Intelligence artificielle, ChatGPT et RGPD

5/5/2026
Tous les guides
⚒️ Outils

📅 Dernière mise à jour : 9 janvier 2026
⏱️ Temps de lecture : 15 minutes
🔄 Mise à jour majeure (janvier 2026) : Cet article a été entièrement actualisé avec les dernières évolutions d'OpenAI : DPA 2026, ChatGPT Enterprise, data residency, conformité RGPD renforcée, et intégration AI Act.

En janvier 2026, ChatGPT compte plus de 180 millions d'utilisateurs et 5 millions d'entreprises clientes dans le monde. Depuis son lancement fracassant en novembre 2022, l'outil d'OpenAI a profondément transformé le paysage professionnel et soulevé des questions cruciales sur la protection des données personnelles et la conformité RGPD.

Bonne nouvelle : OpenAI a considérablement amélioré sa conformité RGPD depuis 2023. L'entreprise propose désormais un DPA (Data Processing Addendum), des offres ChatGPT Enterprise et Business avec garanties renforcées, et un hébergement de données en Europe. Mais la question demeure : ChatGPT est-il vraiment conforme au RGPD en 2026 ? La réponse est plus nuancée qu'un simple oui ou non.

ChatGPT et RGPD en chiffres (2025-2026)

Adoption mondiale qui prend de l'ampleur :

  • 180 millions d'utilisateurs actifs mensuels
  • 5 millions d'entreprises clients (août 2025)
  • 600 millions de visiteurs mensuels
  • 67% des entreprises françaises utilisent ChatGPT sans AIPD

Quelques mises à jour pour la conformité :

  • DPA disponible depuis 2024 (Data Processing Addendum)
  • SOC 2 type 2 + ISO 27001/27017/27018/27701 certifiés
  • Data residency : données herbegeables en UE (Europe, UK)
  • ChatGPT Enterprise : pas d'utilisation pour entraînement de modèle

Risques persistants :

  • 63% des données ChatGPT contiennent des infos personnelles identifiables (étude UE 2024)
  • Seulement 22% des utilisateurs connaissent les paramètres de confidentialité
  • Non-conformité RGPD de la version gratuite (conservation illimitée, manque transparence)

Dans ce guide actualité en janvier 2026, vous découvrirez :

  • Les évolutions majeures d'OpenAI depuis 2023
  • ChatGPT gratuit vs Business vs Enterprise : différences RGPD
  • Comment utiliser ChatGPT en conformité (DPA, AIPD, bonnes pratiques)
  • Les risques persistants et comment les mitiger
  • AI Act + RGPD : les nouvelles obligation 2026

1 - Rappel des grands principes du RGPD et de l'IA

Le Règlement Général sur la Protection des Données (RGPD) a pour objectifs de renforcer les droits des individus sur leurs données personnelles et de responsabiliser les entreprises qui les traitent. La conformité RGPD n'est pas une option ; depuis mai 2018, tout organisme traitant des données personnelles de résidents de l'UE doit s'y conformer, qu'il soit européen ou non.

Le droit des personnes sur leurs données personnelles

Le RGPD renforce les droits des individus sur leurs données personnelles :

  • Droit d'accès : savoir quelles données sont traitées et pourquoi
  • Droit de rectification : corriger les données inexactes
  • Droit d'effacement ("droit à l'oubli") : faire supprimer ses données
  • Droit à la portabilité : récupérer ses données dans un format lisible
  • Droit d'opposition : refuser certains traitements

Les règles d'utilisation des données personnelles par l'organisme

Les organismes doivent respecter des principes fondamentaux :

  • Licéité, loyauté et transparence : traitement basé sur une des 6 bases légales (consentement, contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime)
  • Limitation des finalités : les données collectées ne peuvent être utilisées qu'aux fins déclarées
  • Minimisation des données : ne collecter que le strict nécessaire
  • Exactitude : maintenir des données à jour
  • Limitation de la conservation : ne pas conserver les données au-delà du nécessaire
  • Intégrité et confidentialité : protéger les données contre les accès non autorisés

L'accountability impose aux responsables de traitement de démontrer leur conformité (registre de traitement, AIPD, formation des équipes, etc.).

