« ChatGPT est-il conforme au RGPD ? »
C’est probablement l’une des questions que l’on me pose le plus souvent.
Elle revient sous différentes formes : Claude est-il plus sûr ? Mistral est-il préférable parce qu’il est européen ? Copilot offre-t-il davantage de garanties parce qu’il est intégré à l’environnement Microsoft ?
Ces questions sont légitimes. Pourtant, elles sont souvent insuffisantes car deux entreprises utilisant exactement le même outil peuvent présenter des niveaux de risque totalement différents.
La première sait précisément quels collaborateurs utilisent l’outil, quelles données y sont transmises, quels accès ont été accordés et quelles règles encadrent les usages.
La seconde utilise le même outil sans réellement savoir quelles informations circulent, quels connecteurs ont été activés, quelles données sont accessibles via ces connexions ou quels nouveaux flux se sont progressivement créés dans son environnement numérique.
Dans ce contexte, le problème n’est pas uniquement le fournisseur choisi.
La véritable difficulté est souvent ailleurs : les organisations perdent progressivement de la visibilité sur leurs usages réels. Or une organisation ne peut pas gouverner efficacement ce qu’elle ne voit plus.
Elle ne peut pas non plus démontrer la maîtrise de flux qu’elle ne comprend pas complètement.
Avant de comparer ChatGPT, Claude ou Mistral, il est donc souvent plus utile de se poser une autre question : sommes-nous réellement capables d’identifier les données qui circulent, les accès qui existent, les responsabilités associées et les mécanismes de supervision qui permettent d’en conserver la maîtrise ? Car en matière d’intelligence artificielle, le risque ne dépend pas uniquement du nom affiché sur l’écran.
Il dépend surtout de la visibilité dont dispose l’organisation sur ses usages, ses données, ses flux et les systèmes qui les traitent.
Le vrai problème n’est pas le LLM
Lorsqu’une organisation réfléchit à l’utilisation de ChatGPT, Claude ou Mistral, la discussion se focalise souvent sur le fournisseur pourtant, le niveau de risque dépend rarement du seul nom de l’outil utilisé.
Dans beaucoup d’entreprises, les usages se développent déjà au quotidien. Un collaborateur utilise ChatGPT pour résumer un contrat. Un manager prépare une synthèse RH. Un commercial reformule un compte-rendu client. Un développeur demande de l’aide sur un morceau de code.
Aucun de ces usages n’est nécessairement problématique.
Le problème apparaît lorsque l’organisation ne sait plus réellement quelles données sont transmises, quels accès ont été accordés ou quelles connexions ont été activées avec son environnement numérique.
Prenons un exemple simple.
Deux entreprises utilisent exactement le même outil d’intelligence artificielle.
La première a identifié les usages autorisés, défini des règles claires, limité les accès et conserve une visibilité sur les données qui circulent. Elle sait quels collaborateurs utilisent l’outil, dans quel contexte et pour quelles finalités.
La seconde utilise pourtant le même outil. Mais personne ne dispose d’une vision claire des usages réels. Des documents clients sont parfois transmis, des données RH sont analysées, certains connecteurs ont été activés et de nouveaux flux se sont progressivement créés sans véritable supervision.
Le fournisseur est pourtant exactement le même.
Dans la réalité, leur niveau de risque est très différent car ce n’est pas le LLM qui crée le risque. Ce sont les usages qui se développent autour de lui.
Le risque n’est donc pas toujours dans l’outil lui-même. Il est souvent dans ce que l’organisation ne voit plus.
La véritable question n’est donc plus de savoir quel fournisseur choisir. Elle est de savoir si l’organisation dispose d’une visibilité suffisante pour gouverner ce qu’elle déploie.
Quand l’IA s’installe avant la gouvernance
L’intelligence artificielle ne s’est pas introduite dans les organisations comme les outils informatiques traditionnels.
Dans la plupart des cas, elle ne fait pas l’objet d’un projet structuré, d’un déploiement piloté ou d’une validation préalable par les fonctions de gouvernance.
Elle apparaît progressivement dans les usages quotidiens.
Les équipes RH l’utilisent pour reformuler des offres d’emploi ou synthétiser des CV. Les juristes s’appuient sur elle pour analyser des contrats ou résumer des documents complexes. Les équipes commerciales préparent des rendez-vous, rédigent des propositions ou synthétisent des échanges clients. Les développeurs utilisent des assistants de code pour accélérer certaines tâches techniques.
