L’IA et vos données : les enjeux
Chaque fois que vous utilisez ChatGPT, uploadez un fichier sur un service cloud ou interagissez avec un chatbot, vos données sont traitées par des systèmes d’intelligence artificielle. Où vont ces données ? Qui y a accès ? Sont-elles utilisées pour entraîner d’autres modèles ? Ce guide explore les risques concrets pour la protection des données personnelles face à l’IA, et vous donne des méthodes pratiques pour vous protéger — que vous soyez un particulier, une entreprise ou une institution au Sénégal.
Les risques concrets
Risque 1 : Vos données dans les modèles d’entraînement
COMMENT VOS DONNÉES PEUVENT FUIR :
Scénario : Un employé de la CBAO colle un rapport financier confidentiel
dans ChatGPT pour en faire un résumé.
Ce qui se passe :
1. Le texte est envoyé aux serveurs d'OpenAI (États-Unis)
2. Par défaut, OpenAI PEUT utiliser les conversations pour améliorer
ses modèles (sauf si vous désactivez cette option)
3. Des fragments du rapport pourraient théoriquement apparaître dans
les réponses futures de ChatGPT à d'autres utilisateurs
Cas réels documentés :
- Samsung (2023) : des ingénieurs ont collé du code source propriétaire
dans ChatGPT. Samsung a ensuite interdit l'utilisation de ChatGPT.
- Plusieurs cabinets d'avocats ont uploadé des documents clients
confidentiels dans ChatGPT pour rédiger des mémoires.
- Des médecins ont partagé des dossiers patients avec des IA
pour obtenir des aides au diagnostic.
Données à ne JAMAIS coller dans une IA en ligne :
✗ Données financières (bilans, relevés bancaires, numéros de compte)
✗ Données de santé (dossiers patients, résultats médicaux)
✗ Données personnelles (CNI, passeports, adresses, téléphones)
✗ Code source propriétaire ou secrets commerciaux
✗ Communications confidentielles (emails internes, contrats)
✗ Mots de passe, clés API, tokens d'accèsRisque 2 : La reconnaissance faciale non consentie
Les systèmes de reconnaissance faciale IA sont déployés dans les aéroports, centres commerciaux et espaces publics. Au Sénégal, Dakar Aéroport International Blaise Diagne (AIBD) utilise des systèmes biométriques. Le risque est que ces données soient collectées, stockées et utilisées sans consentement informé des personnes concernées.
Risque 3 : Le profilage automatisé
EXEMPLES DE PROFILAGE IA QUI VOUS CONCERNENT :
1. SCORING DE CRÉDIT PAR IA
Les fintechs sénégalaises utilisent l'IA pour évaluer votre
solvabilité en analysant :
- Votre historique de transactions Wave/Orange Money
- Votre activité sur les réseaux sociaux
- Votre localisation GPS
- Vos contacts téléphoniques
→ Un algorithme décide si vous obtenez un prêt ou non
2. PUBLICITÉ CIBLÉE
Facebook/Meta analyse vos messages, likes et navigation pour
créer un profil publicitaire détaillé :
- Centres d'intérêt
- Pouvoir d'achat estimé
- Situation familiale
- Opinions politiques probables
→ Vous recevez des publicités ciblées sans savoir pourquoi
3. RECRUTEMENT PAR IA
Certaines grandes entreprises au Sénégal utilisent des outils
de tri automatique de CV :
- L'IA scanne votre CV et lettre de motivation
- Elle attribue un score de compatibilité
- Votre candidature peut être rejetée automatiquement
→ Risque de discrimination algorithmiqueLe cadre légal de protection au Sénégal
TEXTES APPLICABLES :
1. LOI N° 2008-12 du 25 janvier 2008
Protection des données à caractère personnel
- Article 4 : définition large des données personnelles
(toute information identifiant directement ou indirectement une personne)
- Article 33 : consentement préalable obligatoire
- Article 49 : encadrement des transferts internationaux
- Article 62-68 : droits d'accès, rectification, suppression
2. LOI N° 2008-11 sur la cybercriminalité
- Protège contre la collecte frauduleuse de données
- Sanctions pénales pour violation
3. CONSTITUTION DU SÉNÉGAL
- Article 13 : inviolabilité de la correspondance
- Article 8 : droit à la vie privée
4. CONVENTION DE MALABO (Union Africaine, 2014)
- Cadre continental de protection des données
- Le Sénégal est signataire
AUTORITÉ DE CONTRÔLE :
Commission des Données Personnelles (CDP)
Site : cdp.sn
Rôle : veille au respect de la loi, reçoit les plaintes,
sanctionne les manquements (amendes jusqu'à 100 millions FCFA)
VOS DROITS :
- Droit d'accès : demander quelles données une entreprise détient sur vous
- Droit de rectification : corriger des données inexactes
- Droit de suppression : demander l'effacement de vos données
- Droit d'opposition : refuser un traitement (ex: profilage)
- Droit à l'information : savoir comment vos données sont utiliséesProtéger vos données en tant que particulier
Paramétrer ChatGPT pour la confidentialité
Configuration ChatGPT — Protéger vos données :
1. DÉSACTIVER L'ENTRAÎNEMENT SUR VOS DONNÉES
ChatGPT → Settings → Data Controls
→ "Improve the model for everyone" → DÉSACTIVER
Résultat : OpenAI ne pourra plus utiliser vos conversations
pour entraîner ses futurs modèles.
