Vous mettez vos données clients sur ChatGPT ? Voici ce qui peut vous arriver

ChatGPT est rentré dans la vie des PME comme un coup de vent. Pratique. Rapide. Bluffant. Et gratuit dans sa version de base. Le souci, c’est que ce qui est gratuit dans une boîte américaine cotée en Bourse, ce n’est jamais vraiment gratuit. Les données que vous y collez ont une valeur — pour eux. Pas pour vous.

Voici trois cas concrets que nous avons rencontrés cette année, anonymisés mais réels.

Cas 1 : le cabinet d’avocats qui a “synthétisé” un dossier de divorce

Un avocat associé d’un petit cabinet a copié-collé l’intégralité d’un dossier de divorce — 47 pages, identités complètes, situations financières, pièces sensibles — dans ChatGPT, pour en obtenir une note de synthèse rapide.

Ce qu’il ne savait pas : par défaut, OpenAI peut conserver les conversations à des fins d’amélioration de ses modèles. Et le compte du cabinet n’était pas un compte “Enterprise” qui désactive cette collecte. Les données du dossier sont parties sur des serveurs aux États-Unis, sans aucun engagement contractuel sur leur traitement.

Le coût : un audit RGPD interne déclenché par la déontologie du barreau, un signalement à la CNIL pour traçabilité, 3 jours de travail bloqués pour reconstituer la chaîne d’événements. Et un client perdu quand l’histoire est remontée jusqu’à lui — par hasard.

Cas 2 : l’expert-comptable qui voulait “juste” extraire des données

Un cabinet d’expertise comptable avait pour habitude de coller des bilans clients dans ChatGPT pour en extraire automatiquement les ratios financiers. Soit, en moyenne, 200 bilans par mois passés sur les serveurs d’OpenAI.

Le contrôle URSSAF d’un client a mis en évidence un détail : la copie d’écran d’un échange ChatGPT contenant les chiffres exacts du client était présente dans la conversation d’un autre cabinet — vraisemblablement après un mélange de contextes côté OpenAI ou un partage involontaire.

Le coût : action en responsabilité civile professionnelle pour manquement à la confidentialité, prime d’assurance qui double l’année suivante, perte de quatre clients sensibles aux questions de souveraineté.

Cas 3 : la boîte de conseil qui a publié son “GPT” personnalisé

Une PME de conseil a créé un “GPT custom” pour ses commerciaux : intégration de la base clients, des comptes-rendus de RDV, des tarifs, des stratégies de négociation. Pratique pour préparer un rendez-vous en deux minutes.

Sauf que la fonctionnalité de “GPT custom” expose, par défaut, certaines instructions et données du créateur si on sait poser les bonnes questions au modèle. Un concurrent curieux a posé des questions au GPT en question, lors d’un échange normal, et a récupéré une grille tarifaire interne.

Le coût : appels d’offres perdus pour cause de marges désormais connues, refonte complète du système commercial, et un certain malaise interne sur “qui aurait dû voir le risque”.

Le problème de fond

Aucune de ces erreurs n’est due à de la malveillance. Toutes sont dues à un réflexe de productivité logique en apparence : “j’ai un outil puissant, j’ai un document, je colle, ça va plus vite”.

Tant que l’outil est dans le cloud, ailleurs, sous une juridiction étrangère, vous n’avez aucun moyen de garantir ce qui arrive à vos données après le coller. Les conditions générales évoluent. Les configurations changent. Les fuites arrivent.

Que faire concrètement

1. Posez la règle écrite : “Aucune donnée client ne va sur un outil cloud étranger”. Tout le monde signe. C’est aussi simple que ça.
2. Achetez un compte Enterprise si vous tenez à utiliser ChatGPT — la collecte est désactivée par défaut. Ça coûte ~30 €/utilisateur/mois.
3. Ou, mieux, installez localement un assistant qui fait le job sans rien envoyer dehors. C’est précisément ce qu’on construit chez Arobass.

Demandez une démo — on vient avec un Mac mini, on l’installe sur votre poste, et vos documents ne quittent plus votre bureau. Jamais.