Hoja de repaso: Protection responsable des données et IA

📋 Plan du Cours

1. Protection des données sensibles
2. Utilisation des données par ChatGPT
3. Sécurisation des données
4. Cadre légal suisse
5. RGPD et LPD
6. AI Act européen
7. Charte IA Genève
8. Pratiques responsables IA
9. Anonymisation et pseudonymisation
10. Hygiène de prompt

📖 1. Protection des données sensibles

🔑 Notions clés & Définitions

• Données sensibles : Informations dont la divulgation peut compromettre la confidentialité, la sécurité ou la réputation d’une personne ou d’une organisation. Ces données nécessitent une protection renforcée pour éviter tout risque de fuite ou d’usage abusif.
• Données personnelles : Selon la LPD, ce sont toutes les informations permettant d’identifier directement ou indirectement une personne, telles que noms, adresses, mails ou numéros de téléphone (voir cadre légal suisse).
• Risques liés à l’utilisation de ChatGPT pour les données sensibles : Lorsqu’on saisit des données sensibles dans ChatGPT, celles-ci sortent du périmètre sécurisé de l’entreprise, ce qui peut entraîner leur stockage ou leur exploitation par des tiers, notamment si les versions gratuites ou Plus sont utilisées.
• Vigilance utilisateur : La nécessité pour l’utilisateur de protéger les données avant leur saisie dans ChatGPT, en anonymisant, pseudonymisant ou reformulant les informations pour limiter les risques de divulgation involontaire.

📝 Points essentiels

• La divulgation de données sensibles via ChatGPT peut entraîner une sortie du périmètre sécurisé de l’entreprise, augmentant ainsi le risque de fuite ou d’abus.
• Les différentes versions de ChatGPT ont des niveaux de sécurité variés : les versions Business et Enterprise garantissent un chiffrement renforcé et ne réutilisent pas les données pour l’entraînement, contrairement aux versions Plus ou Pro (voir section 2).
• La protection optimale des données sensibles passe par des techniques telles que l’anonymisation, la pseudonymisation ou le remplacement des chiffres par des codes, afin de limiter leur identification ou leur exploitation.
• La vigilance est essentielle : avant de saisir une information dans ChatGPT, il faut se demander si cette donnée pourrait être utilisée à des fins malveillantes ou compromettre la confidentialité. La règle d’or est de ne jamais insérer d’informations non destinées à un document public.
• La législation suisse, via la LPD (révisée en septembre 2023), impose que le traitement de données personnelles ou professionnelles doit respecter les principes de finalité, proportionnalité et sécurité (voir cadre légal suisse).

💡 À retenir

La protection des données sensibles dans l’utilisation de ChatGPT repose sur la vigilance de l’utilisateur et l’adoption de bonnes pratiques telles que l’anonymisation et la reformulation, car toute donnée sensible saisie peut sortir du périmètre sécurisé de l’entreprise.

📖 2. Utilisation des données par ChatGPT

🔑 Notions clés & Définitions

• Version gratuite / Plus (ou Pro) : Ces versions d’OpenAI, qu’elles soient gratuites ou payantes, peuvent utiliser les échanges pour améliorer leurs modèles. Selon OpenAI (date indéterminée), ces versions ne garantissent pas la confidentialité des données, ce qui limite leur usage professionnel pour des informations sensibles.
• ChatGPT Business : Version conçue pour les entreprises, elle garantit que les données échangées ne sont pas utilisées pour l’entraînement des modèles. Les prompts, fichiers et réponses sont chiffrés lors de la transmission et du stockage, et OpenAI s’engage à ne pas exploiter ces données à des fins d’amélioration.
• ChatGPT Enterprise : Version haut de gamme destinée aux grandes entreprises ou secteurs sensibles (banques, santé, conseil stratégique). Elle offre un chiffrement renforcé, des politiques de rétention configurables, et une intégration possible avec des systèmes internes. Elle assure que les données ne sont pas utilisées pour l’entraînement, avec un contrat de confidentialité spécifique.
• Utilisation des données par OpenAI : Selon la version, OpenAI peut ou non utiliser les échanges pour entraîner ses modèles. Les versions Business et Enterprise garantissent l’exclusion de ces données de l’entraînement, contrairement aux versions gratuites ou Plus.
• Engagements contractuels et sécurité : La version Enterprise prévoit des engagements contractuels précis, notamment en matière de sécurité renforcée, de chiffrement, et de non-utilisation des données pour l’entraînement, afin de répondre aux exigences des grandes structures et secteurs sensibles.