2. ACTIVER LES CHATS TEMPORAIRES
ChatGPT → Settings → Data Controls
→ "Chat History & Training" → DÉSACTIVER
Résultat : vos conversations ne sont pas sauvegardées.
Inconvénient : vous perdez l'historique.
3. UTILISER LES CHATS TEMPORAIRES PONCTUELS
Nouvelle conversation → icône en haut → "Temporary Chat"
Résultat : cette conversation spécifique n'est pas sauvegardée.
Idéal pour les requêtes sensibles occasionnelles.
4. SUPPRIMER L'HISTORIQUE
ChatGPT → Settings → Data Controls → "Delete all chats"
Ou supprimez des conversations individuellement.
5. DEMANDER LA SUPPRESSION DE VOS DONNÉES
Email : privacy@openai.com
Demandez la suppression de toutes vos données personnelles.
OpenAI est tenu de répondre (RGPD pour les résidents européens,
et bonne pratique pour les résidents d'autres pays).Paramétrer les autres services IA
GOOGLE (Gemini, Gmail IA, Google Photos) :
→ myaccount.google.com → Données et confidentialité
→ "Mon activité" → Désactivez "Activité sur le Web et les apps"
→ "Gestion de l'activité" → Suppression automatique : 3 mois
→ Google Photos → Paramètres → Désactivez la reconnaissance faciale
FACEBOOK / META (publicités IA, profilage) :
→ Paramètres → Confidentialité → Préférences publicitaires
→ "Données utilisées pour vous montrer des publicités" → Désactivez tout
→ Téléchargez vos données : Paramètres → Vos informations →
Télécharger vos informations (pour voir ce que Meta sait sur vous)
MICROSOFT (Copilot, Bing) :
→ account.microsoft.com → Confidentialité
→ Supprimez l'historique de recherche et l'activité
→ Désactivez la personnalisation des publicités
WHATSAPP :
→ Paramètres → Confidentialité
→ Désactivez "Dernière connexion"
→ Désactivez "Confirmation de lecture"
→ Limitez "Photo de profil" à "Mes contacts"Protéger les données en tant qu’entreprise
Politique d’utilisation de l’IA en entreprise
MODÈLE DE CHARTE D'UTILISATION DE L'IA — À adapter pour votre entreprise
1. OUTILS IA AUTORISÉS
✓ ChatGPT (avec paramètrès de confidentialité activés)
✓ Canva IA (pour le marketing)
✓ Grammarly (pour la correction)
✗ Tout outil IA non approuvé par la DSI
2. DONNÉES AUTORISÉES DANS LES OUTILS IA
✓ Informations publiques (contenus marketing, articles de blog)
✓ Données anonymisées (statistiques sans noms)
✓ Brouillons de documents non confidentiels
✗ INTERDIT : données clients nominatives
✗ INTERDIT : données financières
✗ INTERDIT : code source propriétaire
✗ INTERDIT : documents confidentiels
✗ INTERDIT : emails internes
3. PROCÉDURE AVANT D'UTILISER L'IA
a. Vérifier que les données ne sont pas confidentielles
b. Anonymiser les données si possible
c. Utiliser le mode "Temporary Chat" pour les requêtes sensibles
d. Ne pas copier les réponses IA sans vérification
4. SANCTIONS
- Non-respect de la charte : avertissement écrit
- Fuite de données clients : procédure disciplinaire
- Fuite de secrets commerciaux : sanctions prévues par le contrat
5. FORMATION
- Tous les employés doivent suivre une formation de 2h sur
l'utilisation sécurisée de l'IA (à leur arrivée)
- Rappel trimestriel des bonnes pratiquesSolutions IA privées pour entreprises
Pour les entreprises qui traitent des données sensibles,
des solutions IA privées gardent vos données chez vous :
