en France, est une option à considérer sérieusement. Anthropic (Claude) propose également des déploiements via des partenaires cloud européens. Le choix de l'hébergement est un choix stratégique qui simplifie votre conformité RGPD.
Construire des agents IA qui travaillent sur vos données sans les exposer
L'approche la plus robuste consiste à ne jamais envoyer vos données brutes à un LLM. À la place, on construit une architecture où le LLM reçoit uniquement les extraits nécessaires, déjà filtrés et anonymisés, pour répondre à une question précise. Vos données sources restent dans vos systèmes internes.
Ce type de solution, souvent appelé RAG (Retrieval-Augmented Generation), est désormais accessible aux PME. Il ne s'agit plus d'un projet à plusieurs centaines de milliers d'euros réservé aux grands groupes. Avec les bons outils et le bon accompagnement, une PME peut mettre en place un agent IA performant et sécurisé en quelques semaines. C'est précisément ce que nous construisons au quotidien chez Harakiwi : des agents IA sur mesure, intégrés aux outils existants de nos clients, avec une documentation complète pour que l'entreprise reste autonome.
Former ses équipes
La technologie donne les meilleurs résultats quand vos collaborateurs ont les bons réflexes. Je le vois à chaque atelier que j'anime : le facteur humain est déterminant. Une formation de quelques heures sur les bonnes pratiques (anonymisation, choix de l'outil, types de données à garder en interne) peut éviter des incidents qui coûteraient bien plus cher.
En résumé
L'IA est un levier formidable pour les PME, à condition d'y aller avec méthode. La règle est simple : identifiez la sensibilité de vos données, anonymisez ce qui peut l'être, choisissez les bons outils et formez vos équipes.
Vous avez tout intérêt à utiliser l'IA dans votre entreprise. Il suffit de l'utiliser intelligemment.
.svg){kind=icon}
.svg){kind=icon}
.svg)
.svg)
.svg)
.svg)
.svg){kind=icon}