Les Petites Lignes de l'IA — Data Inceptio & Parthema Avocats

📄 Livre Blanc — Février 2026

Les Petites
Lignes
de l'IA

Les enjeux juridiques de l'Intelligence Artificielle pour les entreprises françaises. Ce que cachent vraiment les conditions d'utilisation de vos outils IA.

Co-édité par

Sommaire

01 Éditos
02 Partie 1 — Enjeux et définitions
03 Partie 2 — Comparatif des 8 services IA
04 Analyse synthétique & recommandations
05 Passez à l'action — Audit IA
06 Annexes, offres & sources

Défiler

Édito — Olivier Lagrandeur · Fondateur & DG, Data Inceptio

« Les "petites lignes" des conditions d'utilisation cachent des enjeux considérables pour la protection de vos données, votre souveraineté numérique et votre conformité réglementaire. »

Depuis la création de Data Inceptio en 2017, nous accompagnons les entreprises dans leur transformation par la donnée et l'intelligence artificielle. En quelques années, le paysage a radicalement changé : l'IA générative est passée du laboratoire de recherche au bureau de chaque collaborateur.

Cette démocratisation est une formidable opportunité. Mais elle s'accompagne d'une réalité que beaucoup d'entreprises découvrent trop tard. Que deviennent les données que vos collaborateurs saisissent dans ChatGPT ? Sont-elles utilisées pour entraîner les modèles de demain — y compris au bénéfice de vos concurrents ? Ces questions sont opérationnelles et urgentes.

Olivier LagrandeurFondateur & Directeur Général — Data Inceptio

Édito — Marie-Pierre · Avocate Associée, Parthema Avocats

« Des millions de salariés français utilisent ChatGPT ou Copilot dans leur quotidien professionnel. Souvent sans politique interne, sans validation juridique. C'est le "Shadow AI". »

Le droit du numérique est ma spécialité depuis plus de vingt ans. Jamais je n'ai observé une technologie se déployer aussi vite avec aussi peu de cadrage juridique préalable.

Les risques sont réels et multiformes : fuite de données confidentielles vers des serveurs hors UE, violation du RGPD, exposition au CLOUD Act américain, dépendance à des services susceptibles d'être interrompus par décision politique unilatérale. Ce Livre Blanc est conçu pour vous aider à lire entre les lignes — littéralement.

Marie-PierreAvocate Associée — Parthema Avocats

Partie 1

Enjeux et définitions

1.1 Modèle vs. Service — la distinction fondamentale

🔧

Le Modèle IA (LLM)

Un programme informatique entraîné sur des milliards de textes pour comprendre et générer du langage. C'est le moteur.

GPT-4o (OpenAI)
Gemini (Google)
Claude (Anthropic)
Mistral Large, Llama, DeepSeek-V3

🚗

Le Service IA

L'interface qui vous permet d'utiliser ce moteur. C'est le véhicule.

ChatGPT (utilise GPT-4o)
Microsoft Copilot (GPT-4o via Azure)
Google Gemini
Perplexity (multi-modèles)

🔑 Pourquoi c'est important ? Un même modèle (GPT-4o) aura des conditions très différentes selon que vous l'utilisez via ChatGPT gratuit, ChatGPT Enterprise, ou Microsoft Copilot. Le risque ne réside pas dans le moteur, mais dans les conditions du véhicule.

1.2 Entraînement des modèles

📚

Phase 1 — Pré-entraînement

Le modèle est exposé à des milliards de textes. Phase initiale réalisée par l'éditeur. Vous n'avez aucun contrôle dessus.

⚙️

Phase 2 — Amélioration continue

Après le lancement, l'éditeur peut utiliser les conversations des utilisateurs pour améliorer son modèle. C'est ici que se situe le risque pour vos données.

⚠️

Le risque concret : Si vos collaborateurs saisissent des données confidentielles dans un service IA qui utilise ces échanges pour l'entraînement, ces informations peuvent se retrouver dans les réponses fournies à d'autres utilisateurs, y compris vos concurrents.

