L’IA et vos données : les enjeux
Chaque fois que vous utilisez ChatGPT, uploadez un fichier sur un service cloud ou interagissez avec un chatbot, vos données sont traitées par des systèmes d’intelligence artificielle. Où vont ces données ? Qui y a accès ? Sont-elles utilisées pour entraîner d’autres modèles ? Ce guide explore les risques concrets pour la protection des données personnelles face à l’IA, et vous donne des méthodes pratiques pour vous protéger — que vous soyez un particulier, une entreprise ou une institution au Sénégal.
Les risques concrets
Risque 1 : Vos données dans les modèles d’entraînement
COMMENT VOS DONNÉES PEUVENT FUIR :
Scénario : Un employé de la CBAO colle un rapport financier confidentiel
dans ChatGPT pour en faire un résumé.
Ce qui se passe :
1. Le texte est envoyé aux serveurs d'OpenAI (États-Unis)
2. Par défaut, OpenAI PEUT utiliser les conversations pour améliorer
ses modèles (sauf si vous désactivez cette option)
3. Des fragments du rapport pourraient théoriquement apparaître dans
les réponses futures de ChatGPT à d'autres utilisateurs
Cas réels documentés :
- Samsung (2023) : des ingénieurs ont collé du code source propriétaire
dans ChatGPT. Samsung a ensuite interdit l'utilisation de ChatGPT.
- Plusieurs cabinets d'avocats ont uploadé des documents clients
confidentiels dans ChatGPT pour rédiger des mémoires.
- Des médecins ont partagé des dossiers patients avec des IA
pour obtenir des aides au diagnostic.
Données à ne JAMAIS coller dans une IA en ligne :
✗ Données financières (bilans, relevés bancaires, numéros de compte)
✗ Données de santé (dossiers patients, résultats médicaux)
✗ Données personnelles (CNI, passeports, adresses, téléphones)
✗ Code source propriétaire ou secrets commerciaux
✗ Communications confidentielles (emails internes, contrats)
✗ Mots de passe, clés API, tokens d'accèsRisque 2 : La reconnaissance faciale non consentie
Les systèmes de reconnaissance faciale IA sont déployés dans les aéroports, centres commerciaux et espaces publics. Au Sénégal, Dakar Aéroport International Blaise Diagne (AIBD) utilise des systèmes biométriques. Le risque est que ces données soient collectées, stockées et utilisées sans consentement informé des personnes concernées.
Risque 3 : Le profilage automatisé
EXEMPLES DE PROFILAGE IA QUI VOUS CONCERNENT :
1. SCORING DE CRÉDIT PAR IA
Les fintechs sénégalaises utilisent l'IA pour évaluer votre
solvabilité en analysant :
- Votre historique de transactions Wave/Orange Money
- Votre activité sur les réseaux sociaux
- Votre localisation GPS
- Vos contacts téléphoniques
→ Un algorithme décide si vous obtenez un prêt ou non
2. PUBLICITÉ CIBLÉE
Facebook/Meta analyse vos messages, likes et navigation pour
créer un profil publicitaire détaillé :
- Centres d'intérêt
- Pouvoir d'achat estimé
- Situation familiale
- Opinions politiques probables
→ Vous recevez des publicités ciblées sans savoir pourquoi
3. RECRUTEMENT PAR IA
Certaines grandes entreprises au Sénégal utilisent des outils
de tri automatique de CV :
- L'IA scanne votre CV et lettre de motivation
- Elle attribue un score de compatibilité
- Votre candidature peut être rejetée automatiquement
→ Risque de discrimination algorithmiqueLe cadre légal de protection au Sénégal
TEXTES APPLICABLES :
1. LOI N° 2008-12 du 25 janvier 2008
Protection des données à caractère personnel
- Article 4 : définition large des données personnelles
(toute information identifiant directement ou indirectement une personne)
- Article 33 : consentement préalable obligatoire
- Article 49 : encadrement des transferts internationaux
- Article 62-68 : droits d'accès, rectification, suppression
2. LOI N° 2008-11 sur la cybercriminalité
- Protège contre la collecte frauduleuse de données
- Sanctions pénales pour violation
3. CONSTITUTION DU SÉNÉGAL
- Article 13 : inviolabilité de la correspondance
- Article 8 : droit à la vie privée
4. CONVENTION DE MALABO (Union Africaine, 2014)
- Cadre continental de protection des données
- Le Sénégal est signataire
AUTORITÉ DE CONTRÔLE :
Commission des Données Personnelles (CDP)
Site : cdp.sn
Rôle : veille au respect de la loi, reçoit les plaintes,
sanctionne les manquements (amendes jusqu'à 100 millions FCFA)
VOS DROITS :
- Droit d'accès : demander quelles données une entreprise détient sur vous
- Droit de rectification : corriger des données inexactes
- Droit de suppression : demander l'effacement de vos données
- Droit d'opposition : refuser un traitement (ex: profilage)
- Droit à l'information : savoir comment vos données sont utiliséesProtéger vos données en tant que particulier
Paramétrer ChatGPT pour la confidentialité
Configuration ChatGPT — Protéger vos données :
1. DÉSACTIVER L'ENTRAÎNEMENT SUR VOS DONNÉES
ChatGPT → Settings → Data Controls
→ "Improve the model for everyone" → DÉSACTIVER
Résultat : OpenAI ne pourra plus utiliser vos conversations
pour entraîner ses futurs modèles.
