Examen de la politique de confidentialité générée par l'IA : Devriez-vous utiliser ChatGPT ?
Par :
Masha Komnenic CIPP/E, CIPM, CIPT, FIP
| Mise à jour le : 20 août 2025
L'intelligence artificielle (IA) peut faire beaucoup - des moteurs de recherche sur internet au filtrage des courriels indésirables dans nos boîtes de réception - mais peut-elle rédiger votre politique de confidentialité à votre place ?
En tant qu'analyste de la conformité de Termly, je travaille depuis plusieurs années dans le secteur de la confidentialité des données, et les rumeurs selon lesquelles des entreprises utilisent ChatGPT pour élaborer des politiques de confidentialité ont piqué ma curiosité.
Les documents finaux sont-ils réellement solides sur le plan juridique ? Quels sont les éléments que ces entreprises utilisent pour s'assurer que les clauses finales reflètent leurs activités de traitement des données ?
J'ai mis ChatGPT à l'épreuve en lui demandant de rédiger un avis de confidentialité conforme.
Accompagnez-moi dans cette expérience d'IA, voyez quel type de politique elle a créé et dites-moi si vous pensez que l'IA a remplacé le besoin d'humains dans le monde de la confidentialité des données ou si les générateurs de politiques de confidentialité sont là pour rester.
Pouvez-vous utiliser ChatGPT pour une politique de confidentialité ?
Imaginez que vous demandiez à une IA d'élaborer pour votre entreprise une politique de confidentialité unique, précise et conforme à la loi. Quel rêve ! Nous y parviendrons peut-être un jour, mais pour l'instant, la touche humaine reste indispensable, surtout si vous voulez éviter d'enfreindre les lois sur la protection de la vie privée.
Lorsque j'ai essayé d'utiliser ChatGPT pour créer une politique de confidentialité précise, j'ai rapidement remarqué que même lorsque les résultats étaient satisfaisants, je devais toujours examiner attentivement chaque partie du document final.
Chaque itération de la politique de confidentialité de ChatGPT a nécessité de multiples éditions, révisions et mises à jour.
Vous vous dites peut-être, Etienne, cela ne veut-il pas dire que je peux utiliser ChatGPT pour au moins créer un brouillon pour moi ?
Vous pouvez tout à fait le faire, mais je vous suggère plutôt d'utiliser un modèle gratuit ( Générateur de politique de confidentialité ), en particulier un modèle validé par une équipe juridique et des experts en matière de protection de la vie privée.
Votre politique de confidentialité doit informer les utilisateurs de votre site web de vos pratiques transparentes en matière de confidentialité des données et vous aider à vous conformer à toutes les lois applicables en matière de confidentialité.
Un générateur le fait pour vous, et vous n'avez pas besoin d'écrire autant que vous le faites pour obtenir un résultat similaire, mais toujours imparfait, de notre ami l'IA, qui ne peut jamais garantir que votre politique finale est juridiquement solide ou exacte.
Mais je m'avance un peu... Commençons par quelques notions de base.
Qu'est-ce que l'IA et le ChatGPT ?
Dans sa forme la plus simple, l'intelligence artificielle, ou IA, désigne le fait qu'une machine peut faire preuve d'intelligence humaine - elle peut percevoir, synthétiser, faire des déductions, résoudre des problèmes et même lutter contre des cyberattaques.
ChaptGPT est un chatbot artificiellement intelligent développé par un groupe appelé OpenAI.
Le sigle "GPT" signifie Generative Pre-Trained Transformer (transformateur génératif pré-entraîné), qui fait référence à une série de grands modèles de langage ou LLM.
Les LLM qui forment ChatGPT utilisent l'apprentissage profond(c'est-à-dire l'apprentissage automatique qui imite étroitement la façon dont les humains traitent l'information) pour reconnaître des modèles, des textes, une syntaxe et une diction complexes.
Il a également accès à un ensemble de données contenant des millions, voire des milliards, d'exemples de mots écrits provenant de manuels, d'articles en ligne, de sites web et d'autres sources.
Grâce à cela, il peut utiliser un langage naturel, avoir des conversations semblables à celles des humains et créer différents types de contenu écrit, comme des messages sur les médias sociaux, des essais, des codes et des courriels.
Mais il s'avère qu'il n'est toujours pas en mesure de rédiger une politique de confidentialité conforme pour vous. Je m'explique.
ChatGPT Politique de confidentialité Test
Passons maintenant à la partie la plus amusante ! Avant de vous montrer mes résultats, laissez-moi vous présenter les différentes invites que j'ai utilisées pour demander à ChatGPT d'élaborer une politique de confidentialité.