1.3 Vocabulaire essentiel

Terme	Définition	Implication pour l'entreprise
Opt-in	Vos données ne sont utilisées que si vous donnez votre accord explicite.	✅ Protecteur
Opt-out	Vos données sont utilisées par défaut, sauf si vous désactivez l'option.	⚠️ Risqué — Cas de ChatGPT gratuit
Pas d'entraînement	Le fournisseur s'engage contractuellement à ne jamais utiliser vos données.	✅ Idéal — Typique des offres Enterprise
Rétention	Durée pendant laquelle le fournisseur conserve vos conversations.	⚠️ Vigilance — Risque d'accès par des tiers

1.4 Données transmises aux IA

💬

Les prompts

Questions, instructions, contexte fourni par l'utilisateur

📎

Les fichiers joints

Documents Word, PDF, tableurs, images téléversés

🤖

Les réponses générées

Contiennent des reformulations de vos données

📊

Les métadonnées

Adresse IP, identifiant, horodatage, type d'appareil

🚨

Alerte Shadow AI : Selon plusieurs études, plus de 60 % des salariés utilisent des outils d'IA générative sans que leur entreprise le sache. La plupart utilisent des versions gratuites, sans aucune protection des données.

1.5 Localisation des données

Localisation	Cadre juridique	Protection	Commentaire
🇫🇷 France	RGPD + loi Informatique et Libertés	✅ Maximal	Niveau de protection le plus élevé
🇪🇺 Union européenne	RGPD + droit local	✅ Élevé	Protection harmonisée au sein de l'UE
🇺🇸 États-Unis	EU-US Data Privacy Framework + CLOUD Act	⚠️ Modéré	Conflit CLOUD Act / RGPD
🇨🇳 Chine (RPC)	PIPL + Loi sur le renseignement national	🚨 Faible	Accès gouvernemental obligatoire

1.6 Le CLOUD Act — un risque majeur

🚨

En clair : Si vos données sont hébergées par Microsoft, Google, Amazon, OpenAI ou toute autre entreprise américaine — même sur un serveur situé en France — les autorités américaines peuvent légalement exiger leur transmission. Le fournisseur est tenu d'obéir.

Le RGPD (article 48) interdit en principe le transfert de données personnelles vers un pays tiers sur la seule base d'une décision judiciaire étrangère. Le CLOUD Act ignore cette restriction. En pratique, les entreprises américaines privilégient le droit américain. Vos données ne sont donc pas pleinement souveraines si elles sont hébergées par un fournisseur US, même en Europe.

Fournisseur	Siège	Soumis au CLOUD Act ?
OpenAI (ChatGPT)	🇺🇸 États-Unis	⚠️ Oui
Google (Gemini)	🇺🇸 États-Unis	⚠️ Oui
Microsoft (Copilot)	🇺🇸 États-Unis	⚠️ Oui
Anthropic (Claude)	🇺🇸 États-Unis	⚠️ Oui
Perplexity	🇺🇸 États-Unis	⚠️ Oui
Mistral AI (Le Chat)	🇫🇷 France	✅ Non
Meta (Llama) — auto-hébergé UE	N/A (local)	✅ Non
DeepSeek — cloud	🇨🇳 Chine	🚨 Droit chinois

Partie 2

Comparatif des services IA

Nous avons analysé les politiques officielles de 8 services d'IA majeurs, dans leurs offres Enterprise / professionnelles (sauf indication contraire). Chaque service est évalué sur une échelle de 1 à 4 selon le niveau de risque identifié.