📝 Points essentiels

Les différentes versions de ChatGPT se distinguent principalement par leur gestion des données et leur sécurité. La version gratuite ou Plus permet à OpenAI d’utiliser les échanges pour améliorer ses modèles, ce qui peut poser problème pour un usage professionnel ou sensible. En revanche, ChatGPT Business et Enterprise garantissent que les données restent internes à l’organisation, grâce à un chiffrement lors de la transmission et du stockage, et à une politique claire de non-utilisation pour l’entraînement (voir OpenAI). La version Enterprise va plus loin en proposant un chiffrement renforcé, des politiques de rétention configurables, et la possibilité d’intégrer ChatGPT à d’autres systèmes internes, avec un contrat de confidentialité spécifique (voir OpenAI). Ces garanties sont essentielles pour respecter le cadre légal (voir section 4 et 5) et assurer la confidentialité des données sensibles.

💡 À retenir

Les versions Business et Enterprise de ChatGPT offrent des garanties de confidentialité et de sécurité renforcées, notamment par le chiffrement et la non-utilisation des données pour l’entraînement, ce qui en fait des solutions adaptées pour un usage professionnel et sensible. Les versions gratuites ou Plus, quant à elles, peuvent utiliser les échanges pour améliorer les modèles, limitant leur usage dans un contexte sécurisé ou confidentiel.

📖 3. Sécurisation des données

🔑 Notions clés & Définitions

• Anonymisation : Technique consistant à supprimer ou modifier les données permettant d’identifier une personne ou une entité, de façon à ce qu’il soit impossible de remonter à l’individu (voir section 9).
• Pseudonymisation : Processus de remplacement des données d’identification par des pseudonymes ou des codes, permettant de réduire le lien direct avec la personne tout en conservant la possibilité de réidentifier si nécessaire (voir section 9).
• Remplacement de chiffres par codes : Technique de substitution des montants, résultats ou autres chiffres sensibles par des variables ou codes temporaires, facilitant leur réinsertion sécurisée après traitement (voir section 9).
• Hygiène de prompt : Pratique consistant à vérifier, reformuler et masquer les informations sensibles dans les prompts avant leur envoi à l’IA, afin d’éviter la divulgation accidentelle de données confidentielles (voir section 10).
• Processus en deux temps : Méthode recommandée où la génération de contenu s’effectue d’abord à partir de données anonymisées, puis les vraies données sont réinsérées en interne dans un environnement sécurisé pour finaliser le document ou la réponse (voir contenu source).

📝 Points essentiels

• La sécurisation des données dans ChatGPT repose sur des techniques d’anonymisation, pseudonymisation et remplacement de chiffres par des codes, afin de limiter la divulgation d’informations sensibles lors des échanges (voir section 9).
• La règle d’or est de ne jamais insérer dans ChatGPT des informations confidentielles non destinées à un document public, pour respecter la confidentialité et éviter tout risque de fuite ou de traitement non sécurisé.
• L’hygiène de prompt est essentielle : avant d’envoyer une requête, il faut vérifier, reformuler et masquer toute donnée sensible, en se demandant si l’information peut être divulguée ou si elle doit rester confidentielle.
• La méthode en deux temps consiste à générer d’abord avec des données anonymisées, puis à réinsérer les données réelles dans un environnement contrôlé, protégeant ainsi la confidentialité tout en profitant des capacités de l’IA.
• Ces techniques sont conformes aux exigences légales telles que la LPD ou le RGPD, en limitant les risques liés à la divulgation de données personnelles ou professionnelles.

💡 À retenir

La sécurisation des données dans ChatGPT repose sur l’anonymisation, la pseudonymisation, le remplacement de chiffres par des codes, et une hygiène rigoureuse des prompts, en adoptant une démarche en deux étapes pour protéger efficacement la confidentialité.