Les principes de l'intelligence artificielle

L'intelligence artificielle — et ChatGPT en particulier — crée de nouveaux défis pour la conformité RGPD :

  • Transparence algorithmique : les personnes doivent être informées des traitements automatisés
  • Droit à l'explication : en cas de prise de décision automatisée significative, les personnes concernées ont le droit d'obtenir une explication humaine
  • Minimisation et finalité : les données utilisées pour entraîner ou alimenter un modèle IA doivent être minimisées et utilisées conformément à leur finalité initiale
  • Sécurité des modèles : les modèles IA qui traitent des données personnelles doivent être sécurisés contre les risques d'extraction non autorisée (model inversion attacks, prompt injection)

Les évolution 2023-2026 : qu'est-ce qui a changé ?

Depuis la publication de cet article en 2023, plusieurs évolutions majeures ont profondément modifié le paysage :

  • OpenAI a signé un DPA (Data Processing Addendum) disponible pour les comptes Business et Enterprise depuis 2024, répondant à l'une des principales critiques du CEPD
  • ChatGPT Enterprise est disponible avec des garanties RGPD renforcées : hébergement en Europe, pas d'entraînement sur les données clients, SOC 2 type 2 et ISO 27001
  • L'AI Act est entré en vigueur en août 2024, avec ses premières obligations sur les modèles d'IA à usage général comme ChatGPT
  • La CNIL a publié ses recommandations IA (2024-2025) précisant comment utiliser les outils d'IA générative en conformité RGPD, notamment l'obligation de réaliser une AIPD pour les usages à risque élevé

2 - ChatGPT et RGPD 2026 : Etat des lieux actualisé

En 2026, la conformité RGPD de ChatGPT dépend essentiellement de la version utilisée. Il n'existe pas de réponse unique — la version gratuite, Business et Enterprise présentent des profils RGPD radicalement différents.

ChatGPT gratuit vs Business vs Enterprise : le comparatif RGPD selon Leto

Voici les différentes option que propose aujourd'hui ChatGPT et les dernières mises à jour, notre verdict RGPD pour chaque version.

Version gratuite : Déconseillée en entreprise — Pas de DPA disponible, données conservées indéfiniment, entraînement du modèle par défaut, manque de transparence sur les sous-traitants, transferts hors UE sans garanties suffisantes.

ChatGPT Business (25€/utilisateur/mois) : Utilisable avec précautions — DPA disponible, pas d'entraînement sur vos données, certifications SOC 2 type 2 et ISO 27001. Convient pour les PME avec des données non sensibles, sous réserve d'AIPD.

ChatGPT Enterprise (sur devis) : Le plus conforme RGPD — Toutes les garanties Business + Data Residency Europe, support dédié, SSO enterprise, contrôle avancé de la conservation. Recommandé pour ETI et grands comptes traitant des données sensibles.

ChatGPT Gratuit : Les risques RGPD persistants

Malgré les progrès d'OpenAI, la version gratuite de ChatGPT présente encore des risques RGPD significatifs en entreprise :

1. Absence de DPA (Data Processing Addendum)

Sans DPA, ChatGPT ne peut pas être utilisé légalement en entreprise pour traiter des données personnelles au sens du RGPD. Un DPA est le contrat qui régit la relation sous-traitant/responsable de traitement. OpenAI ne propose pas de DPA pour la version gratuite — seules les versions Business et Enterprise y ont accès.

2. Entraînement du modèle (sauf opt-out)

Par défaut, les conversations ChatGPT Free sont utilisées pour améliorer les modèles d'OpenAI. Cela signifie que les données que vous saisissez — y compris des données personnelles — peuvent être utilisées pour l'entraînement. Un opt-out est disponible dans les paramètres (Settings > Data Controls > Improve the model), mais il doit être activé manuellement et n'est pas rétroactif.

3. Conservation illimitée des données

OpenAI conserve les conversations de la version gratuite sans limite de durée définie. Cette absence de politique de conservation claire contrevient au principe de "limitation de la conservation" du RGPD (article 5§1e).

