Vos prompts entraînent-ils ChatGPT et l'IA ? | SEQUR

Isabelle, 44 ans, dirige un cabinet comptable à Sainte-Foy avec 11 employés. Un vendredi soir, son associé lui envoie un message : « Regarde le courriel que j’ai reçu. » Le Commissaire à la vie privée du Canada leur demande de répondre à une plainte. Un ancien client a découvert que son dossier fiscal complet — nom, NAS, revenus 2024, enfants, adresse — apparaît textuellement dans une réponse ChatGPT qu’il a obtenue par pur hasard en demandant « donne-moi un exemple de déclaration d’impôt pour un travailleur autonome ».

Une de leurs comptables avait collé 200+ fichiers clients dans ChatGPT pendant 6 mois pour « l’aider à rédiger plus vite ». Elle utilisait son compte personnel gratuit. OpenAI n’a jamais « vendu » les données — c’est pire : les prompts sont rentrés dans l’entraînement, et le modèle peut parfois les régurgiter dans des conversations d’autres utilisateurs.

Isabelle me dit au téléphone : « Est-ce qu’on est dans le trouble? » Réponse courte : oui. Loi 25 au Québec, article 3.1 de la LPRPDE fédérale, tout est activé. Amendes possibles jusqu’à 25 millions ou 4 % du chiffre d’affaires mondial.

Son cas est extrême mais pas unique. Selon une enquête Gartner 2024, 32 % des employés de PME admettent coller des données confidentielles d’entreprise dans ChatGPT. Très peu se rendent compte que ça peut constituer une violation légale ou une fuite d’informations à large échelle.

Voici la vraie situation, outil par outil, en 2026. Sans langue de bois.

La question centrale : « Est-ce que l’outil utilise mes prompts pour entraîner son modèle? »

C’est LA question. Deux choses à distinguer :

Entraînement : les conversations deviennent littéralement des exemples que le modèle apprend à imiter. Ton prompt et la réponse peuvent, dans certains cas, être retrouvés ou inférés dans des réponses futures.

Logs opérationnels : le fournisseur garde une copie de tes conversations pour debug, abus et amélioration opérationnelle (pas entraînement). Durée typique : 30 jours.

Ces deux choses sont différentes. Un outil peut ne PAS entraîner sur tes prompts mais quand même les garder en logs pendant 30 jours. C’est le cas de tous les grands acteurs.

ChatGPT (OpenAI)

ChatGPT gratuit

Entraînement par défaut : oui.

Tes conversations sont utilisées pour améliorer les modèles GPT. C’est dans les CGU depuis le lancement.

Comment désactiver :

1. Ouvre ChatGPT.
2. Clic sur ton nom > Paramètres.
3. Contrôles des données > décoche « Améliorer le modèle pour tout le monde ».
4. Attention : en désactivant ça, l’historique des conversations est désactivé aussi (tu ne vois plus tes vieilles conversations dans la sidebar). C’est une décision produit d’OpenAI pour forcer le trade-off.

Rétention : même avec l’option désactivée, OpenAI garde les conversations 30 jours pour modération.

ChatGPT Plus (20 $ US / mois)

Entraînement par défaut : oui. Même comportement que le gratuit. Désactivable de la même manière. Plus ne change rien à la protection des données par défaut.

ChatGPT Team (25-30 $ US / utilisateur / mois)

Entraînement : jamais. OpenAI s’engage contractuellement à ne pas utiliser les données des plans Team pour entraîner ses modèles. Les données restent dans ton workspace.

Rétention : configurable. Par défaut 30 jours, peut être réduit.

Accès admin : contrôle des membres, journaux d’activité, SSO optionnel.

ChatGPT Enterprise

Entraînement : jamais. SOC 2, chiffrement au repos AES-256, contrôles admin avancés, SLA. Pour organisations 150+ employés typiquement.

API OpenAI (GPT-4o, GPT-4, GPT-3.5 via API)

Entraînement : jamais. Par politique depuis mars 2023, OpenAI n’utilise pas les données API pour entraîner.

Rétention : 30 jours pour abuse monitoring. Éligible Zero Data Retention (ZDR) sur demande pour les clients Enterprise.

À savoir : si ton équipe utilise une app custom faite avec l’API OpenAI (via Zapier, Make, ou un dev interne), c’est sous régime API. Tes données ne servent pas à l’entraînement.

Claude (Anthropic)

Claude.ai gratuit et Pro (25 $ CAD / mois environ)

Entraînement par défaut : non. Anthropic a une politique explicite : les conversations ne sont pas utilisées pour l’entraînement des modèles, sauf :

• Si tu donnes un pouce haut / pouce bas (feedback explicite). Dans ce cas, cette conversation peut être utilisée.
• Si la conversation est flaggée pour violation des politiques d’usage (ex: tentative de jailbreak, contenu illégal). Dans ce cas, la conversation peut être revue par des humains et utilisée pour améliorer les systèmes de sécurité.

