Beaucoup de solopreneurs et de TPE utilisent ChatGPT au quotidien — pour rédiger des mails commerciaux, structurer une proposition, déboguer du code, brainstormer une stratégie. C'est efficace, c'est rapide, et c'est devenu un réflexe. Le sujet conformité commence quand on injecte dans ces conversations des données personnelles de prospects, des extraits de contrats clients, des bases d'emails à enrichir, ou plus généralement tout ce qui relève du traitement de données à caractère personnel au sens RGPD Art. 4.2.
À ce moment-là, ChatGPT n'est plus « un outil personnel comme une calculatrice ». C'est un sous-traitant au sens Art. 28, et la nature de l'abonnement souscrit change radicalement votre niveau de risque. ChatGPT Plus consumer, ChatGPT Team, ChatGPT Enterprise et l'API OpenAI ne sont pas équivalents sur le plan contractuel. Cet article décortique la mécanique, cite la plainte CNIL en cours, et donne la cartographie des alternatives EU souveraines.
OpenAI propose quatre produits qui partagent le nom « ChatGPT » mais qui ont des régimes contractuels totalement différents. Confondre les quatre est l'erreur fondamentale qui expose au risque CNIL.
| Produit | Public cible | DPA RGPD ? | Conversations entraînent le modèle ? | Data residency EU ? |
|---|---|---|---|---|
| ChatGPT (free) | Particulier | Non | Oui par défaut | Non |
| ChatGPT Plus | Particulier abonné | Non standardisé | Oui par défaut (opt-out manuel possible) | Non |
| ChatGPT Team | Petites équipes pro | Oui (DPA standardisé en ligne) | Non par défaut | Oui (sur demande Enterprise) |
| ChatGPT Enterprise | Entreprise | Oui (DPA + SOC 2 + ISO 27001) | Non par défaut | Oui (data residency EU forcée disponible) |
| OpenAI API | Dev / produit | Oui (DPA via Business Associate Agreement) | Non par défaut depuis mars 2023 | Oui (régions EU disponibles) |
Le piège classique du solopreneur : il a souscrit ChatGPT Plus à 20 $/mois en 2023 pour son usage perso, et l'année suivante il a commencé à coller dedans des conversations clients, des extraits de CRM, des mails de prospects à reformuler. À ce stade, il opère un traitement de données personnelles via un sous-traitant sans DPA signé, ce qui constitue une violation pure de l'Art. 28 RGPD. La CNIL peut sanctionner, et l'a déjà fait sur des cas comparables avec d'autres outils SaaS US.
La solution simple : pour tout usage qui touche aux données clients ou prospects, vous passez sur ChatGPT Team minimum (25-30 $/utilisateur/mois selon facturation), vous signez le DPA en ligne, vous activez l'opt-out training (par défaut maintenant), et vous documentez ça dans votre registre Art. 30. Vous êtes en règle au sens Art. 28. Restent les Art. 44-49 sur les transferts hors UE.
En mai 2024, l'association autrichienne noyb (Max Schrems) a déposé une plainte formelle contre OpenAI auprès de l'autorité autrichienne de protection des données, relayée par la CNIL française. Le grief central est simple : OpenAI ne peut techniquement pas garantir que les données personnelles intégrées dans le modèle GPT lors de l'entraînement puissent être rectifiées sur demande (RGPD Art. 16) ou effacées sur demande (Art. 17).
Concrètement, si ChatGPT hallucine une fausse information à votre sujet (date de naissance erronée, profession imaginaire, lieu de résidence faux), OpenAI ne peut pas « reprogrammer » le modèle pour corriger uniquement cette information. La seule mitigation possible côté OpenAI est un « filtre de sortie » qui bloque la production de cette donnée — ce qui n'est ni de la rectification, ni de l'effacement au sens RGPD.
Cette plainte est toujours en cours d'instruction à la date d'écriture de cet article (mai 2026). Elle ne disqualifie pas ChatGPT en tant qu'outil — vous restez compliant si vous avez signé le DPA et que vos données clients ne sont pas utilisées pour entraîner le modèle (opt-out par défaut sur Team / Enterprise / API). Mais elle pèse sur la trajectoire commerciale d'OpenAI en Europe, et sur le risque qu'à terme certains de ses produits deviennent non utilisables sans modifications structurelles.
Pour suivre l'évolution officielle, voir la page CNIL sur les modèles d'IA générative : cnil.fr/fr/intelligence-artificielle.
Mistral AI, fondée à Paris, propose une API LLM accessible via console.mistral.ai. Le tier Enterprise inclut un DPA standardisé EU, opt-out training par défaut, et — depuis avril 2026 — une garantie de processing EU exclusif (sans transferts hors UE). Modèles disponibles : Mistral Large 2 (équivalent GPT-4-class), Mistral Nemo (12B), Mixtral 8x22B, Codestral. Pricing pay-per-token compétitif vs OpenAI.