4. Manque de transparence

Les politiques de confidentialité d'OpenAI pour la version gratuite restent insuffisamment détaillées sur les sous-traitants utilisés, les finalités exactes du traitement et les garanties de transfert de données hors UE.

5. Transferts de données Hors UE

Les données des utilisateurs de ChatGPT Free sont hébergées et traitées aux États-Unis. OpenAI s'appuie sur les clauses contractuelles types (CCT) de la Commission européenne pour légaliser ces transferts, mais certaines autorités de protection des données européennes ont exprimé des réserves sur leur suffisance.

6. Hallucinations et données inexactes

ChatGPT peut générer des informations incorrectes sur des personnes réelles (hallucinations). Cela pose un problème RGPD spécifique : le principe d'exactitude des données (article 5§1d) impose que les données personnelles soient exactes et tenues à jour. Si ChatGPT génère des informations fausses sur une personne, qui est responsable ?

ChatGPT Business / Enterprise : Les Garanties RGPD

Les versions payantes de ChatGPT offrent des garanties substantiellement meilleures pour la conformité RGPD :

1. DPA disponible

OpenAI propose désormais un Data Processing Addendum complet pour les comptes Business et Enterprise. Ce DPA v2026 est disponible sur openai.com/policies/data-processing-addendum. Il couvre les obligations RGPD essentielles : finalités du traitement, mesures de sécurité, conditions de sous-traitance, droits des personnes concernées, procédure de notification des violations.

2. Pas d'entraînement sur vos Données (Par défaut)

Avec ChatGPT Business et Enterprise, vos données ne sont jamais utilisées pour entraîner les modèles d'OpenAI, par défaut et sans manipulation des paramètres. C'est une garantie contractuelle incluse dans le DPA.

3. Data Residency (hébergement Europe)

ChatGPT Enterprise propose une option Data Residency permettant de localiser le traitement et le stockage des données en Europe (UE et UK). Cette option est particulièrement importante pour les organisations soumises à des exigences strictes de souveraineté des données (secteur public, banque, santé).

4. Contrôle de la conservation des données

ChatGPT Enterprise permet de configurer des politiques de rétention des données, avec suppression automatique après des durées définies. Cela permet de respecter le principe de limitation de conservation du RGPD.

5. Certifications et Audits

OpenAI a obtenu et maintient les certifications SOC 2 type 2, ISO 27001, ISO 27017, ISO 27018 et ISO 27701. Ces certifications, auditées annuellement par des tiers indépendants, attestent du niveau de maturité de la gestion de la sécurité et de la vie privée.

3 - Guide Pratique : commet utiliser ChatGPT en conformité RGPD ?

Voici les 8 étapes concrètes pour utiliser ChatGPT (Business ou Enterprise) en conformité avec le RGPD au sein de votre organisation.

Étape 1 : Choisir la version Business ou Enterprise

La première décision est le choix de la version. ChatGPT Business convient aux PME et TPE avec des données non sensibles et un budget limité (25€/utilisateur/mois). ChatGPT Enterprise est recommandé pour les ETI et grands comptes traitant des données sensibles (santé, finance, RH), avec des exigences de souveraineté des données, ou avec plus de 100 utilisateurs. La version gratuite ne doit jamais être utilisée pour des données personnelles en contexte professionnel.

Étape 2 : Signer le DPA

Une fois le compte Business ou Enterprise créé, la signature du DPA est obligatoire avant tout traitement de données personnelles. Rendez-vous sur openai.com/policies/data-processing-addendum, complétez le formulaire, et OpenAI vous renvoie le DPA signé sous 5 à 10 jours ouvrables. Conservez ce DPA signé dans votre registre des sous-traitants et dans votre documentation de conformité.

Étape 3 : Activer Data Residency Europe

Pour les organisations soumises à des exigences strictes, activez l'option Data Residency Europe dans les paramètres de votre compte Enterprise. Cela localise le traitement et le stockage de vos données en Europe, éliminant le risque de transfert hors UE pour vos données d'entreprise. Vérifiez avec votre responsable de compte OpenAI les modalités d'activation et les implications contractuelles.