Après des essais rigoureux, j'ai décidé d'utiliser les trois invites suivantes, qui sont devenues plus spécifiques à chaque fois.
| Test | ChatGPT Prompt |
| #1 | "Veuillez rédiger une politique de confidentialité pour https://termly.io/" |
| #2 | "Rédiger une politique de confidentialité pour https://termly.io/ qui soit conforme au RGPD " |
| #3 |
"Rédigez une politique de confidentialité pour https://termly.io/ qui comprend les informations suivantes :
Pour les utilisateurs de l'EEE/du Royaume-Uni :
Pour les utilisateurs californiens :
|
Voyons maintenant ce que notre ami IA a créé à partir de ces trois demandes.
Test 1 : Rédiger une politique de confidentialité pour Termly
Au départ, j'ai gardé une demande très large et simple en demandant à ChatGPT de rédiger une politique de confidentialité pour Termly. Pour moi, cette demande est comme le "contrôle" de l'expérience.
Le résultat ? La politique de confidentialité ne s'applique pas au champ d'application juridique de Termly.
Voir ci-dessous ce que ChatGPT a fourni :
J'ai tout de suite remarqué que l'IA n'était pas en mesure de définir la portée juridique de la politique de confidentialité, de sorte que la politique de confidentialité qu'elle a générée n'est pas conforme.
En règle générale, la première étape de la rédaction d'une politique de protection de la vie privée consiste à identifier les lois sur la protection des données qui s'appliquent à votre entreprise. Cela dépend notamment du lieu d'implantation de votre entreprise, de l'origine de vos clients et de votre secteur d'activité.
Mais comme ChatGPT ne pose pas de questions, il ne peut pas identifier les lois et règlements qui s'appliquent à votre entreprise.
Si vous essayez d'élaborer une politique de confidentialité de cette manière, vous devrez toujours lire les lois sur la confidentialité des données et identifier celles qui concernent votre entreprise. Vous devrez ensuite revenir à la politique de confidentialité et ajouter toutes les clauses pertinentes et les éléments manquants pour vous assurer qu'elle est conforme à ces lois.
En fait, vous écririez tout vous-même. Vous feriez mieux d'utiliser un modèle de politique de confidentialitéqui est déjà correctement formaté pour vous et qui vous permettra au moins de gagner du temps.
Test 2 : Rédiger une politique de confidentialité conforme au RGPD pour Termly
J'ai été un peu plus précis dans ma demande pour ce prochain test. Imaginons que nous ayons identifié que notre entreprise n'est soumise qu'au règlement général sur la protection des données (RGPD) - ChatGPT peut-il rédiger une politique de confidentialité conforme à ce règlement ?
Résultat ? La politique de confidentialité ne répond pas aux exigences RGPD et n'est pas conforme.
Jetez un coup d'œil à ce que ChatGPT m'a donné ci-dessous :
Malheureusement, il ne s'agit pas d'une politique de confidentialitéRGPD.
Si vous l'affichez sur votre site, vous risquez de vous voir infliger une amende pour violation du règlement. Personne ne souhaite cela.
Dans le tableau ci-dessous, nous comparons les exigences du RGPD à la politique de confidentialité générée par ChatGPT afin que vous puissiez voir précisément quelles parties du règlement cette politique enfreint.
| Article du RGPD | Exigences du RGPD | Politique de confidentialité générée par ChatGPT |
Article 13, paragraphe 1, point a)
|
Identité et coordonnées de l'entreprise. |
Partiellement conforme
|
| Article 13, paragraphe 1, point b) | Coordonnées du délégué à la protection des données (DPD). | Non conforme |
| Article 13, paragraphe 1, point c) | Finalités du traitement et base juridique. |
Partiellement conforme
|
| Article 13, paragraphe 1, point d) | Tiers ou catégories de tiers traitant les informations personnelles. | Oui |
| Article 13, paragraphe 1, point f) | les transferts internationaux, les garanties utilisées pour le transfert et la manière d'obtenir des informations sur ces garanties. | Non conforme |
| Article 13, paragraphe 2, point a) | Période de conservation des informations personnelles que vous avez collectées. | Oui |
| Article 13, paragraphe 2, points b) et c) | L'existence de droits d'accès, de rectification, d'effacement et de limitation du traitement des informations personnelles, ainsi que le droit de retirer son consentement. | Oui |
| Article 13, paragraphe 2, point f) | L'existence d'une prise de décision automatisée, y compris le profilage. | Non conforme |
| Article 13, paragraphe 2, point d) | Droit de déposer une plainte auprès d'une autorité de contrôle | Non conforme |
| Article 13, paragraphe 2, point e) | Si la fourniture de données à caractère personnel est une exigence légale ou contractuelle ou si elle est nécessaire à la conclusion d'un contrat. | Non conforme |
Article 14, paragraphe 1, point d)
|
Les catégories de données personnelles. | Oui |
| Article 14, paragraphe 2, point f) | De quelle source proviennent les données à caractère personnel. | Non conforme |
Comme le montre le texte en rouge dans le tableau ci-dessus, la politique de confidentialité de ChatGPT est loin d'être conforme à toutes les exigences du RGPD.