📖 4. Cadre légal suisse

🔑 Notions clés & Définitions

• Données personnelles : selon la LPD révisée (entrée en vigueur septembre 2023), il s’agit d’informations permettant d’identifier directement ou indirectement une personne, telles que noms, adresses, numéros de téléphone ou identifiants internes, que ce soit de manière immédiate ou via des éléments combinés (voir définition dans le contenu source).
• Responsabilité de l’entreprise : la responsabilité juridique de l’organisation lors du traitement de données via des prestataires externes, notamment en ce qui concerne la conformité à la LPD, même si l’entreprise ne stocke pas directement les données (voir contenu source).
• Principes fondamentaux de la LPD : ensemble de règles essentielles pour le traitement des données, incluant la finalité (utiliser les données uniquement pour un objectif légitime), la proportionnalité (traiter uniquement les données strictement nécessaires) et la sécurité (protéger les données contre tout accès non autorisé) (voir contenu source).
• Champ d’application de la LPD : la loi s’applique dès lors qu’une organisation traite des données permettant d’identifier une personne, directement ou indirectement, en Suisse, y compris dans le contexte de traitement par des services comme ChatGPT, en tant que prestataire externe (voir contenu source).
• Champ d’application du RGPD : la réglementation européenne qui s’applique aux entreprises suisses traitant des données de personnes dans l’UE, indépendamment du lieu de l’entreprise, lorsque ces personnes sont situées dans l’Union européenne (voir contenu source).

📝 Points essentiels

• La LPD révisée (2023) étend la protection des données personnelles en Suisse en précisant que toute donnée permettant d’identifier une personne, directement ou indirectement, est concernée, notamment via des identifiants ou des éléments contextuels (voir contenu source).
• Lors de l’utilisation de ChatGPT, l’entreprise reste responsable du traitement des données, même si elle ne stocke pas directement ces informations, car le traitement est effectué par un prestataire externe (voir contenu source).
• La responsabilité de l’entreprise implique de garantir la conformité aux principes de la LPD, notamment en adoptant des mesures techniques et organisationnelles pour assurer la sécurité et la confidentialité des données (voir contenu source).
• La version professionnelle de ChatGPT (Business, Enterprise) offre des garanties renforcées : chiffrement, non-utilisation des données pour entraînement, contrats de confidentialité, ce qui facilite la conformité avec la LPD et le RGPD (voir contenu source).
• La distinction entre LPD et RGPD dépend de la localisation des personnes concernées, mais leur alignement volontaire facilite la conformité simultanée (voir contenu source).

💡 À retenir

La loi suisse révisée (2023) impose aux entreprises de traiter les données personnelles avec responsabilité, en respectant les principes de finalité, proportionnalité et sécurité, notamment lorsqu’elles utilisent des prestataires externes comme ChatGPT.

📖 5. RGPD et LPD

🔑 Notions clés & Définitions

• Champ d’application du RGPD : Le RGPD s’applique aux entreprises, y compris suisses, qui traitent des données personnelles de personnes situées dans l’UE, indépendamment de leur localisation géographique (voir cadre légal de l’IA en Suisse).
• Alignement volontaire de la LPD suisse sur le RGPD : La LPD révisée, entrée en vigueur en septembre 2023, a été conçue pour être compatible avec le RGPD, facilitant ainsi la conformité des entreprises suisses aux exigences européennes tout en respectant leur cadre national (voir cadre légal suisse).
• Distinction pratique entre LPD et RGPD : La différence principale réside dans la localisation des personnes concernées : la LPD s’applique aux données de personnes en Suisse, tandis que le RGPD concerne celles en UE. La conformité dépend donc du lieu de résidence des individus dont les données sont traitées.
• Exigences communes : Les deux régulations imposent des principes fondamentaux tels que la finalité, la proportionnalité et la sécurité dans le traitement des données, notamment par des mesures comme l’anonymisation, la pseudonymisation et le chiffrement (voir cadre légal suisse).
• Responsabilité du traitement : Selon AUTEUR (date), l’entreprise reste responsable du traitement des données, même si celles-ci sont traitées par des prestataires externes comme ChatGPT, ce qui implique une obligation de sécurisation et de conformité aux principes légaux.