Rétention : 30 jours pour les logs de sécurité.

C’est le plan grand public le plus protecteur par défaut, 2026.

Claude API (via console.anthropic.com)

Entraînement : jamais. Même politique que Team/Enterprise.

Claude for Work (Team, Enterprise)

Entraînement : jamais. Contrats explicites, SOC 2 Type II, options de résidence des données (US, UE), logs d’audit.

Gemini (Google)

Gemini gratuit (ex-Bard, gemini.google.com)

Entraînement par défaut : oui, si l’historique d’activité est activé.

Les conversations Gemini sont stockées jusqu’à 18 mois par défaut, et utilisées pour améliorer les services Google, y compris l’entraînement des modèles.

Comment gérer :

1. myactivity.google.com > Activité Gemini.
2. Tu peux désactiver l’enregistrement (dans ce cas, pas d’historique ni d’entraînement sur ces conversations).
3. Ou configurer l’auto-suppression (3, 18 ou 36 mois).

Point sensible : même avec l’enregistrement désactivé, Google garde les conversations jusqu’à 72 heures pour traitement et sécurité. Des réviseurs humains peuvent voir des conversations en cas de flag.

Gemini Advanced (via Google One AI Premium — 27 $ CAD / mois)

Comportement identique au gratuit en termes de données. L’abonnement débloque des modèles plus puissants (Gemini Advanced), pas une meilleure protection des données par défaut.

Gemini for Google Workspace (Business, Enterprise)

Entraînement : jamais, sur les données Workspace. Google s’engage à ne pas utiliser les données des comptes Workspace (Docs, Gmail, Drive) pour entraîner les modèles accessibles au grand public. Les conversations Gemini dans Workspace sont protégées par les conditions Workspace standard.

Point important : ça vaut pour le compte Workspace. Si un employé utilise Gemini via son compte Gmail personnel pendant qu’il est au bureau, le régime gratuit s’applique.

Microsoft Copilot

Copilot (consumer, copilot.microsoft.com gratuit)

Entraînement par défaut : non (depuis 2024, Microsoft a clarifié que les conversations Copilot consumer ne sont pas utilisées pour l’entraînement par défaut).

Rétention : 18 mois si connecté à un compte Microsoft, utilisé pour personnalisation.

Copilot Pro (22 $ CAD / mois)

Idem que consumer gratuit, en meilleure qualité (GPT-4, accès Word/Excel/PowerPoint).

Copilot pour Microsoft 365 (business, 30 $ US / utilisateur / mois)

Entraînement : jamais. Données traitées sous les engagements Microsoft 365 (résidence des données configurable, SOC 2, ISO 27001). C’est la meilleure option pour PME qui utilisent déjà Microsoft 365.

Autres outils courants

DeepSeek (gratuit, basé en Chine) : entraîne sur tes prompts par défaut, données stockées sur serveurs chinois, soumis à la loi chinoise sur la cybersécurité. Pour du travail perso anodin OK, pour des données clients ou sensibles, JAMAIS.

Mistral Le Chat (gratuit et payant) : plan gratuit — oui, entraînement possible. Plans payants et API : non. Données hébergées en UE (point fort pour RGPD/Loi 25).

Perplexity : par défaut, les conversations sont utilisées pour améliorer le service. Option « AI Data Retention OFF » disponible dans les paramètres.

GitHub Copilot (code) : les snippets de code sont envoyés aux serveurs. Plan Business et Enterprise : pas d’entraînement sur ton code. Plan Individual : politique de 2021-2022 disait oui, Microsoft a ajusté en 2023 — aujourd’hui le code n’est pas utilisé pour entraîner le modèle principal, mais des télémétries sont recueillies.

Loi 25 au Québec — ce qui change tout

La Loi 25 (entrée en vigueur par phases depuis septembre 2022, pleinement active depuis septembre 2024) impose aux organisations québécoises :

1. Consentement explicite pour la collecte, l’utilisation et la communication de renseignements personnels.
2. Désignation d’un responsable de la protection des renseignements personnels (obligatoire).
3. Évaluation des facteurs relatifs à la vie privée (EFVP) avant l’acquisition ou la mise en place d’un nouveau système traitant des RP.
4. Notification obligatoire en cas d’incident de confidentialité présentant un risque de préjudice sérieux.
5. Transferts hors Québec : évaluation obligatoire que la juridiction de destination offre une protection équivalente.

Où ChatGPT, Claude, Gemini grand public entrent en conflit avec la Loi 25

Si un employé d’une PME québécoise colle des renseignements personnels de clients (nom + courriel, ou dossier complet, ou historique médical, etc.) dans ChatGPT gratuit / Plus ou Gemini gratuit :

• Consentement du client : absent (le client n’a pas consenti à ce que ses données aillent chez OpenAI / Google).
• EFVP : probablement pas faite.
• Transfert hors Québec : OpenAI, Anthropic, Google sont US. Évaluation requise.
• Si les données servent à l’entraînement : c’est une communication à un tiers non prévue.