Note de transparence (Framework EUDAI v1.2 § 2.1.3) : un fournisseur EU peut, selon le tier d'abonnement souscrit, faire transiter une partie des traitements hors UE (autoscale multi-régions). Vérifiez toujours les processing locations effectives de votre tier, pas seulement la nationalité du vendor. Le tier Enterprise reste recommandé avec opt-out transferts explicite.
Anthropic (US) propose Claude (modèles Opus, Sonnet, Haiku) via API. La société est listée au Data Privacy Framework EU-US (dataprivacyframework.gov), ce qui couvre les transferts hors UE Art. 44-49 sous une décision d'adéquation européenne (UE 2023/1795). Anthropic propose un DPA standardisé, opt-out training par défaut, et data residency EU pour les clients Enterprise.
Trade-off : Claude est top-tier sur le reasoning et le code, mais reste juridiquement US sous CLOUD Act. Pour un Niveau 2 (usage interne dev) c'est très acceptable, c'est d'ailleurs ce qu'utilise EuTrustedIA pour rédiger ses propres contenus (cf. transparence pied de page). Pour un Niveau 3 (modèle exposé à vos clients finaux), la souveraineté radicale du Pilier 1 EUDAI recommande la bascule vers EU souverain.
Ces trois acteurs européens (FR / FR / CH) hébergent des modèles open-source (Mistral Nemo, Mixtral 8x22B, LLaMA 3.1 / 3.3) sur leur propre infrastructure EU. Vous appelez l'endpoint API, vous payez au token, et les requêtes ne quittent jamais l'infrastructure européenne. Juridiction sans CLOUD Act, conformité native UE.
endpoints.ai.cloud.ovh.net, juridiction française, datacenters Roubaix / Strasbourg.console.scaleway.com/generative-api, juridiction française, datacenters Paris / Amsterdam.infomaniak.com/fr/hebergement/ai-tools, juridiction suisse (loi LPD), datacenters Genève.C'est la Route C recommandée par défaut dans le Framework EUDAI v1.2 (§ 2.1.1). Trade-off : performance reasoning -5 à -10 points vs frontier US sur les benchmarks les plus exigeants, négligeable pour la majorité des cas d'usage professionnels.
Pour la souveraineté maximale, vous faites tourner un modèle GGUF open-weight (Mistral Nemo, Mixtral, LLaMA 3.1) sur votre propre serveur EU bare-metal ou cloud (Scaleway GPU, OVH GPU, Hetzner GPU). Via vLLM, llama.cpp ou Ollama, vous obtenez une API compatible OpenAI en quelques heures de setup.
Coût : une instance H100 sur Scaleway coûte ~2 €/heure d'usage, soit ~1 460 €/mois en continu (24/7) — économiquement intéressant à partir d'un volume significatif de requêtes. Trade-off : charge sysops (CUDA, monitoring, scaling), CapEx hardware si bare-metal.
C'est la Route D EUDAI, recommandée aux ICP haute sensibilité (banques privées, santé, défense, cabinets juridiques sensibles) pour qui même le DPA + CCT ne suffit pas.
Voici la matrice de décision rapide.
| Votre cas | Recommandation |
|---|---|
| Solopreneur, < 100 €/mois budget IA, usage interne uniquement (Niveau 2) | ChatGPT Team + DPA + opt-out training + activer data region EU. Acceptable. |
| Solopreneur, vous voulez aligner discours souverain dès aujourd'hui | Mistral La Plateforme Enterprise ou OVH AI Endpoints. Idem coût, narratif EU clean. |
| TPE / startup avec produit IA exposé à des clients EU (Niveau 3) | Mistral Enterprise ou Scaleway Generative APIs. Souveraineté radicale EUDAI Pilier 1. |
| Vous traitez des données santé / biométrie / opinions (Art. 9) | Self-host Mistral open-weight ou LLaMA sur Scaleway GPU EU. Route D. |
| Vous avez déjà 18 mois d'historique ChatGPT Plus avec données clients dedans | Audit immédiat — souscrivez Team pour migrer, purgez l'historique Plus, documentez dans registre Art. 30 + AIPD a posteriori. |
ChatGPT en contexte professionnel n'est ni interdit, ni recommandé d'office. C'est utilisable en Niveau 2 EUDAI avec ChatGPT Team minimum, DPA signé, data residency EU activée, et registre tenu. Pour le Niveau 3 (produit exposé à vos clients), les alternatives EU souveraines (Mistral Enterprise, Route C hosted EU, Route D self-host) sont préférables, à coût équivalent et avec un narratif commercial aligné.
Notre page de recommandations 12 outils liste les LLM EU validés. Pour un audit cartographié de votre usage LLM avec drapeaux Art. 28 et Art. 44-49, voir nos plans POSITRONIA-CORE.
Cet article a été rédigé par Claude Opus 4.7 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.