📝 Points essentiels

• Le RGPD s’applique aux entreprises suisses traitant des données de personnes dans l’UE, indépendamment de leur localisation, ce qui oblige ces entreprises à respecter ses exigences pour éviter des sanctions (voir cadre légal de l’IA en Suisse).
• La révision de la LPD en 2023 a aligné ses principes avec ceux du RGPD, permettant une conformité facilitée pour les entreprises suisses, notamment par l’adoption de mesures techniques et organisationnelles renforcées.
• La distinction entre LPD et RGPD dépend principalement de la localisation des personnes concernées, mais leur contenu est très similaire, notamment en matière de principes de traitement, de sécurité et de transparence.
• La conformité aux deux régulations implique la mise en œuvre de mesures telles que l’anonymisation, la pseudonymisation, et le chiffrement, ainsi que la définition claire de la finalité du traitement (voir cadre légal suisse).
• La future réglementation européenne, l’AI Act, viendra compléter ce cadre en encadrant spécifiquement l’usage de l’IA, mais la responsabilité humaine demeure centrale dans la prise de décision automatisée (voir cadre légal de l’IA en Suisse).

💡 À retenir

La conformité au RGPD pour les entreprises suisses dépend de la localisation des personnes concernées, mais la révision de la LPD facilite cette conformité en alignant ses principes avec ceux de l’Union européenne, tout en insistant sur la sécurité et la responsabilité dans le traitement des données.

📖 6. AI Act européen

🔑 Notions clés & Définitions

• Objectifs et portée de l’AI Act : Encadrer l’utilisation de l’intelligence artificielle en Europe en classant les systèmes selon leur niveau de risque, afin de garantir la sécurité, la transparence et la responsabilité dans leur déploiement.
• Niveaux de risque : Classification des systèmes d’IA en fonction de leur potentiel d’impact, allant du risque minimal au risque élevé, avec des obligations spécifiques pour chaque catégorie (voir aussi "les usages sensibles").
• Obligations pour usages sensibles : Dispositions particulières pour les applications d’IA dans des domaines comme l’évaluation, le recrutement ou les décisions automatisées, incluant des évaluations de conformité, des mesures de transparence et de responsabilité.
• Impact sur les entreprises suisses : Même si la Suisse n’est pas membre de l’UE, les entreprises travaillant avec des partenaires européens ou utilisant des outils conformes à l’AI Act seront indirectement concernées, notamment par l’adoption de standards européens.
• Principe fondamental : L’IA doit rester un outil d’aide à la décision, la responsabilité humaine finale étant toujours assurée, pour éviter toute autonomie décisionnelle complète de la machine (voir aussi "l’IA comme outil d’aide à la décision").

📝 Points essentiels

L’AI Act européen, prévu pour 2026–2027, vise à réguler l’usage de l’intelligence artificielle en classant les systèmes selon leur niveau de risque (faible, limité, élevé, inacceptable). Il impose des obligations spécifiques pour les usages sensibles, notamment ceux liés à l’évaluation, au recrutement ou aux décisions automatisées, afin de garantir la transparence, la sécurité et la non-discrimination. La classification par risque détermine la nature des mesures à mettre en œuvre, comme l’évaluation de conformité, la documentation technique, ou la surveillance continue. Même si la Suisse ne fait pas partie de l’UE, ses entreprises seront impactées si elles collaborent avec des partenaires européens ou utilisent des outils conformes à ces standards. La philosophie centrale de l’AI Act insiste sur le fait que l’IA doit rester un outil d’aide à la décision, la responsabilité humaine étant toujours engagée, afin d’éviter toute autonomie totale de la machine. La conformité à ces règles doit s’intégrer dans une démarche proactive de gouvernance, notamment en adoptant une approche basée sur la transparence et la gestion des risques (voir aussi "Objectifs et portée de l’AI Act").

💡 À retenir

L’AI Act européen encadre strictement l’utilisation de l’intelligence artificielle selon son niveau de risque, en insistant sur la responsabilité humaine et la nécessité pour les entreprises, y compris suisses, de s’adapter aux standards européens pour assurer une utilisation responsable et conforme.

