IA
Sécurité IA en entreprise : ce qui marche vraiment pour protéger ses données
Versions enterprise, déploiement on-premise, chartes internes : mon retour d'expérience sur la sécurisation des outils IA dans des PME et ETI.
Laurent Duplat2026-04-099 min de lecture
> **En bref :** Pour sécuriser l'IA en entreprise, le vrai risque n'est pas le vol de données par l'éditeur, mais la négligence humaine interne, les failles techniques et la perte de traçabilité. La protection efficace combine versions enterprise, déploiement on-premise pour les données sensibles et chartes internes claires, selon la nature des données.
Quand un dirigeant me consulte sur l'adoption de l'IA en entreprise, sa première question porte rarement sur les capacités des outils. C'est toujours : "Est-ce qu'on ne risque pas de balancer nos données stratégiques chez OpenAI ?" La crainte est légitime. Mes deux dernières années passées à accompagner des PME sur ce sujet m'ont appris que la réponse n'est pas binaire — elle dépend de la nature des données, de la maturité de l'équipe, et du niveau de risque acceptable pour l'organisation. Voici ce que je conseille concrètement, basé sur des déploiements réels.
## Le vrai risque : pas celui qu'on imagine
Le risque n'est pas qu'OpenAI ou Anthropic "vole" vos données pour leur compte. Ces entreprises ont trop à perdre commercialement pour s'y risquer. Le vrai risque, à mon expérience, est triple : (1) un salarié qui copie un contrat client dans la version gratuite de ChatGPT par négligence, (2) une faille technique chez le prestataire qui expose des conversations (cas survenu chez OpenAI en mars 2023), (3) la perte de contrôle sur la traçabilité des données soumises.
Sur les trois, le risque humain interne est celui qui se matérialise le plus souvent. C'est donc lui qu'il faut traiter en priorité.
## Ce qui ne doit jamais aller dans un LLM grand public
J'ai cette liste que je remets à mes clients en début de mission :
- Contrats clients ou fournisseurs non anonymisés
- Code source propriétaire (les versions Free sont la pire option, GitHub Copilot Enterprise est sécurisé)
- Données personnelles identifiantes (RGPD)
- Données de santé (HDS)
- Données financières non publiées (résultats avant communication)
- Stratégies commerciales en préparation
- Identifiants, mots de passe, clés API
Cette liste couvre 90 % des cas que je vois remonter. Le reste se discute selon le secteur.
## Solutions enterprise-grade : ce qu'elles apportent vraiment
ChatGPT Enterprise, Claude for Work et Microsoft Copilot for Microsoft 365 ne sont pas juste des versions plus chères. Elles changent le contrat de traitement des données. [Selon la documentation d'OpenAI sur les engagements Enterprise](https://openai.com/enterprise), les conversations ne servent jamais à l'entraînement, sont chiffrées en transit et au repos, et sont auditables. Anthropic publie des engagements équivalents sur Claude for Work.
Concrètement, sur un cabinet conseil que j'accompagne, le passage à ChatGPT Enterprise (45 sièges) a permis de débloquer des usages qui étaient interdits jusque-là — analyse de propositions commerciales clientes, structuration de rapports avant publication. Le coût annuel est significatif, mais inférieur à l'embauche d'un consultant junior, et l'usage est intensif.
## Déploiement on-premise : le vrai sujet pour les données sensibles
Pour les organisations qui traitent des données vraiment sensibles — laboratoires de recherche, cabinets juridiques, établissements de santé — la seule option défendable juridiquement reste l'auto-hébergement. Les modèles open source ont atteint en 2025 un niveau de performance qui rend ce choix viable :
- **LLaMA 3.3 70B** (Meta, décembre 2024) : excellent généraliste, déployable sur infrastructure GPU correcte
- **Mistral Large 2** : performant en français, déploiement privé possible via Mistral AI
- **Qwen 2.5 72B** (Alibaba) : alternative crédible avec une licence permissive
Le coût d'infrastructure est conséquent — comptez 4 GPU A100 ou équivalent — mais le contrôle est total. Pour mes clients qui ont franchi le pas, le ROI s'obtient en 12 à 18 mois sur des usages intensifs.
## La charte IA interne : étape souvent négligée
Je rédige systématiquement une charte d'usage IA pour mes clients. Quelques éléments incontournables :
1. **Liste des outils approuvés** par niveau de criticité de données
2. **Procédure de remontée** en cas d'usage inhabituel ou de doute
3. **Formation obligatoire** avant accès aux outils Pro et Enterprise
4. **Audit trimestriel** des conversations stockées côté entreprise (sur les plans Enterprise qui le permettent)
5. **Engagement individuel signé** par chaque salarié bénéficiant d'un accès
Cette dernière clause change la culture. Quand un salarié signe un engagement de non-divulgation explicitement lié à l'usage de l'IA, le passage à l'acte négligent devient beaucoup plus rare.
## Le shadow IA : le vrai cauchemar du DSI
Sans politique claire, les salariés utilisent leurs comptes personnels ChatGPT, Claude ou Gemini pour gagner du temps. C'est ce qu'on appelle le shadow IA, et c'est aujourd'hui ce qui inquiète le plus les DSI. La parade : offrir un accès officiel performant. Si vos équipes ont accès à ChatGPT Enterprise interne, elles n'iront pas sur la version gratuite avec leur compte perso.
J'ai vu plusieurs ETI faire le calcul à l'envers : le coût d'un abonnement Enterprise pour 100 sièges est très inférieur au coût d'une fuite de données avérée, ne serait-ce qu'en frais d'audit et de communication de crise.
## Audit annuel : la discipline à instaurer
Une fois par an, je fais un audit complet avec mes clients : qui utilise quoi, sur quelles données, avec quels logs disponibles. Cette discipline rend les déploiements IA durables. Sans audit, le risque dérive, en silence, jusqu'à l'incident.
Pour comparer les options sécurité des outils IA évalués, consultez notre [catalogue Trust-Vault](/fr/).
L
Laurent Duplat
Directeur de la publication — Trust-Vault