1 — Risque faible ou maîtrisé

2 — Risque modéré, sous conditions

3 — Risque significatif, vigilance requise

4 — Risque élevé, non recommandé pour données sensibles

Tableau 1 — Risque sur les données d'entreprise transmises

Service IA	Entraînement	Rétention	Accès prestataire	Note
ChatGPT Enterprise	Non par défaut	30j, ZDR possible	Limité (abus)	2
Gemini Enterprise	Non par défaut	≤30j	Contrôles DLP/CSE	2
Copilot M365	Jamais	Via Purview	EU Data Boundary	1
Claude Enterprise	Interdit par contrat	30j	Limité	2
Le Chat Enterprise	Non (DPA)	Configurable	UE natif	1
Llama auto-hébergé	N/A (local)	N/A (local)	Aucun	1
Perplexity Enterprise	Non (Enterprise Pro)	Configurable	SOC 2 Type II	2
DeepSeek cloud	Oui (ML training)	Non spécifiée	Accès gouv. chinois	4

Tableau 2 — Risque sur les données personnelles (RGPD)

Service IA	Conformité RGPD	DPA	Transfert hors UE	Note
ChatGPT Enterprise	Oui	Oui	US (DPF)	2
Gemini Enterprise	Oui	Oui (CDPA)	UE possible	2
Copilot M365	Oui (ISO 27018)	Oui	EU Data Boundary	1
Claude Enterprise	Oui	Oui	US	2
Le Chat Enterprise	Oui (natif UE)	Oui	Non (UE)	1
Llama auto-hébergé	Dépend hébergeur	N/A	Non (si UE)	1
Perplexity Enterprise	Déclarée (DPF)	Sur demande	US	3
DeepSeek cloud	Non démontrée	Non	Chine (RPC)	4

Tableau 3 — Niveau de souveraineté

Service IA	Siège	Serveurs UE	Législation extraterritoriale	Note
ChatGPT Enterprise	🇺🇸 US	Possible (Azure)	CLOUD Act	3
Gemini Enterprise	🇺🇸 US	Oui (europe-west)	CLOUD Act	3
Copilot M365	🇺🇸 US	Oui (EU Boundary)	CLOUD Act	3
Claude Enterprise	🇺🇸 US	Non précisé	CLOUD Act	3
Le Chat Enterprise	🇫🇷 France	Oui (Paris)	Aucune	1
Llama auto-hébergé	N/A	Oui (si choix UE)	Aucune	1
Perplexity Enterprise	🇺🇸 US	Non précisé	CLOUD Act	3
DeepSeek cloud	🇨🇳 Chine	Non (RPC)	Loi renseignement CN	4

Tableau 4 — Risque de coupure géopolitique

Service IA	Origine	Risque de restriction	Précédents	Note
ChatGPT Enterprise	🇺🇸 US	Faible pour l'UE	Aucun	2
Gemini Enterprise	🇺🇸 US	Faible pour l'UE	Aucun	2
Copilot M365	🇺🇸 US	Très faible (infra critique)	Aucun	2
Claude Enterprise	🇺🇸 US	Faible pour l'UE	Aucun	2
Le Chat Enterprise	🇫🇷 France	Quasi nul	Aucun	1
Llama auto-hébergé	Local	Nul (autonome)	N/A	1
Perplexity Enterprise	🇺🇸 US	Faible pour l'UE	Aucun	2
DeepSeek cloud	🇨🇳 Chine	Élevé (tensions US-CN, UE)	TikTok, Huawei	4

Tableau 5 — Risque sur la maîtrise financière des coûts

Service IA	Modèle tarifaire	Dépendance infra	Risque de hausse	Note
ChatGPT Enterprise	Abonnement + tokens	NVIDIA / Azure	Modéré	2
Gemini Enterprise	Inclus Workspace / API	TPU Google + NVIDIA	Modéré	2
Copilot M365	30 $/util./mois	Azure / NVIDIA	Modéré (lié à M365)	2
Claude Enterprise	Abonnement + tokens	AWS / NVIDIA	Significatif (startup)	3
Le Chat Enterprise	Abonnement UE	Infra UE / NVIDIA	Faible (soutien étatique)	1
Llama auto-hébergé	Coût infra interne	Votre choix	Maîtrisé	1
Perplexity Enterprise	Abonnement	Multi-cloud US	Significatif (startup)	3
DeepSeek cloud	Tokens (très bas)	Puces CN (restrictions)	Élevé (embargo)	4

