IA en entreprise : quelles données ne jamais envoyer ?

Définition courte

L’enjeu n’est pas d’interdire l’IA, mais d’éviter l’envoi non maîtrisé de données sensibles dans des outils non validés.

Problème concret pour une PME

L’IA rend la copie de données sensibles très facile : contrat, fichier client, CV, fiche de paie, procédure interne, marge commerciale, réponse à appel d’offres, ticket support ou rapport d’incident. Un collaborateur peut chercher à gagner du temps sans savoir où partent les informations ni si elles sont conservées ou réutilisées.

Une PME n’a pas besoin d’une politique complexe pour démarrer. Elle doit d’abord classer les données, choisir les outils autorisés, définir les usages interdits et expliquer les exemples concrets aux équipes. Les règles doivent être simples, applicables et reliées aux métiers.

Signaux à surveiller

Le signal faible le plus courant est l’absence de preuve disponible au bon endroit. Si la réponse dépend d’une personne unique, d’un prestataire indisponible ou d’une information non documentée, le risque doit être traité. Le deuxième signal est la confusion entre “cela existe” et “cela a été testé”. En continuité numérique, une mesure annoncée mais jamais vérifiée reste fragile.

Le troisième signal est l’impact métier : si le sujet peut bloquer la facturation, la production, la messagerie, les fichiers clients ou l’accès aux données sensibles, il doit remonter au niveau direction.

Checklist dirigeant

Erreurs fréquentes

La première erreur est de traiter ce sujet comme un détail technique alors qu’il peut bloquer l’activité. La deuxième est de se satisfaire d’une réponse orale sans preuve disponible. La troisième est de repousser le sujet parce que “tout fonctionne aujourd’hui”. En souveraineté numérique PME, la bonne question n’est pas seulement de savoir si une mesure existe, mais si elle est documentée, testée et compréhensible par la direction.

Comment décider sans surcharger la PME

La bonne approche consiste à choisir peu d’actions, mais à les rendre vérifiables. Une direction peut commencer par une preuve à demander, une responsabilité à nommer, une date de test à fixer et une décision à inscrire au prochain point de pilotage. Cette méthode évite de transformer le sujet en grand chantier technique et permet de progresser par preuves successives.

Exemple PME anonymisé

Un cabinet multi-sites utilisait des IA gratuites pour résumer des contrats et reformuler des réponses clients. La direction a mis en place une règle courte : aucun contrat, donnée RH ou fichier client dans un outil non validé, et une liste d’usages autorisés pour les tâches non sensibles.

Action à lancer cette semaine

Créez une charte IA d’une page : données interdites, outils autorisés, validation des usages sensibles et exemples métiers. Puis vérifiez les paramètres de confidentialité des outils retenus.

Dans le diagnostic, ce sujet doit être lu avec les autres familles de dépendance. Un problème de sauvegarde peut dépendre d’un prestataire, un problème cloud peut cacher un sujet de réversibilité, et un usage IA peut exposer des données qui n’ont pas encore été classées. C’est cette lecture croisée qui permet de prioriser sans se disperser.

Pour replacer ce sujet dans une vision globale, vous pouvez faire le diagnostic gratuit, consulter la page pilier correspondante : lire la page IA privée PME, ou demander une lecture dirigeant du score.