De plus, l'exactitude des informations générées n'est pas garantie.
Par exemple, si vous lisez la section 2, "Comment nous utilisons vos informations", de nombreux objectifs légalement applicables à Termly sont tout simplement absents.
Cela est dû au fait que ChatGPT génère un texte en utilisant d'autres politiques préexistantes comme référence - il n'est basé sur aucune de nos pratiques commerciales réelles.
Nous sommes revenus au problème initial rencontré lors du premier test. ChatGPT doit recevoir toutes les informations correctes directement dans l'invite, car notre ami IA ne peut pas nous demander de spécifications ou de corrections.
Test 3 : Rédigez une politique de confidentialité pour Termly qui comprend les informations suivantes...
Maintenant que nous avons établi que ChatGPT a besoin d'informations spécifiques pour rédiger une politique de confidentialité conforme, voyons s'il peut combiner les exigences de plusieurs lois sur la protection de la vie privée si vous lui fournissez toutes les informations nécessaires.
Cette fois, j'ai ajouté des détails sur le California Consumer Privacy Act(CCPA) et le RGPD.
En théorie, nous devrions enfin disposer d'un accord de confidentialité en bonne et due forme, prêt à être publié en ligne.
Résultat ? La politique de confidentialité comprend tous les éléments demandés, mais manque de clarté et de mise en forme. Elle doit encore faire l'objet de modifications humaines.
Pour rappel, voici l'invitation très complète et spécifique que j'ai envoyée à ChatGPT :
Ci-dessous, lisez la politique de confidentialité que ChatGPT a générée sur la base de ces longues instructions :
Je suis agréablement surpris par ces résultats. Mais je suis également conscient qu'il m'a fallu beaucoup de temps, d'efforts et d'écrits pour en arriver là. Et, si je ne me trompe pas, l'espoir est que l'utilisation de l'IA pour élaborer une politique de protection de la vie privée conduise à faire moins de travail, pas plus.
La politique de confidentialité générée par ChatGPT est satisfaisante en ce sens qu'elle inclut tous les éléments demandés. Elle mentionne même les lois sur la protection de la vie privée dans l'en-tête sans que nous l'ayons demandé :
'Si vous résidez dans l'Espace économique européen (EEE) ou au Royaume-Uni (RU), veuillez noter que nous nous conformons au règlement général sur la protection des donnéesRGPD) et à la loi britannique sur la protection des données de 2018. Si vous résidez en Californie, veuillez noter que nous nous conformons à la loi californienne sur la protection de la vie privée des consommateurs (CCPA).'
Dans notre message, j'ai également fait la distinction entre les exigences de l'EEE/du Royaume-Uni et celles de la Californie, et notre ami IA l'a reproduite dans la politique de confidentialité.
En tant que telle, elle peut être considérée comme une politique de confidentialité conforme, et nous pouvons en conclure qu'il est possible de combiner les exigences de différentes lois sur la protection de la vie privée, à condition de fournir à l'IA une demande détaillée et organisée.
Toutefois, un être humain est encore nécessaire pour finaliser cette politique de confidentialité.
Le texte généré par ChatGPT ressemble davantage à une liste de nos exigences qu'à un accord de confidentialité rédigé de manière logique. Il a pu inclure toutes les informations que j'ai demandées, mais il ne les a pas organisées de quelque manière que ce soit.
Une entreprise utilisant l'IA pour générer sa politique de confidentialité devra toujours en examiner le contenu et éventuellement en réécrire certaines parties pour la rendre plus lisible, cohérente et transparente (des lois telles que le RGPD et le CCPA l'exigent légalement).
Pourquoi vous devez être prudent avec ChatGPT
Où en sont ces expériences ?
Vous devez être prudent avec ChatGPT, surtout si vous pensez qu'il peut vous permettre de mettre en place une politique de protection de la vie privée conforme. À l'heure actuelle, la technologie n'existe tout simplement pas.