1. AZURE OPENAI SERVICE (Microsoft)
- GPT-4 hébergé sur votre propre instance Azure
- Vos données ne quittent pas votre environnement
- Pas d'entraînement sur vos données
- Conformité : SOC 2, ISO 27001, RGPD
- Tarif : similaire à OpenAI + coût Azure
- Idéal pour : banques, assurances, santé
2. OLLAMA (Open Source — GRATUIT)
- Exécutez des modèles IA sur votre propre ordinateur/serveur
- Modèles supportés : LLaMA 3, Mistral, Phi, Gemma
- Installation :
curl -fsSL https://ollama.ai/install.sh | sh
ollama run llama3
- Aucune donnée ne quitte votre machine
- Nécessite un PC avec GPU (ou un serveur)
3. LLAMA.CPP / GPT4ALL
- IA locale sur PC standard (même sans GPU)
- Modèles quantifiés qui tournent sur 8 Go de RAM
- Interface graphique simple
- Téléchargement : gpt4all.io
4. HUGGING FACE INFERENCE ENDPOINTS
- Déployez un modèle IA sur un serveur dédié
- Choix du datacenter (Europe disponible)
- À partir de 0.06$/heure
- Vous contrôlez le modèle et les donnéesObligations des entreprises sénégalaises
CHECKLIST DE CONFORMITÉ — Loi sénégalaise sur les données personnelles
□ DÉCLARATION À LA CDP
Déclarez tout traitement de données personnelles à la
Commission des Données Personnelles (cdp.sn)
→ Formulaire en ligne, gratuit
□ REGISTRE DES TRAITEMENTS
Documentez tous vos traitements de données :
- Quelles données collectez-vous ?
- Pour quelle finalité ?
- Combien de temps les conservez-vous ?
- Qui y a accès ?
- Utilisez-vous l'IA sur ces données ?
□ CONSENTEMENT
Obtenez le consentement explicite avant de :
- Collecter des données personnelles
- Les utiliser pour du profilage IA
- Les transférer à un tiers
- Les envoyer hors du Sénégal
□ MENTIONS LÉGALES
Votre site web doit informer les visiteurs :
- Quels cookies et traceurs sont utilisés
- Si des outils IA analysent leurs données
- Comment exercer leurs droits (accès, suppression)
- Coordonnées du responsable des données
□ SÉCURITÉ
Protégez les données contre les accès non autorisés :
- Chiffrement des données sensibles
- Authentification forte pour les accès
- Sauvegardes régulières
- Plan de réponse aux incidents
□ TRANSFERTS INTERNATIONAUX
Si vous utilisez des IA hébergées à l'étranger (ChatGPT, Google) :
- Vérifiez que le pays offre une protection adéquate
- Mettez en place des clauses contractuelles types
- Informez les personnes concernéesBonnes pratiques au quotidien
Anonymisez avant de coller. Si vous devez utiliser des données réelles dans un outil IA, remplacez systématiquement les noms par « Client A », les numéros de téléphone par « XXX », les montants précis par des fourchettes. L’IA fonctionnera tout aussi bien avec des données anonymisées.
Lisez les conditions d’utilisation. Chaque service IA a une politique de données différente. OpenAI, Google et Anthropic ont des pages claires expliquant ce qu’ils font de vos données. Prenez 10 minutes pour les lire — c’est votre responsabilité en tant que professionnel.
Utilisez des outils locaux pour les données sensibles. Pour les documents vraiment confidentiels, préférez Ollama ou GPT4All qui fonctionnent entièrement sur votre machine. La qualité est légèrement inférieure à GPT-4, mais vos données restent chez vous.