2. ACTIVER LES CHATS TEMPORAIRES
ChatGPT → Settings → Data Controls
→ "Chat History & Training" → DÉSACTIVER
Résultat : vos conversations ne sont pas sauvegardées.
Inconvénient : vous perdez l'historique.
3. UTILISER LES CHATS TEMPORAIRES PONCTUELS
Nouvelle conversation → icône en haut → "Temporary Chat"
Résultat : cette conversation spécifique n'est pas sauvegardée.
Idéal pour les requêtes sensibles occasionnelles.
4. SUPPRIMER L'HISTORIQUE
ChatGPT → Settings → Data Controls → "Delete all chats"
Ou supprimez des conversations individuellement.
5. DEMANDER LA SUPPRESSION DE VOS DONNÉES
Email : privacy@openai.com
Demandez la suppression de toutes vos données personnelles.
OpenAI est tenu de répondre (RGPD pour les résidents européens,
et bonne pratique pour les résidents d'autres pays).Paramétrer les autres services IA
GOOGLE (Gemini, Gmail IA, Google Photos) :
→ myaccount.google.com → Données et confidentialité
→ "Mon activité" → Désactivez "Activité sur le Web et les apps"
→ "Gestion de l'activité" → Suppression automatique : 3 mois
→ Google Photos → Paramètres → Désactivez la reconnaissance faciale
FACEBOOK / META (publicités IA, profilage) :
→ Paramètres → Confidentialité → Préférences publicitaires
→ "Données utilisées pour vous montrer des publicités" → Désactivez tout
→ Téléchargez vos données : Paramètres → Vos informations →
Télécharger vos informations (pour voir ce que Meta sait sur vous)
MICROSOFT (Copilot, Bing) :
→ account.microsoft.com → Confidentialité
→ Supprimez l'historique de recherche et l'activité
→ Désactivez la personnalisation des publicités
WHATSAPP :
→ Paramètres → Confidentialité
→ Désactivez "Dernière connexion"
→ Désactivez "Confirmation de lecture"
→ Limitez "Photo de profil" à "Mes contacts"Protéger les données en tant qu’entreprise
Politique d’utilisation de l’IA en entreprise
MODÈLE DE CHARTE D'UTILISATION DE L'IA — À adapter pour votre entreprise
1. OUTILS IA AUTORISÉS
✓ ChatGPT (avec paramètres de confidentialité activés)
✓ Canva IA (pour le marketing)
✓ Grammarly (pour la correction)
✗ Tout outil IA non approuvé par la DSI
2. DONNÉES AUTORISÉES DANS LES OUTILS IA
✓ Informations publiques (contenus marketing, articles de blog)
✓ Données anonymisées (statistiques sans noms)
✓ Brouillons de documents non confidentiels
✗ INTERDIT : données clients nominatives
✗ INTERDIT : données financières
✗ INTERDIT : code source propriétaire
✗ INTERDIT : documents confidentiels
✗ INTERDIT : emails internes
3. PROCÉDURE AVANT D'UTILISER L'IA
a. Vérifier que les données ne sont pas confidentielles
b. Anonymiser les données si possible
c. Utiliser le mode "Temporary Chat" pour les requêtes sensibles
d. Ne pas copier les réponses IA sans vérification
4. SANCTIONS
- Non-respect de la charte : avertissement écrit
- Fuite de données clients : procédure disciplinaire
- Fuite de secrets commerciaux : sanctions prévues par le contrat
5. FORMATION
- Tous les employés doivent suivre une formation de 2h sur
l'utilisation sécurisée de l'IA (à leur arrivée)
- Rappel trimestriel des bonnes pratiquesSolutions IA privées pour entreprises
Pour les entreprises qui traitent des données sensibles,
des solutions IA privées gardent vos données chez vous :
1. AZURE OPENAI SERVICE (Microsoft)
- GPT-4 hébergé sur votre propre instance Azure
- Vos données ne quittent pas votre environnement
- Pas d'entraînement sur vos données
- Conformité : SOC 2, ISO 27001, RGPD
- Tarif : similaire à OpenAI + coût Azure
- Idéal pour : banques, assurances, santé
