1. Les risques réels — pas ceux qu'on croit

Les discussions sur la sécurité de l'IA se focalisent souvent sur un scénario fictif : "l'IA va garder mes données et s'en servir contre moi". En réalité, OpenAI, Anthropic et Google n'utilisent pas les prompts des comptes professionnels pour entraîner leurs modèles (sauf opt-in explicite). Le vrai risque est ailleurs.

Les risques réels et documentés sont :

  • Fuite via les prompts : un employé colle un contrat non anonymisé ou une liste de clients dans ChatGPT. Ces données transitent par les serveurs du fournisseur, potentiellement stockées temporairement.
  • Extensions malveillantes : des extensions navigateur "IA" qui interceptent vos conversations et les transmettent à des tiers.
  • Secrets techniques exposés : clés API, tokens OAuth, mots de passe collés dans un prompt pour "faire analyser le code".
  • Partage de compte : un compte ChatGPT partagé entre plusieurs employés où l'historique est visible par tous.
  • Prompt injection via du contenu analysé : voir notre article dédié.

2. Données à ne jamais partager sans cadre

Certaines catégories de données ne doivent jamais être collées telles quelles dans un outil IA externe, sauf si vous utilisez une version entreprise avec garanties contractuelles (Microsoft Copilot pour M365, Claude for Work, etc.) :

  • Identifiants et secrets techniques : clés API, tokens OAuth, mots de passe, certificats, secrets de configuration.
  • Données personnelles : noms complets + email + téléphone combinés, numéros de sécurité sociale, données de santé, données bancaires.
  • Contrats et documents légaux non anonymisés : clauses de confidentialité, conditions commerciales spécifiques, litiges en cours.
  • Exports CRM complets : listes de clients avec coordonnées, historique d'achats, notes commerciales.
  • Code source propriétaire avec accès internes : URLs d'API internes, noms de bases de données, credentials hardcodés.
Règle simple à retenir Si vous ne seriez pas à l'aise de publier cette information sur un forum public, ne la collez pas dans un outil IA externe sans l'anonymiser d'abord.

3. Méthode d'anonymisation en 3 étapes

L'anonymisation n'est pas complexe. Elle consiste à remplacer les éléments identifiants par des variables génériques avant de soumettre le texte à l'IA.

  1. Identifier les éléments sensibles : noms, emails, téléphones, montants précis, identifiants internes, URLs privées.
  2. Les remplacer par des variables génériques : "Marie Dupont" → "Client A", "facture #INV-2026-0042" → "facture X", "87 450 €" → "montant Y".
  3. Vérifier que le contexte reste suffisant pour que l'IA puisse répondre utilement, sans les données identifiantes.
Exemple de prompt anonymisé"Analyse cette demande de réclamation et propose une réponse professionnelle. Le client A signale un défaut sur le produit B livré le [date]. Montant de la commande : niveau intermédiaire. Ton : empathique et orienté solution."

Cette méthode s'applique à 90 % des cas d'usage IA en entreprise : résumé de réunion, réponse client, analyse de contrat type, rédaction de rapport.

4. Politique interne en 5 règles

Une politique IA n'a pas besoin d'être un document de 50 pages. Cinq règles claires, connues et appliquées valent plus qu'un règlement interne ignoré.

  1. Définir ce qui est confidentiel. Listez explicitement les types de données qui ne peuvent pas quitter l'entreprise sans protection. Partagez cette liste avec toute l'équipe.
  2. Lister les outils IA approuvés. Créez une liste courte d'outils validés (par exemple : Claude for Work, Copilot M365, n8n auto-hébergé). Tout outil hors liste nécessite une validation avant usage professionnel.
  3. Interdire les secrets dans les prompts. Règle non négociable : aucune clé API, aucun mot de passe, aucun token dans un prompt. Les secrets passent par des gestionnaires dédiés.
  4. Former avec des exemples concrets. Un exemple de prompt "avant / après anonymisation" vaut mieux qu'une liste d'interdictions. Organisez une session de 30 minutes avec votre équipe.
  5. Révision mensuelle des accès et extensions. Désactivez les extensions navigateur IA non utilisées. Vérifiez les connexions OAuth de vos outils. Révoquez les accès des anciens employés.

5. Outils approuvés vs non approuvés

OutilUsage professionnel sécuriséCondition
Claude for Work (Anthropic)✓ RecommandéAbonnement pro, opt-out entraînement activé
ChatGPT Enterprise✓ RecommandéPlan Enterprise, DPA signé
Copilot pour Microsoft 365✓ RecommandéDonnées dans le tenant M365
n8n auto-hébergé✓ RecommandéServeur dans votre infrastructure
ChatGPT gratuit / Plus⚠ Avec précautionsUniquement contenu non sensible, anonymisé
Extensions Chrome IA tierces✗ DéconseilléVérifier politique de confidentialité avant tout
Outils IA inconnus gratuits✗ InterditAucune garantie sur le traitement des données

6. Audit mensuel des accès et extensions

Un audit mensuel de 20 minutes suffit à maintenir un niveau de sécurité correct :

Désactiver les extensions navigateur IA non utilisées
Vérifier les autorisations OAuth de vos comptes Google / Microsoft
Révoquer les accès des anciens collaborateurs
Vérifier les clés API actives et leur date de création
Consulter les logs d'activité des agents en production
Mettre à jour la liste des outils approuvés si besoin

La sécurité de l'IA en entreprise n'est pas un projet unique. C'est une pratique régulière, adaptée au rythme rapide d'évolution des outils. L'objectif n'est pas d'interdire, mais de permettre un usage confiant et maîtrisé.