Formez vos équipes. Le maillon faible de la protection des données est humain. Un employé qui colle un fichier client dans ChatGPT par commodité peut compromettre la confidentialité de milliers de personnes. La formation et la sensibilisation sont plus efficaces que les interdictions.
Exercez vos droits. Si une entreprise utilise vos données personnelles pour de l’IA sans votre consentement, vous pouvez porter plainte auprès de la CDP. Le formulaire est disponible sur cdp.sn. Vos droits sont protégés par la loi et les sanctions peuvent être lourdes pour les entreprises en infraction.
Pourquoi le sujet est devenu critique en 2026
L explosion de l usage professionnel des grands modeles de langage a cree un risque de fuite de donnees inedit dans son ampleur. Chaque message envoye a un assistant IA transite par les serveurs d un tiers (OpenAI, Anthropic, Google), peut etre journalise pendant 30 jours, et — selon les conditions du fournisseur — etre utilise pour l entrainement de modeles futurs. En 2024, plusieurs entreprises ont decouvert avec stupeur que des employes avaient soumis du code source proprietaire, des contrats clients ou des donnees medicales a ChatGPT en quete d aide, exposant l organisation a un risque juridique et concurrentiel non quantifiable.
Le legislateur a reagi. Le Reglement IA europeen (AI Act), publie au Journal officiel le 12 juillet 2024 et entre en vigueur le 1er aout 2024, impose des obligations graduees selon le niveau de risque de chaque systeme IA. Les obligations sur les modeles a usage general (General Purpose AI Models) s appliquent depuis le 2 aout 2025. Le RGPD, deja en vigueur, s applique des qu un traitement IA touche des donnees personnelles — ce qui couvre la quasi-totalite des usages commerciaux.
Les cinq vecteurs de fuite a connaitre
1. Le prompt direct. Le scenario le plus frequent : un employe colle une donnee sensible dans ChatGPT pour obtenir une analyse. La donnee est traitee, stockee 30 jours minimum, et selon le plan utilise, peut entrer dans le pool d entrainement. Parade : politique d usage formalisee, formation, et bascule vers une version Enterprise avec garanties contractuelles.
2. Les integrations natives. Microsoft 365 Copilot, Google Workspace Gemini, Notion AI lisent l ensemble des fichiers accessibles a l utilisateur. Une mauvaise configuration des permissions de partage expose tous les documents au modele. Parade : auditer les permissions avant d activer Copilot, restreindre les acces aux donnees vraiment necessaires.
3. Les agents autonomes. Les nouveaux agents IA (Claude Computer Use, ChatGPT Agents, Operator) peuvent naviguer le web et executer des actions au nom de l utilisateur. Le risque : un site malveillant injecte des instructions dans une page que l agent visite (prompt injection indirecte), et l agent execute ces instructions. Parade : segmenter les agents, limiter leurs capacites par defaut, surveiller les logs.
4. Les API tierces. Quand une application utilise l API OpenAI ou Anthropic en backend, les donnees envoyees transitent par les serveurs du fournisseur. Pour le RGPD, cela impose un Data Processing Agreement (DPA) signe et un hebergement dans une region autorisee.
5. Les modeles open-source mal heberges. Llama, Mistral, DeepSeek heberges sur un VPS sans isolation suffisante peuvent fuiter via les logs systeme, les sauvegardes non chiffrees, ou un acces SSH mal protege. La conformite n est pas garantie par le simple fait d heberger soi-meme.
Le RGPD applique a l IA : ce qu il faut faire
Six obligations centrales se degagent pour toute organisation traitant des donnees personnelles via IA.
Base legale documentee. Chaque traitement IA touchant des donnees personnelles doit reposer sur une base legale du RGPD (consentement, contrat, interet legitime, obligation legale). Cette base doit etre documentee dans le registre des traitements, avec mention explicite du recours a un sous-traitant IA.
Analyse d impact (AIPD ou PIA). Obligatoire pour les traitements a haut risque, ce qui inclut typiquement le profilage automatise, la decision automatisee touchant les personnes, ou le traitement a grande echelle de donnees sensibles. Pour un service client IA qui analyse les conversations de milliers de clients, une AIPD est requise.