Analyse synthétique

Les grands enseignements

Le « tout gratuit » est un piège pour l'entreprise

Les versions gratuites utilisent par défaut vos données pour entraîner leurs modèles. Le coût réel n'est pas financier : c'est la perte de contrôle sur vos données stratégiques.

La souveraineté reste le point faible des acteurs américains

Même avec les meilleures garanties contractuelles, les fournisseurs américains restent soumis au CLOUD Act. C'est un risque juridique structurel qu'aucune clause ne peut totalement neutraliser.

Mistral AI et l'auto-hébergement sont les options les plus sûres

Le Chat Enterprise cumule les avantages : hébergement français, pas d'entraînement, pas de CLOUD Act, soutien étatique franco-allemand.

Tableau récapitulatif complet

Service	Données entreprise	Données perso.	Souveraineté	Coupure géopol.	Maîtrise financ.	Moyenne
ChatGPT Enterprise	2	2	3	2	2	2,2
Gemini Enterprise	2	2	3	2	2	2,2
Copilot M365	1	1	3	2	2	1,8
Claude Enterprise	2	2	3	2	3	2,4
Le Chat Enterprise	1	1	1	1	1	1,0 ✅
Llama auto-hébergé	1	1	1	1	1	1,0 ✅
Perplexity Enterprise	2	3	3	2	3	2,6
DeepSeek cloud	4	4	4	4	4	4,0 🚨

Recommandations stratégiques

Recommandation 01

DeepSeek cloud : à proscrire pour les données sensibles

Stockage en Chine, entraînement sur vos données, accès gouvernemental obligatoire, risque de bannissement : le service cumule tous les facteurs de risque. Le modèle DeepSeek auto-hébergé sur infrastructure européenne peut en revanche constituer une alternative intéressante.

Recommandation 02

La diversification est une stratégie de résilience

Aucun fournisseur unique ne peut répondre à tous les besoins. Une approche multi-fournisseurs, combinant un acteur souverain (Mistral) pour les données sensibles et des acteurs américains pour les usages moins critiques, constitue un bon équilibre risque/performance.

🔑 Notre recommandation : Avant tout déploiement, réalisez un audit de vos usages IA pour cartographier les risques spécifiques à votre organisation. C'est la première étape indispensable pour construire une politique IA maîtrisée.

Passez à l'action

Demandez votre Audit IA

Vous utilisez déjà l'IA dans votre entreprise ? Avant de choisir un fournisseur ou de généraliser un usage, faites le point sur vos risques et obligations avec un diagnostic conjoint Data Inceptio + Parthema Avocats.

🗺️

Cartographie des usages

Identification de tous les usages IA, qu'ils soient déclarés ou relevant du « Shadow AI »

⚖️

Analyse des risques juridiques

Évaluation complète : RGPD, confidentialité, CLOUD Act, AI Act — chaque dimension de risque passée au crible

🗓️

Feuille de route

Recommandations opérationnelles, politique IA interne et plan de mise en conformité structuré

Questionnaire préparatoire + entretiens dirigeants & DSI

Rapport d'audit détaillé avec matrice de risques personnalisée

Restitution en comité de direction (1h30)

⏱ Durée : 2 à 4 semaines selon la taille de l'organisation

Contacter Data Inceptio → Contacter Parthema Avocats →

Annexes

Offres commerciales & partenaires

🤖

OpenAI — ChatGPT

ChatGPT FreeGratuit

Pas de garantie de confidentialité, entraînement opt-out.

ChatGPT Team25 $/util./mois

Console admin, pas d'entraînement.