📖 7. Charte IA Genève

🔑 Notions clés & Définitions

• Nature non contraignante juridiquement de la Charte IA Genève : La Charte n’a pas de valeur légale obligatoire, mais sert d’orientation pratique et éthique pour l’utilisation responsable de l’IA, en traduisant les principes juridiques en règles d’usage concrètes.

• Rôle d’orientation opérationnelle : La Charte vise à guider concrètement les acteurs dans la mise en œuvre des principes juridiques, en proposant des règles d’usage, recommandations et lignes directrices exploitables au quotidien, facilitant l’intégration responsable de l’IA.

• Traduction concrète des principes juridiques (LPD, RGPD, AI Act) : La Charte adapte et simplifie les obligations légales en règles d’usage et recommandations pratiques, permettant aux organisations de respecter ces cadres tout en intégrant l’IA dans leurs activités.

📝 Points essentiels

La Charte IA Genève, élaborée comme un document d’orientation, ne constitue pas une loi mais offre une traduction opérationnelle des principes juridiques tels que la LPD (2023), le RGPD, et l’AI Act européen (2026–2027). Elle facilite la compréhension et la mise en pratique pour des acteurs non juristes en proposant des règles d’usage concrètes, notamment en matière de transparence, responsabilité humaine, protection des données et prévention des biais. La Charte encourage aussi la gouvernance interne en recommandant la désignation de responsables et l’information claire des personnes concernées. Elle joue un rôle de cadre éthique et organisationnel, complémentaire aux obligations légales, en insistant sur la nécessité d’établir des règles internes, d’identifier des responsables, et d’adopter une hygiène numérique dans l’usage de l’IA.

💡 À retenir

La Charte IA Genève est un guide pratique et éthique qui traduit les principes juridiques en règles d’usage concrètes, facilitant une adoption responsable de l’IA tout en complétant le cadre légal existant.

📖 8. Pratiques responsables IA

🔑 Notions clés & Définitions

• Importance d’adopter des pratiques responsables dans l’usage de l’IA : Mettre en place des comportements et des règles visant à garantir une utilisation éthique, sécurisée et respectueuse des principes fondamentaux lors de l’intégration de l’intelligence artificielle dans les activités professionnelles et quotidiennes.

• Respect des cadres légaux et éthiques dans les usages professionnels : Conformité aux lois, règlements et principes éthiques (voir section 3, 4, 6, 7) qui encadrent l’utilisation de l’IA, notamment en matière de protection des données, de transparence et de responsabilité.

• Sensibilisation aux risques liés à l’IA et aux données sensibles : Processus d’information et de formation visant à faire prendre conscience des dangers potentiels, tels que la divulgation de données confidentielles ou la manipulation de l’opinion, ainsi que des mesures de prévention adaptées.

• Promotion d’une culture de responsabilité et vigilance dans les équipes : Encouragement à instaurer une attitude proactive, critique et éthique parmi les collaborateurs, en favorisant la gouvernance interne, la désignation de responsables et la sensibilisation continue (voir Charte IA Genève).

📝 Points essentiels

L’usage responsable de l’IA repose sur la compréhension que l’intégration de ces technologies doit respecter un cadre éthique, juridique et organisationnel. La sensibilisation aux risques liés à l’IA et aux données sensibles est cruciale pour éviter les erreurs coûteuses ou les violations de confidentialité. La conformité aux cadres légaux, notamment la LPD (révisée en septembre 2023) et le RGPD, impose de traiter les données personnelles avec précaution, en privilégiant des techniques telles que l’anonymisation ou la pseudonymisation (voir section 9). La promotion d’une culture de responsabilité dans les équipes implique la mise en place de règles internes, la désignation de responsables et la formation continue pour garantir une utilisation éthique et sécurisée. La Charte IA Genève offre un cadre opérationnel pour traduire ces principes en pratiques concrètes, en insistant sur la transparence, la responsabilité humaine et la prévention des biais (voir section 7). Enfin, il est essentiel d’adopter une hygiène de prompt, c’est-à-dire de vérifier et reformuler les informations sensibles avant leur partage avec l’IA, pour limiter les risques de divulgation involontaire (voir section 10).