Étape 4 : Réaliser une AIPD (Analyse d'Impact)

L'utilisation de ChatGPT pour des traitements impliquant des données sensibles, du profilage automatisé, ou des décisions ayant un impact significatif sur des personnes physiques nécessite une AIPD (Analyse d'Impact relative à la Protection des Données). Selon les recommandations de la CNIL 2024, une AIPD est notamment obligatoire pour l'utilisation de l'IA générative dans les processus RH, médicaux, ou judiciaires.

Étape 5 : Documenter dans le registre de traitements

Ajoutez l'utilisation de ChatGPT comme traitement de données personnelles dans votre registre de traitements. Documentez : la finalité (ex : assistance rédactionnelle, génération de code, support client), la base légale, les catégories de données traitées, les mesures de sécurité, la durée de conservation, et les sous-traitants (OpenAI + ses propres sous-traitants listés dans le DPA).

Étape 6 : Informer les personnes concernées

Si vous utilisez ChatGPT pour traiter des données personnelles de clients, patients, salariés ou autres personnes, mettez à jour votre politique de confidentialité pour mentionner explicitement l'utilisation de ChatGPT (OpenAI) comme sous-traitant, les finalités, les garanties, et les droits des personnes concernées.

Étape 7 : Former et sensibiliser vos équipes aux bonnes pratiques

La conformité RGPD de ChatGPT dépend autant des comportements humains que des garanties contractuelles. Formez vos collaborateurs sur :

  • Ne jamais saisir de données sensibles (santé, numéro de sécurité sociale, données bancaires) dans ChatGPT, même en version Enterprise
  • Ne pas utiliser le nom complet + données identifiantes d'une personne sans nécessité
  • Toujours vérifier et valider les informations générées par ChatGPT avant utilisation (risque d'hallucination)
  • Signaler tout incident ou utilisation anormale au DPO

Étape 8 : Mettre en place un process d'incident

En cas de violation de données impliquant ChatGPT (ex : saisie accidentelle de données sensibles, accès non autorisé à un compte), vous devez être en mesure de notifier la CNIL dans les 72 heures si le risque pour les personnes est élevé (article 33 RGPD). Vérifiez que votre processus de gestion des incidents couvre explicitement les outils IA tiers.

Encadrer ChatGPT via l'audit de la chaîne sous-traitants

OpenAI lui-même fait appel à des sous-traitants (Microsoft Azure pour l'infrastructure, etc.). Votre DPA avec OpenAI couvre-t-il ces sous-traitants ? Vérifiez la liste des sous-traitants d'OpenAI (publiée dans leur documentation) et construire un véritable audit IA sur ce sous-traitant : DPA signé, mesures techniques et organisationnelles, liste des sous-sous-traitants, certifications, procédure de notification d'incident.

4- AI Act + RGPD : Nouvelles Obligations 2026

L'AI Act européen est entré en vigueur en août 2024. ChatGPT, en tant que modèle d'IA à usage général (GPAI), est directement concerné par ses nouvelles obligations. Pour les entreprises utilisatrices, l'AI Act s'ajoute — sans se substituer — aux obligations du RGPD.

ChatGPT est-il soumis à l'AI Act ?

Oui. OpenAI doit se conformer aux obligations applicables aux fournisseurs de modèles GPAI depuis août 2024 :

  • Documentation technique : publier une documentation détaillée sur les capacités, les limitations, les données d'entraînement et les risques du modèle
  • Droits d'auteur : respecter le droit de la propriété intellectuelle et mettre en place des mécanismes pour que les ayants droit puissent s'opposer à l'utilisation de leurs œuvres pour l'entraînement
  • Marquage du contenu IA : marquer le contenu généré par IA (texte, images, audio, vidéo) de manière à permettre sa détection

Pour les entreprises qui utilisent ChatGPT :

  • Transparence utilisateur : informer clairement les utilisateurs finaux qu'ils interagissent avec un système d'IA (si applicable)
  • Surveillance humaine : maintenir une surveillance humaine sur les décisions significatives assistées par IA
  • Évaluation des risques : pour les usages "à haut risque" listés par l'AI Act (RH, éducation, soins de santé, infrastructure critique), des obligations renforcées s'appliquent

Leto vous accompagne dans votre conformité IA + RGPD

La conformité RGPD de ChatGPT est un risque ou non pour eux, et pour l'entreprise. Chez Leto, nous sensibilisons les équipes, aidons à choisir la bonne version, construisons les AIPD et registres associés, et accompagnons la mise en conformité complète IA + RGPD.