Résultat : violation potentielle. Plainte au CAI (Commission d’accès à l’information) possible. Amendes de 15 000 $ à 25 millions $, ou 4 % du chiffre d’affaires.

Le cas défendable

Utiliser ChatGPT Team/Enterprise, Claude for Work, ou Copilot pour Microsoft 365 avec :

• Contrat en bonne et due forme (DPA — Data Processing Agreement)
• Engagement no-training contractuel
• Évaluation des facteurs relatifs à la vie privée documentée
• Politique interne écrite sur l’usage de l’IA
• Formation des employés

Dans ce cas, l’usage est défendable. Ce n’est pas zéro risque (aucun transfert hors Québec n’est), mais c’est conforme à l’esprit de la loi.

Recommandations pratiques

Pour un particulier québécois

• Usage perso anodin (résumé d’article, idées de repas, aide à un CV) : ChatGPT gratuit avec entraînement désactivé OU Claude.ai gratuit (meilleure option par défaut).
• Données un peu sensibles (CV avec nom, lettre de motivation) : Claude.ai gratuit ou Mistral Le Chat (hébergé UE).
• Ne colle jamais : NAS, numéro de carte, infos médicales précises, courriels complets d’autrui, données de tes clients si tu es travailleur autonome.

Pour un travailleur autonome avec des clients

• Abonnement Claude Pro ou ChatGPT Plus avec entraînement désactivé, pour ton usage général.
• Pour les données clients : Claude Pro avec entraînement désactivé OU ChatGPT Team (25 $ US / mois pour 1 siège — minimum 2 users pour Team mais contourne avec un associé fictif à toi).
• Documenter ta politique : écris un petit document de 2 pages qui explique quelles données tu mets dans quel outil. Signe-le. Si plainte plus tard, tu prouves ta diligence.

Pour une PME québécoise (5-50 employés)

Plan minimum recommandé :

1. Outil officiel choisi : ChatGPT Team, Claude for Work, ou Copilot pour Microsoft 365 (dépend de ton écosystème existant).
2. Politique interne écrite : quels types de données peuvent aller dans l’IA, lesquels jamais. Signée par chaque employé.
3. Évaluation des facteurs relatifs à la vie privée (EFVP) documentée.
4. Bloquer l’accès aux outils grand public sur le réseau de l’entreprise (optionnel mais conseillé pour le secteur santé/financier). Via pare-feu ou DNS filtering.
5. Formation annuelle : 30 minutes par année, tous les employés, sur ce qui peut/ne peut pas aller dans l’IA.
6. Responsable RP désigné : obligatoire par la Loi 25.

Pour une PME dans la santé, le juridique ou le financier

Ajoute :

• Azure OpenAI Service (pas ChatGPT grand public) : traitement dans des régions configurables (Canada Central disponible), contrôles d’entreprise avancés.
• Ou Claude via AWS Bedrock dans la région Canada.
• DPA formel avec le fournisseur.
• Logs d’audit permanents.

Le résumé à coller sur ton frigo

Outil	Plan	Entraînement par défaut
ChatGPT	Free / Plus	OUI (désactivable)
ChatGPT	Team / Enterprise / API	JAMAIS
Claude	Free / Pro	NON (sauf feedback)
Claude	API / for Work	JAMAIS
Gemini	Free / Advanced	OUI (historique activé)
Gemini	Workspace Business+	JAMAIS sur données Workspace
Copilot	Consumer / Pro	NON par défaut
Copilot	Microsoft 365 Business	JAMAIS
DeepSeek	Gratuit	OUI (serveurs Chine)
Mistral	Le Chat gratuit	OUI possible
Mistral	Payant / API	NON

Ce qui pourrait changer en 2026-2027

• OpenAI a lancé ChatGPT Gov aux US. Attention à Canada Cloud prochainement.
• Anthropic offre Claude for Enterprise avec des options de résidence des données élargies.
• Québec : le CAI publie régulièrement des avis sur l’usage de l’IA. Suivez caiquebec.gouv.qc.ca.

Si tu veux de l’aide

On aide des PME québécoises à mettre en place une politique d’usage de l’IA conforme à la Loi 25 (politique interne, EFVP, choix d’outil, formation employés). Et on aide des particuliers à sécuriser leurs usages personnels de ChatGPT/Claude/Gemini.

Appelle ou visite sequr.ca. On ne vend pas de logiciel, on ne fait pas de commission sur les abonnements IA. On te montre juste la voie la plus simple selon ta situation réelle.

L’IA générative est l’un des outils les plus puissants de cette décennie. Refuser de l’utiliser, c’est te tirer dans le pied. L’utiliser n’importe comment, c’est te tirer dans l’autre pied. Entre les deux, il y a une zone raisonnable, défendable et productive. C’est là qu’on devrait tous viser.