Information transparente. Les personnes concernees (clients, employes, prospects) doivent etre informees qu un traitement IA est en place, du type de donnees traitees, et de leurs droits. Mention dans la politique de confidentialite minimum.
Droits des personnes. Acces, rectification, effacement, portabilite, opposition s appliquent. Concretement : si un client demande la suppression de ses donnees, vous devez les supprimer aussi des contextes IA (logs, embeddings vectoriels) — ce qui suppose une architecture qui permet cette suppression.
Securite du traitement. Chiffrement en transit (TLS 1.3) et au repos, controle d acces strict, journalisation des acces aux donnees, anonymisation ou pseudonymisation quand possible avant envoi a un LLM.
Notification de violation. Toute fuite confirmee doit etre notifiee a la CNIL (ou autorite locale) sous 72 heures. Pratique : tenir un journal des incidents et un plan de notification pre-redige.
Architecture defensive : que mettre en place techniquement
Quatre couches techniques limitent le risque sans interdire l usage IA.
Couche 1 : passerelle IA centralisee. Au lieu de laisser chaque application appeler directement OpenAI ou Anthropic, deployer une passerelle interne (Open-source : LiteLLM Proxy, Helicone OSS ; commercial : Portkey, Cloudflare AI Gateway). Cette passerelle journalise tous les appels, applique des regles (rate limiting, masquage de donnees), et permet de basculer de fournisseur sans toucher au code applicatif.
Couche 2 : detection et masquage de donnees sensibles. Avant tout envoi a un LLM externe, un module pre-traite le prompt pour detecter les donnees personnelles (regex pour numero de securite sociale, IBAN, email, telephone ; modeles NER comme Presidio de Microsoft pour les noms et adresses) et les remplacer par des jetons reversibles. Le LLM repond avec les jetons, qui sont reinjectes cote serveur. Microsoft Presidio est open-source et performant.
Couche 3 : selection du fournisseur par sensibilite. Donnees publiques ou pseudonymisees : OpenAI / Anthropic standard avec API. Donnees personnelles non sensibles : version Enterprise avec DPA et hebergement UE. Donnees sensibles (sante, judiciaire, biometrique) : modele heberge en interne (Llama, Mistral) ou via un cloud souverain (OVHcloud, Scaleway, Numspot).
Couche 4 : audit continu. Logs des prompts et reponses (avec masquage des donnees sensibles) conserves 6 a 12 mois. Revue trimestrielle des cas d usage. Tests reguliers de fuite (red teaming sur les agents). Tableau de bord des metriques de conformite remonte au DPO.
FAQ
ChatGPT Enterprise est-il conforme RGPD ?
Oui sous conditions. OpenAI propose un DPA standardise, garantit la non-utilisation des donnees pour l entrainement, et offre l hebergement en region UE depuis 2024. Une AIPD reste necessaire pour les traitements a haut risque.
Un modele open-source heberge sur Hetzner ou Scaleway est-il conforme par defaut ?
Non. L hebergement souverain leve une partie des objections (transfert de donnees hors UE), mais les autres obligations (base legale, information, securite, droits des personnes) demeurent. Auto-hebergement n est pas synonyme de conformite automatique.
Que faire si un employe a deja envoye des donnees sensibles a ChatGPT ?
Documenter l incident, evaluer la portee (quelles donnees, combien d enregistrements), notifier l autorite (CNIL) si la fuite atteint le seuil de gravite, informer les personnes concernees si necessaire, et capitaliser sur l incident pour renforcer la politique et la formation.
Le AI Act impose-t-il de nouveaux audits par rapport au RGPD ?
Oui pour les systemes a haut risque (selon la liste de l annexe III) : evaluation de conformite ex-ante, marquage CE, surveillance post-marche, documentation technique detaillee. Pour les usages courants (assistant interne, redaction), le AI Act impose principalement transparence et information.
References
- AI Act (Reglement UE 2024/1689) — eur-lex.europa.eu/eli/reg/2024/1689
- RGPD (Reglement UE 2016/679) — eur-lex.europa.eu/eli/reg/2016/679
- CNIL — recommandations IA — cnil.fr/intelligence-artificielle
- Microsoft Presidio (anonymisation) — github.com/microsoft/presidio
- LiteLLM Proxy — github.com/BerriAI/litellm
- Cloudflare AI Gateway — developers.cloudflare.com/ai-gateway