💡 À retenir

L’intégration responsable de l’IA nécessite une vigilance constante, une conformité aux lois en vigueur et une culture éthique au sein des équipes, afin de garantir un usage sécurisé, transparent et respectueux des principes fondamentaux.

📖 9. Anonymisation et pseudonymisation

🔑 Notions clés & Définitions

• Anonymisation : Technique consistant à transformer des données personnelles de manière à ce qu’elles ne puissent plus être rattachées à une personne identifiable, même avec des efforts raisonnables. Selon AUTEUR (date), l’anonymisation vise à rendre toute identification impossible, supprimant ainsi tout lien avec la personne concernée.
• Pseudonymisation : Processus de substitution des données identifiantes par des pseudonymes ou des codes, permettant de réduire le risque d’identification directe tout en conservant la possibilité de réidentifier la personne via un mécanisme de clé ou de référentiel sécurisé. AUTEUR (date) la définit comme une mesure technique qui remplace les identifiants par des pseudonymes, tout en permettant une réidentification contrôlée si nécessaire.
• Rôle dans la protection des données : Ces techniques permettent de limiter les risques liés à la divulgation de données sensibles lors de leur utilisation ou traitement, notamment dans le contexte de l’utilisation de ChatGPT. La pseudonymisation, en particulier, est souvent recommandée pour respecter les exigences légales (voir LPD, RGPD) en réduisant la vulnérabilité des données tout en permettant leur traitement à des fins spécifiques.
• Différence essentielle : L’anonymisation supprime toute possibilité d’identification, rendant les données non personnelles, alors que la pseudonymisation conserve une possibilité de réidentification contrôlée, ce qui permet une utilisation plus flexible tout en limitant les risques.

📝 Points essentiels

• La pseudonymisation est une mesure recommandée par AUTEUR (date) pour réduire la vulnérabilité des données sensibles, notamment dans le contexte de l’utilisation de ChatGPT, en permettant de traiter des données sans exposer directement l’identité des personnes concernées.
• L’anonymisation doit être irréversible pour être conforme à la finalité de protection maximale, ce qui implique souvent une transformation complexe et définitive des données. Elle est particulièrement adaptée lorsque la réidentification n’est pas nécessaire, par exemple pour des analyses statistiques ou des études anonymisées.
• La différence entre anonymisation et pseudonymisation est capitale pour la conformité légale : la pseudonymisation permet de continuer à traiter des données à des fins opérationnelles tout en limitant la responsabilité en cas de fuite ou de divulgation accidentelle.
• La lien avec les exigences légales (voir LPD, RGPD) : La pseudonymisation est explicitement recommandée pour respecter la sécurité et la minimisation des données, tandis que l’anonymisation, lorsqu’elle est irréversible, permet d’éliminer la qualification de données personnelles, facilitant leur traitement dans certains contextes.

💡 À retenir

L’anonymisation et la pseudonymisation sont deux techniques complémentaires pour réduire les risques liés à la manipulation de données sensibles, la première étant irréversible et la seconde permettant une réidentification contrôlée, essentielles pour respecter la législation tout en exploitant l’IA en toute sécurité.

📖 10. Hygiène de prompt

🔑 Notions clés & Définitions

• Vérification et reformulation : processus consistant à analyser et à modifier les données sensibles avant leur saisie dans un prompt, afin d’éviter leur divulgation accidentelle.
• Données sensibles : informations dont la divulgation pourrait compromettre la confidentialité, la sécurité ou la réputation d’une personne ou d’une organisation, telles que définies dans le chapitre 3.
• Hygiène de prompt : ensemble des bonnes pratiques visant à vérifier, reformuler et limiter la transmission d’informations sensibles lors de l’utilisation de l’IA, pour respecter la confidentialité et la législation (voir aussi "la légitimité", section 3).
• Règle d’or : principe fondamental selon lequel il ne faut jamais insérer dans un prompt une information que l’on ne serait pas prêt à rendre publique, afin de protéger la confidentialité (voir chapitre 3).
• Techniques d’anonymisation et pseudonymisation : méthodes permettant de remplacer ou de masquer les données personnelles ou sensibles par des codes, catégories ou descriptions fonctionnelles, pour limiter les risques lors de l’utilisation de l’IA (voir section 9).

