Chaque semaine, des professionnels commencent à utiliser ChatGPT au bureau. Ils rédigent des emails, synthétisent des documents, génèrent des modèles de lettres. Et c'est souvent très utile. Jusqu'au jour où quelqu'un colle le bilan d'un client dans la fenêtre de chat.
À ce moment-là, la question RGPD devient très concrète. Et la réponse, peu confortable.
Le problème avec ChatGPT et les données clients
ChatGPT, dans sa version grand public (et même dans beaucoup de versions professionnelles mal configurées), envoie vos données aux serveurs d'OpenAI, basés aux États-Unis. OpenAI peut les utiliser pour améliorer ses modèles. Vous n'avez pas de visibilité sur ce qui se passe ensuite.
Pour des données dites "publiques" — rédiger un texte générique, expliquer un concept fiscal, préparer une communication sans données personnelles — ça ne pose pas de problème RGPD particulier.
Mais dès que vous collez une donnée client dans ChatGPT :
Nom, prénom, numéro SIREN, données bancaires, éléments de bilan, coordonnées — toute donnée permettant d'identifier un client ou son activité constitue une donnée personnelle ou confidentielle. La transmettre à un tiers (ici OpenAI) sans cadre contractuel adapté et sans en avoir informé votre client peut constituer une violation du RGPD.
La CNIL a publié des recommandations claires sur ce sujet. Plusieurs ordres professionnels ont déjà mis en garde leurs membres. L'OEC (Ordre des Experts-Comptables) ne fait pas exception.
La règle simple à retenir
Avec ChatGPT : données publiques uniquement.
Rédigez, expliquez, reformulez — mais sans jamais y faire entrer le moindre élément identifiant un client réel.
Ce n'est pas une position radicale. C'est simplement la position prudente et conforme.
Pourquoi l'environnement Microsoft change tout
La majorité des cabinets d'expertise comptable en France travaille dans l'écosystème Microsoft : Outlook, Teams, Excel, Word, OneDrive. Souvent aussi avec des logiciels métier (CEGID, Sage, ACD) qui s'intègrent à cet environnement.
Ce n'est pas un hasard. Microsoft a investi massivement dans la conformité réglementaire européenne. Son offre M365 est couverte par un Data Processing Agreement (DPA) conforme au RGPD, avec hébergement des données en Europe pour les clients européens.
Dans ce contexte, l'arrivée de Microsoft Copilot for M365 n'est pas une révolution externe. C'est une extension logique des outils déjà en place.
Copilot for M365 : l'IA qui connaît déjà votre environnement
Copilot for M365 est intégré directement dans Word, Excel, Outlook, Teams et OneDrive. Il peut :
- Résumer un fil de discussion Teams ou une boîte mail chargée
- Rédiger une réponse à partir de vos mails précédents (ton, style, contexte)
- Analyser un tableau Excel et en extraire les points saillants
- Préparer un compte-rendu de réunion Teams en temps réel
- Chercher dans vos documents SharePoint pour vous répondre avec vos propres données
Les données traitées par Copilot for M365 restent dans votre tenant Microsoft. Elles ne quittent pas votre organisation et ne sont pas utilisées pour entraîner des modèles. Microsoft s'y engage contractuellement dans son DPA.
Ce n'est pas une garantie absolue. Aucun outil ne l'est. Mais c'est un cadre contractuel sérieux, auditable, et reconnu par les autorités de protection des données européennes.
Le comparatif en clair
| Critère | ChatGPT (grand public) | Copilot for M365 |
|---|---|---|
| Données clients | Déconseillé | Autorisé (dans le tenant) |
| Hébergement des données | USA (OpenAI) | Europe (tenant MS) |
| Utilisation pour l'entraînement | Oui par défaut (sauf opt-out) | Non contractuellement |
| Cadre RGPD formalisé | Partiel (API Pro) | DPA complet |
| Intégration outils métier EC | Via API uniquement | Natif (Outlook, Excel, Teams) |
| Accès aux documents internes | Non | Oui (SharePoint, OneDrive) |
| Usage sur données publiques | Excellent | Bon |
Et les autres IA ? Il n'y a pas que Copilot
Copilot n'est pas la seule option conforme. Azure OpenAI Service, par exemple, utilise la même technologie que ChatGPT mais tournant sur votre propre instance Azure, avec vos conditions contractuelles. Pour les structures très sensibles, des modèles hébergés localement (LLM open-source) éliminent tout flux de données sortant, au prix d'une vraie complexité technique. Certains SaaS spécialisés (rédaction juridique, analyse de contrats) proposent aussi un DPA européen — à vérifier au cas par cas.
Le critère n'est pas le nom de l'outil. C'est la réponse à trois questions :
- Où sont hébergées mes données ?
- Est-ce que l'outil peut les utiliser pour s'entraîner ?
- Est-ce qu'il existe un DPA signé avec mon fournisseur ?
Si les trois réponses sont satisfaisantes, l'outil est utilisable avec des données sensibles. Sinon, on reste sur les données publiques.
Ce qu'on fait chez IzaIA
Dans notre formation, on ne choisit pas un outil pour vous. On vous donne le cadre pour choisir le vôtre.
Dans la majorité des structures qu'on accompagne, l'environnement Microsoft est déjà en place. Copilot for M365 est donc la première recommandation — pas parce que c'est le meilleur outil du monde, mais parce que c'est celui qui s'intègre le plus naturellement à ce qui existe, avec le niveau de conformité le plus accessible.
On travaille aussi avec des équipes qui préfèrent d'autres solutions. Dans ce cas, on adapte. L'important, c'est que chaque collaborateur comprenne pourquoi il utilise tel outil dans tel contexte — et pas l'autre.
Parce qu'une charte IA qu'on ne comprend pas, personne ne la respecte.
2 jours en présentiel, dans vos locaux. On couvre le RGPD, les bons outils — et chaque collaborateur repart avec une charte IA qu'il a construite, pas subie.
En résumé
ChatGPT est utile — sur des données publiques uniquement. Dès qu'il y a une donnée client, il faut un outil avec un cadre RGPD formalisé. Pour la plupart des EC déjà sous M365, Copilot est la réponse la plus directe. La vraie question à poser avant de choisir n'importe quel outil : où vont mes données, et qui peut les lire ?
Une formation IA qui ne répond pas à cette question vous laisse avec le problème que vous aviez au départ.