Chez Leto, nous sensibilisons les équipes via notre plateforme RGPD et notre assistant IA Hari, qui peut répondre à vos questions spécifiques sur l'utilisation de ChatGPT dans votre contexte. Voici la démarche à suivre :

  1. Audit de votre utilisation actuelle de ChatGPT (version utilisée, données traitées, usages)
  2. Choix et déploiement de la version adaptée (Business ou Enterprise)
  3. Signature du DPA avec OpenAI
  4. Réalisation de l'AIPD si nécessaire
  5. Mise à jour du registre des traitements et des politiques de confidentialité
  6. Formation des équipes sur les bonnes pratiques

Demandez une démonstration personnalisée pour voir comment Leto simplifie votre conformité IA + RGPD.

Pour aller plus loin

Questions fréquentes sur ChatGPT et le RGPD

ChatGPT est-il conforme au RGPD en 2026 ?

Cela dépend de la version utilisée. ChatGPT Enterprise et Business proposent un DPA, des certifications SOC 2 et ISO 27001, et un hébergement en Europe. La version gratuite reste déconseillée en entreprise car elle ne dispose pas de DPA et conserve les conversations indéfiniment.

Quelle version de ChatGPT choisir pour être conforme au RGPD ?

ChatGPT Business (25€/utilisateur/mois) convient aux PME et TPE pour des données non sensibles. ChatGPT Enterprise (sur devis) est recommandé pour les ETI et grands comptes traitant des données sensibles. La version gratuite est déconseillée pour tout usage professionnel impliquant des données personnelles.

Comment signer un DPA avec OpenAI pour ChatGPT ?

Il faut créer un compte ChatGPT Business ou Enterprise, puis remplir le formulaire DPA disponible sur openai.com/policies/data-processing-addendum. OpenAI renvoie le DPA signé sous 5 à 10 jours. La version 2026 du DPA est effective depuis janvier 2026.

ChatGPT utilise-t-il mes données pour entraîner ses modèles ?

Avec ChatGPT Enterprise, vos données ne sont jamais utilisées pour l'entraînement. Sur la version gratuite, c'est le cas par défaut mais vous pouvez le désactiver dans Settings > Data Controls > Improve the model for everyone. ChatGPT Business offre également cette garantie.

Faut-il réaliser une AIPD pour utiliser ChatGPT en entreprise ?

Oui, une Analyse d'Impact sur la Protection des Données (AIPD) est obligatoire si vous traitez des données sensibles, effectuez du profilage automatisé ou de la surveillance à grande échelle via ChatGPT. Selon une étude, 67 % des entreprises françaises utilisent ChatGPT sans AIPD, ce qui constitue un risque de non-conformité.

ChatGPT est-il soumis à l'AI Act européen ?

Oui, ChatGPT est classé comme modèle d'IA à usage général et est soumis à l'AI Act depuis août 2024. OpenAI doit fournir une documentation technique, respecter les droits d'auteur et marquer le contenu généré par IA. Les entreprises utilisatrices doivent informer qu'elles utilisent l'IA et maintenir une surveillance humaine.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Comment utiliser Matomo en conformité avec le RGPD et les recommandations de la CNIL ?
13/2/2023
Pourquoi vous devriez utiliser Dropbox pour des données personnelles avec attention
1/10/2021
Comment sécuriser votre utilisation d’Office 365 vis à vis du RGPD ? 
2/11/2023
Shopify et RGPD : 5 Points à Vérifier Avant de Couler Votre Business !
21/3/2022
Saurez-vous comment utiliser HubSpot tout en respectant le RGPD ?
10/8/2021
GIF et RGPD : quand les images animées font trembler la conformité
19/3/2025

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026