📝 Points essentiels

• Lorsqu’on utilise ChatGPT, il est crucial de vérifier si les informations partagées sont sensibles, notamment en se demandant si leur divulgation pourrait nuire à la confidentialité ou à la réputation. La règle d’or est de ne jamais insérer dans le prompt une donnée que l’on ne souhaite pas voir devenir publique.
• La reformulation consiste à remplacer des données précises par des descriptions générales ou des codes : par exemple, au lieu de mentionner un nom d’entreprise ou un montant exact, utiliser des expressions comme "une grande entreprise" ou "un montant X".
• La vérification et la reformulation doivent faire partie intégrante de l’usage quotidien pour limiter les risques de divulgation involontaire. Il est conseillé de se poser systématiquement la question : "Est-ce que cette information est confidentielle ou stratégique ?" avant de l’envoyer à l’IA.
• La pratique recommandée en deux étapes est : (1) générer avec des données anonymisées ou simplifiées, puis (2) réinsérer en interne les données sensibles dans les documents sécurisés.
• La maîtrise de ces techniques permet d’assurer la conformité avec la législation (voir "la légitimité", section 3) tout en profitant des capacités de l’IA sans exposer d’informations sensibles.

💡 À retenir

L’hygiène de prompt consiste à vérifier, reformuler et limiter la transmission d’informations sensibles pour protéger la confidentialité, tout en utilisant efficacement l’IA. La règle d’or est de ne jamais partager d’informations que l’on ne souhaite pas rendre publiques.

📊 Tableaux de Synthèse

⚠️ Pièges & Confusions Fréquentes

1. Confondre anonymisation et pseudonymisation : la pseudonymisation permet une réidentification si nécessaire, contrairement à l’anonymisation totale.
2. Croire que toutes les versions de ChatGPT garantissent la confidentialité : seules Business et Enterprise offrent des garanties renforcées.
3. Utiliser des données sensibles dans la version gratuite ou Plus sans précaution : risque de fuite ou d’utilisation pour entraînement.
4. Sous-estimer l’importance de l’hygiène de prompt : envoyer des prompts non vérifiés peut entraîner la divulgation accidentelle d’informations.
5. Penser que le chiffrement seul suffit : la gestion des données doit aussi respecter la législation (LPD, RGPD).
6. Oublier la règle d’or : ne jamais insérer d’informations non destinées à un document public dans ChatGPT.
7. Confondre la finalité de pseudonymisation (réidentification possible) et anonymisation (impossible à remonter à la personne).
8. Négliger la méthode en deux temps pour la sécurisation des données sensibles.
9. Ignorer les exigences légales spécifiques du cadre suisse et européen (RGPD, LPD, AI Act).
10. Se fier uniquement à la sécurité technique sans gestion contractuelle ou organisationnelle.

✅ Checklist Examen

1. Connaître la définition de Perroux sur la croissance et son lien avec la gestion des données.
2. Identifier les différences entre données sensibles et données personnelles selon la LPD.
3. Expliquer les risques liés à l’utilisation de ChatGPT pour des données sensibles.
4. Décrire les techniques d’anonymisation, pseudonymisation et leur objectif.
5. Connaître les versions de ChatGPT (Gratuite, Plus, Business, Enterprise) et leurs garanties de sécurité.
6. Comprendre l’impact du RGPD et de la LPD sur l’utilisation des données dans l’IA.
7. Identifier les exigences du cadre légal suisse en matière de traitement de données.
8. Connaître les principes de l’AI Act européen et leur influence sur la pratique IA.
9. Maîtriser la charte IA de Genève et ses recommandations pour une IA responsable.
10. Expliquer la pratique de l’hygiène de prompt et la méthode en deux temps pour sécuriser les données.
11. Savoir utiliser la pseudonymisation pour réduire les risques lors de l’exploitation de données.
12. Vérifier la maîtrise du vocabulaire spécifique : anonymisation, pseudonymisation, chiffrement, réidentification.