Ces usages répondent à des besoins réels de productivité.
Le problème n’est donc pas l’utilisation de l’intelligence artificielle en elle-même. Le problème est que les usages se développent souvent plus vite que la visibilité et la gouvernance nécessaires pour les maîtriser.
Progressivement, les organisations perdent de la visibilité sur ce qui se passe réellement dans leurs systèmes.
Quels outils sont utilisés par les collaborateurs ? Quelles données sont transmises ? Quels connecteurs ont déjà été activés ? Quels flux circulent désormais entre les outils d’IA, les plateformes collaboratives et les applications métiers ?
Quelques clics suffisent désormais pour connecter un assistant IA à des outils collaboratifs, documentaires ou métiers. De nouveaux flux apparaissent alors entre des systèmes qui n’étaient pas initialement conçus pour fonctionner ensemble.
C’est précisément ce phénomène que l’on retrouve derrière le Shadow AI.
Le sujet ne concerne plus uniquement l’outil utilisé.
Il concerne la perte progressive de visibilité sur les usages réels, les données qui circulent et les flux qui se créent au fil du temps.
Or une organisation ne peut pas gouverner efficacement ce qu’elle ne voit plus.
Avant même de parler de conformité, de sécurité ou d’AI Act, la première question est souvent beaucoup plus simple :
Savons-nous réellement comment l’intelligence artificielle est déjà utilisée dans notre organisation ?
Retrouver de la visibilité est une première étape. Encore faut-il savoir quels critères prendre en compte avant d’autoriser ou de déployer un outil d’IA dans l’organisation.
Les 5 questions à se poser avant de choisir un fournisseur
Avant de comparer ChatGPT, Claude, Mistral ou un autre fournisseur, il est souvent utile de répondre à cinq questions beaucoup plus importantes.
Quelles données seront transmises ?
Avant même de parler de fournisseur, il est utile d’identifier ce qui sera réellement envoyé à l’outil. Une IA utilisée avec des données publiques ne présente pas les mêmes enjeux qu’une IA utilisée avec des contrats, des données RH ou des informations clients.
Qui utilisera l’outil ?
Le risque ne dépend pas uniquement de la technologie. Il dépend également des personnes qui l’utilisent, de leurs pratiques et de leur niveau de sensibilisation.
Quels accès seront accordés ?
Aujourd’hui, quelques clics suffisent pour connecter une IA à des outils collaboratifs, documentaires ou métiers. Comprendre ces accès devient souvent plus important que comparer les fonctionnalités des fournisseurs.
Qui sera responsable de la gouvernance ?
Les usages de l’IA traversent les métiers, la sécurité, la conformité et les systèmes d’information. Sans répartition claire des responsabilités, les zones grises apparaissent rapidement.
Seriez-vous capable d’expliquer vos choix dans six mois ?
En cas d’incident, de contrôle ou simplement de questionnement interne, l’organisation doit pouvoir expliquer pourquoi elle a choisi un outil, quelles données peuvent être utilisées et quelles mesures de maîtrise ont été mises en place.
Le choix du fournisseur est important mais la capacité à gouverner son utilisation l’est souvent davantage car ce n’est pas uniquement la technologie qui détermine le niveau de risque.
C’est la capacité de l’organisation à comprendre ses usages, maîtriser ses flux et conserver une visibilité suffisante sur les systèmes qu’elle déploie.
Au fond, la bonne question n’est probablement pas :
« Quel LLM est conforme ? »
La bonne question est plutôt :
« Disposons-nous d’une visibilité suffisante sur nos usages, nos données et nos flux pour pouvoir réellement les gouverner ? » car le sujet dépasse largement le choix d’un fournisseur.
Il concerne la capacité de l’organisation à comprendre ce qui circule dans ses systèmes, à identifier les responsabilités associées, à superviser les usages qui se développent et à conserver la maîtrise d’environnements numériques devenus toujours plus interconnectés.
Le choix d’un outil est une décision.
La capacité à gouverner son utilisation est un processus continu.
Et c’est souvent là que se situe la véritable différence entre une conformité simplement déclarée et une conformité réellement démontrable.
Car une organisation peut difficilement maîtriser ce qu’elle ne voit pas. Et sans visibilité sur les usages, les données, les flux et les responsabilités, la conformité reste souvent théorique.