Comme l'IA s'appuie sur des contenus préexistants, elle n'élabore pas une politique unique ou personnalisée pour votre entreprise. Il s'agit plutôt d'une combinaison de toutes les politiques de protection de la vie privée existant sur l'internet.
Elle tend également à omettre les éléments légalement requis pour assurer une conformité totale - des détails dont vous ignorez peut-être l'existence si vous n'êtes pas un expert ou un juriste spécialisé dans la protection de la vie privée.
Vous devez également fournir à ChatGPT un ensemble de directives particulières et spécifiques. La rédaction de ces instructions demande du temps, des efforts et des connaissances juridiques sur les exigences commerciales et les obligations en matière de politique de protection de la vie privée.
C'est le même effort qu'il faut fournir pour remplir un formulaire gratuit ( modèle de politique de confidentialité ) (et ces formulaires ont plus de chances d'être conformes du premier coup).
En outre, c'est beaucoup plus compliqué que d'utiliser un site gratuit Générateur de politique de confidentialité, qui ne nécessite que très peu, voire pas du tout, d'écriture.
Une meilleure solution pour votre politique de confidentialité
Si vous êtes propriétaire d'une entreprise et que vous devez respecter les lois sur la confidentialité des données, l'utilisation d'un générateur pour élaborer votre politique de confidentialité sera votre meilleure solution.
Notre générateur vous fournit un projet final dont vous pouvez être sûr qu'il est juridiquement solide et unique pour votre entreprise, car il utilise les réponses que vous avez fournies pour créer l'accord.
Conçu par des ingénieurs produit et des experts en matière de protection des données, il comprend les clauses appropriées pour se conformer à sept lois différentes sur la protection des données, et nous le mettons régulièrement à jour lorsque ces lois changent ou que de nouvelles lois entrent en vigueur.
De plus, vous pouvez facilement y apporter des modifications en temps réel, si nécessaire, directement à partir de votre tableau de bord Termly .
Et croyez-moi, il est facile de répondre aux questions qu'il vous pose. En voici un exemple dans la capture d'écran ci-dessous :
Si vous avez besoin d'une politique de confidentialité de base, si vous ne traitez aucune donnée utilisateur ou si votre entreprise n'est soumise à aucune loi sur la confidentialité des données, je vous suggère d'utiliser un site gratuit modèle de politique de confidentialité plutôt que de vous fier à une IA comme ChatGPT.
Honnêtement, il est plus facile et plus rapide de remplir les modèles manuellement que de rédiger l'invite détaillée nécessaire pour amener notre amie l'IA à créer une politique de confidentialité acceptable.
Vous trouverez un exemple de notre modèle dans la capture d'écran ci-dessous :
Résumé
Selon mon avis d'expert, l 'IA n'est actuellement pas le moyen le plus efficace ou le plus abordable de rédiger une politique de protection de la vie privée conforme.
Pour que ChatGPT présente un accord de confidentialité juridiquement solide, il a fallu que j'intervienne à plusieurs reprises en tant qu'expert en matière de protection de la vie privée, ce qui aurait pu représenter des heures de travail pour un employé n'ayant pas l'habitude de s'occuper de la protection de la vie privée.
Par exemple, vous devrez lui expliquer explicitement dans votre message les détails suivants :
- Quelles sont les lois sur la protection de la vie privée qui s'appliquent à votre entreprise ?
- Coordonnées de votre entreprise
- Les coordonnées de votre délégué à la protection des données
- Vos objectifs pour le traitement des données
- Quelles sont les catégories de données que vous collectez ?
- si vous les vendez ou les partagez avec des tiers
- Les catégories de ces tiers
- Détails sur les transferts internationaux de données
Écrire toutes ces informations dans le cadre du ChatGPT équivaut essentiellement à rédiger la moitié d'une politique de confidentialité conforme. Ce n'est donc pas vraiment plus rapide, ce n'est certainement pas plus facile et, selon votre niveau d'expertise en matière de confidentialité des données, vous aurez peut-être encore besoin d'un avocat pour y jeter un coup d'œil.
En outre, votre politique de confidentialité générée par l'IA ne serait pas mise à jour automatiquement et ne pourrait donc pas suivre l'évolution des lois sur la confidentialité des données.
Des solutions comme Termly' s Générateur de politique de confidentialité ont été conçues pour respecter la confidentialité, ce qui n'est pas le cas de ChatGPT - je vous laisse choisir ce qui est le mieux pour protéger votre entreprise.
En savoir plus sur l'auteur
Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