2. OLLAMA (Open Source — GRATUIT)
- Exécutez des modèles IA sur votre propre ordinateur/serveur
- Modèles supportés : LLaMA 3, Mistral, Phi, Gemma
- Installation :
curl -fsSL https://ollama.ai/install.sh | sh
ollama run llama3
- Aucune donnée ne quitte votre machine
- Nécessite un PC avec GPU (ou un serveur)
3. LLAMA.CPP / GPT4ALL
- IA locale sur PC standard (même sans GPU)
- Modèles quantifiés qui tournent sur 8 Go de RAM
- Interface graphique simple
- Téléchargement : gpt4all.io
4. HUGGING FACE INFERENCE ENDPOINTS
- Déployez un modèle IA sur un serveur dédié
- Choix du datacenter (Europe disponible)
- À partir de 0.06$/heure
- Vous contrôlez le modèle et les donnéesObligations des entreprises sénégalaises
CHECKLIST DE CONFORMITÉ — Loi sénégalaise sur les données personnelles
□ DÉCLARATION À LA CDP
Déclarez tout traitement de données personnelles à la
Commission des Données Personnelles (cdp.sn)
→ Formulaire en ligne, gratuit
□ REGISTRE DES TRAITEMENTS
Documentez tous vos traitements de données :
- Quelles données collectez-vous ?
- Pour quelle finalité ?
- Combien de temps les conservez-vous ?
- Qui y a accès ?
- Utilisez-vous l'IA sur ces données ?
□ CONSENTEMENT
Obtenez le consentement explicite avant de :
- Collecter des données personnelles
- Les utiliser pour du profilage IA
- Les transférer à un tiers
- Les envoyer hors du Sénégal
□ MENTIONS LÉGALES
Votre site web doit informer les visiteurs :
- Quels cookies et traceurs sont utilisés
- Si des outils IA analysent leurs données
- Comment exercer leurs droits (accès, suppression)
- Coordonnées du responsable des données
□ SÉCURITÉ
Protégez les données contre les accès non autorisés :
- Chiffrement des données sensibles
- Authentification forte pour les accès
- Sauvegardes régulières
- Plan de réponse aux incidents
□ TRANSFERTS INTERNATIONAUX
Si vous utilisez des IA hébergées à l'étranger (ChatGPT, Google) :
- Vérifiez que le pays offre une protection adéquate
- Mettez en place des clauses contractuelles types
- Informez les personnes concernéesBonnes pratiques au quotidien
Anonymisez avant de coller. Si vous devez utiliser des données réelles dans un outil IA, remplacez systématiquement les noms par « Client A », les numéros de téléphone par « XXX », les montants précis par des fourchettes. L’IA fonctionnera tout aussi bien avec des données anonymisées.
Lisez les conditions d’utilisation. Chaque service IA a une politique de données différente. OpenAI, Google et Anthropic ont des pages claires expliquant ce qu’ils font de vos données. Prenez 10 minutes pour les lire — c’est votre responsabilité en tant que professionnel.
Utilisez des outils locaux pour les données sensibles. Pour les documents vraiment confidentiels, préférez Ollama ou GPT4All qui fonctionnent entièrement sur votre machine. La qualité est légèrement inférieure à GPT-4, mais vos données restent chez vous.
Formez vos équipes. Le maillon faible de la protection des données est humain. Un employé qui colle un fichier client dans ChatGPT par commodité peut compromettre la confidentialité de milliers de personnes. La formation et la sensibilisation sont plus efficaces que les interdictions.
Exercez vos droits. Si une entreprise utilise vos données personnelles pour de l’IA sans votre consentement, vous pouvez porter plainte auprès de la CDP. Le formulaire est disponible sur cdp.sn. Vos droits sont protégés par la loi et les sanctions peuvent être lourdes pour les entreprises en infraction.