Le secret des affaires et la confidentialité face à l’IA

L’intelligence artificielle a plusieurs visages. C’est un outil innovant, très performant qui peut, cependant, compromettre dangereusement le secret des affaires et la confidentialité des données des entreprises, s’il est mal utilisé.

Pour qu’une information puisse être protégée par le secret des affaires, elle doit, en application de l’article L 151-1 du Code de Commerce, répondre à 3 critères cumulatifs :

• Elle ne doit pas «.. être généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité ..» ;

• Elle doit revêtir “une valeur commerciale, effective ou potentielle, du fait de son caractère secret” ;

• Elle doit faire “l’objet de la part de son détenteur légitime de mesures de protection raisonnables, …,pour en conserver le secret ».

Les IA génératives (IAG) sont programmées pour créer, de manière autonome grâce à un apprentissage automatique à partir de milliards de données, des contenus très variés (textes, images, etc…). Elles s’entraînent sur des ensembles de données permettant de perfectionner leurs algorithmes. Le traitement massif de données et la génération automatisées de contenus peut provoquer une divulgation non autorisée, non maîtrisée d’informations relevant du secret des affaires ou simplement confidentielles, appartenant à une entreprise.

Souvent qualifiés de « boites noires », les traitements algorithmiques des systèmes d’IA sont opaques. Il ne peut pas être vérifié comment l’IA traite, partage, sélectionne commente, exploite les données qu’elle collecte. OpenAI (ChatGPT) enregistre les entrées des utilisateurs (conversations) et leurs métadonnées (adresse IP, données personnelles…), sans indiquer la durée de conservation de ces données ni comment elles sont utilisées pour améliorer les modèles. MISTRAL AI ne collecte pas de données par défaut lorsque ses modèles sont auto-hébergés ou localement hébergés sauf en cas d’interaction et d’utilisation via des serveurs externes sur le cloud.

Les entreprises peuvent s’exposer à une divulgation de leurs données, par la saisie d’un simple prompt pour générer un résumé d’un échange commercial, financier, une traduction, l’analyse d’un document …

L’entreprise doit donc anticiper les risques de divulgation de ses données en identifiant celles relevant du secret des affaires, ses données sensibles, notamment en les catégorisant, en les chiffrant, en mettant en place un contrôle strict des accès et de sécurisation des postes de travail fixes et mobiles, en paramétrant les systèmes d’IA pour minimiser et ne traiter que les données strictement nécessaires.

Si l’IA générative permet d’accomplir très rapidement de très nombreuses tâches (création de contenus, rédaction d’e-mails, assistance à la prise de décisions..etc ) elle permet tout autant la fuite de données (codes sources , données clients , etc..).

Le RGPD impose la mise en oeuvre de mesures techniques et organisationnelles pour garantir la sécurité des données à caractère personnel, notamment par la pseudonymisation, le chiffrement des données et des systèmes d’information. 

La CNIL a publié, en juillet 2025, de nouvelles recommandations sur le développement des systèmes d’IA, préconisant notamment une analyse d’impact préalable sur la protection des données (AIPD) si le traitement d’IA présente des risques élevés (profilage, traitement à grande échelle, données sensibles, croisement de jeux de données, etc.). Le EU AI Act catégorise également les systèmes d’IA sur 4 niveaux de risques (inacceptable, élevé, limité, minimal), avec obligations à la charge des entreprises et sanctions afférentes à chaque niveau de risques.

Par exemple, les pratiques de social scoring (affectation automatique de points aux employés,…) sont interdites et le déploiement de systèmes d’IA dans les infrastructures critiques (par exemple, la maintenance prédictive de systèmes aériens ou ferroviaires) sont à risques élevés.

Cependant, de nombreuses solutions d’IA ne sont pas hébergées sur des infrastructures européennes ou, souveraines mais sont développées par des sociétés américaines qui ne sont pas soumises au RGPD. Aux Etats-Unis, le Cloud Act, dont la portée est extra-territoriale, permet aux autorités américaines d’exiger l’accès à des données détenues par des fournisseurs de services américains où qu’elles soient stockées dans le monde.

Le Cloud Act et le RGPD poursuivent des objectifs différents. Le Cloud Act favorise l’accès à des données personnelles dès lors qu’elles sont détenues par des fournisseurs de services américains tandis que le RGPD protège les donnés à caractère personnel des ressortissants européens.

Les solutions d’IA génératives ne sont pas conçues pour offrir une garantie de confidentialité puisqu’elles sont à l’inverse gourmandes de données pour permettre leur entrainement. Certaines versions gratuites permettent de sélectionner un onglet « data control » et de désactiver l’historique des conversations qui sera conservé néanmoins pendant 30 jours avant d’être supprimé. Des versions payantes « entreprises » offre une garantie de confidentialité, sauf survenance d’incidents, sauf autorisation de l’utilisateur, sauf si la loi l’exige.

Chaque entreprise doit donc définir sa politique de sécurité, en veillant parallèlement à sensibiliser, former et responsabiliser ses collaborateurs sur les enjeux et les risques liés à l’utilisation de l’IA. Des salariés utilisent parfois des solutions d’IA sans l’autorisation de leur employeur, dans le but de faciliter et d’accélérer les tâches qu’ils doivent exécuter. Cette pratique qualifiée de « Shadow IA » peut facilement provoquer une fuite involontaire de données sensibles.

Une charte informatique et des clauses de confidentialité insérées dans les contrats de travail peuvent encadrer efficacement l’usage de l’IA ; le non-respect de ces clauses pouvant entraîner, outre une sanction disciplinaire, la mise en cause de la responsabilité civile et pénale d’un salarié.

Dans les relations clients, fournisseurs, prestataires informatiques, des accords de confidentialité (Non Disclosure agreement – NDA) peuvent être conclus.

La rédaction de ces clauses ou accords de confidentialité devra intégrer les exigences de protection spécifiquement liées à l’IA. Il conviendra de préciser la nature des informations concernées, l’étendue des obligations, la portée, la durée de la confidentialité. Elle peut stipuler une indemnisation en cas de violation de la confidentialité, prévoir la restitution ou la destruction des informations confidentielles. L’entreprise devra veiller à établir la preuve de la violation de l’obligation de non-confidentialité (traçabilité des accès, logs…) et prendre également en considération le risque de divulgation en cas de contentieux, en envisageant des mesures de protection lors de procédures judiciaires. Il conviendra également d’envisager les exceptions légales et jurisprudentielles à toute obligation de confidentialité (lanceur d’alerte, preuve loyale et proportionnée lors de l’exercice des droits de la défense, finalité du contrôle etc). En cas d’atteinte au secret des affaires ou à la confidentialité des données, le Code de Commerce prévoit la possibilité de saisir le Juge pour obtenir des mesures conservatoires d’interdiction ou de poursuites des actes de divulgation ou d’utilisation illicites des données (notamment article L. 151-1 à L 154 Ccom).

Cependant, aucune mesure ne sera aussi efficace que celles déployées par l’entreprise tant sur le plan technique que juridique pour protéger ses données sensibles. Toutes les entreprises sont concernées par ce défi ainsi que leur conseils , Avocats, Expert-Comptables qui sont soumis, de surcroît, au secret professionnel.

En cas de questions relatives au secret des affaires et à l’intelligence artificielle (IA), Cécile Moreira, avocat associée au sein de notre bureau de Paris se tient à votre disposition.