ChatGPT EnterpriseSur devis

SSO, ZDR possible, DPA, audit.

🇫🇷

Mistral AI — Le Chat

Le Chat Pro14,99 €/mois

Hébergé UE, accès complet.

Le Chat Teams24,99 €/util./mois

Console admin, DPA, hébergé UE.

La Plateforme (API)À la consommation

API, hébergement Paris.

🔷

Anthropic — Claude

Claude Team25 $/util./mois

Rétention 30j, DPA.

Claude EnterpriseSur devis

SSO, SCIM, DPA, SLA.

💻

Meta — Llama (open-weight)

Auto-hébergementCoût infra

Contrôle total, souveraineté complète si hébergé UE.

Meta AI (assistant)Gratuit

Données traitées par Meta (US), CLOUD Act applicable.

Data Inceptio

Cabinet de conseil spécialisé en data et intelligence artificielle, fondé en 2017 par Olivier Lagrandeur (diplômé HEC Montréal). Basée à Nantes (Carquefou), l'entreprise accompagne les organisations dans leur transformation par la donnée à l'échelle européenne.

Intelligence Artificielle · Agents conversationnels, supervision d'IA, prompt engineering, stratégie IA
Data & Gouvernance · Conseil en stratégie data, développement d'interfaces SI
Formation · Programmes IA/data, coaching dirigeants

www.data-inceptio.ai →

Parthema Avocats

Cabinet d'avocats indépendant fédérant une quarantaine d'avocats et juristes, dont 14 associés, organisés autour de 11 secteurs d'activités. Présent à Nantes, Paris et Rennes.

Droit du numérique · Informatique, IA, marketing numérique
Protection des données · RGPD, sécurité, DPO externalisé, audits
AI Act · Accompagnement dans l'application du règlement européen sur l'IA

www.parthema.fr →

Sources et références

Fournisseurs IA

OpenAI : openai.com/enterprise-privacy
Google : support.google.com/a/answer/15706919
Microsoft : learn.microsoft.com/en-us/copilot
Anthropic : privacy.claude.com
Mistral : legal.mistral.ai/terms
Meta : ai.meta.com/open
Perplexity : perplexity.ai/hub/legal/privacy-policy
DeepSeek : cdn.deepseek.com/policies

Cadre juridique

AI Act — EUR-Lex
RGPD — Règlement Général sur la Protection des Données
CLOUD Act — Clarifying Lawful Overseas Use of Data Act, 2018
CNIL — Recommandations sur l'intelligence artificielle
Loi chinoise sur le renseignement national (2017)

Les PetitesLignesde l'IA

Enjeux et définitions

1.1 Modèle vs. Service — la distinction fondamentale

Le Modèle IA (LLM)

Le Service IA

1.2 Entraînement des modèles

Phase 1 — Pré-entraînement

Phase 2 — Amélioration continue

1.3 Vocabulaire essentiel

1.4 Données transmises aux IA

Les prompts

Les fichiers joints

Les réponses générées

Les métadonnées

1.5 Localisation des données

1.6 Le CLOUD Act — un risque majeur

Comparatif des services IA

Les grands enseignements

Le « tout gratuit » est un piège pour l'entreprise

La souveraineté reste le point faible des acteurs américains

Mistral AI et l'auto-hébergement sont les options les plus sûres

Tableau récapitulatif complet

Recommandations stratégiques

DeepSeek cloud : à proscrire pour les données sensibles

La diversification est une stratégie de résilience

Demandez votre Audit IA

Cartographie des usages

Analyse des risques juridiques

Feuille de route

Offres commerciales & partenaires

OpenAI — ChatGPT

Mistral AI — Le Chat

Anthropic — Claude

Meta — Llama (open-weight)

Data Inceptio

Parthema Avocats

Sources et références

Fournisseurs IA

Cadre juridique

Popup contact formation

Pop up contact conseil

Les Petites
Lignes
de l'IA