1 entreprise sur 2 exposé ses données clients : ce que vos automatisations IA font vraiment
n8n, ChatGPT, webhooks non sécurisés - le cocktail silencieux qui met vos clients en danger
Retour d'expérience terrain - Audits 2LKATIME 2024-2025
Cet article s'appuie sur les constats réels de nos missions d'audit IA menées auprès de PME françaises entre mi-2024 et fin 2025. Les chiffres cités sont issus de notre expérience directe sur le terrain, pas de rapports génériques trouvés en ligne.
On a audité des dizaines d'infrastructures d'automatisation mises en place pendant la grande mode n8n de 2024. Le résultat est sans appel : dans 1 cas sur 2, des données clients étaient exposées. Pas à cause d'une cyberattaque sophistiquée, pas parce que quelqu'un avait mal géré les mots de passe. Simplement parce que des workflows avaient été construits vite, par des gens très motivés mais avec moins d'un an d'expérience, en suivant des tutos YouTube - sans que personne ne se pose la question de ce qu'il advenait des données qui transitaient dedans.
Ce que vous allez lire ici, c'est une synthèse de ce qu'on a vu concrètement : comment ChatGPT traite vos données, ce qui se passe quand vous connectez n8n à un LLM sans filet, et surtout ce que le RGPD dit de tout ça. Sans jargon inutile, avec des exemples tirés de vrais cas. Parce qu'on pense que vous méritez de savoir ce que font vraiment vos outils avant que la CNIL ne vous l'apprenne à votre place.
1. Ce que ChatGPT fait vraiment avec vos données
Commençons par le début, parce que beaucoup de collaborateurs pensent sincèrement que ChatGPT "c'est comme Google, ça reste dans le navigateur". Ce n'est pas le cas. Chaque message que vous envoyez à ChatGPT transite par les serveurs d'OpenAI, basés aux États-Unis. C'est un transfert de données hors UE au sens du RGPD - avec tout ce que ça implique.
Mais là où ça devient vraiment problématique, c'est la différence entre les versions que peu de DSI prennent le temps d'expliquer à leurs équipes.
~73%
des salariés utilisent la version gratuite ou Plus en entreprise
30 j
durée de conservation des conversations par défaut chez OpenAI
0
entreprises sur 10 ayant signé un DPA avec OpenAI dans nos audits
1/2
entreprises exposant des données clients dans nos audits 2024-2025
Avec la version gratuite ou Plus, OpenAI peut utiliser vos conversations pour améliorer ses modèles, sauf si vous désactivez manuellement cette option dans les paramètres (réglage que 95% des utilisateurs ne connaissent pas). Avec l'API directe ou ChatGPT Enterprise, les données ne sont pas utilisées pour l'entraînement, mais le transfert hors UE reste une réalité contractuelle.
Le vrai problème ce n'est pas toujours OpenAI qui "vole" vos données. C'est que vos équipes envoient à ChatGPT des informations qui ne devraient jamais quitter votre SI - souvent sans mauvaise intention, juste parce que personne ne leur a dit que c'était un problème. Voir notre article sur le Shadow AI en entreprise pour les chiffres complets.
2. Les 6 catégories de données que vous ne devriez jamais envoyer
Voici les types de données qu'on retrouve régulièrement dans des échanges ChatGPT lors de nos audits. Certains semblent évidents une fois qu'on les liste. Mais sur le moment, dans le feu de l'action, les collaborateurs ne font pas le lien entre "j'optimisé mon email client" et "je viens de transférer des données personnelles aux États-Unis sans basé légale".
Ce que les gens pensent envoyer
- - "Un mail à corriger"
- - "Un contrat à reformuler"
- - "Des données pour un rapport"
- - "Du code à déboguer"
- - "Une fiche RH à rédiger"
- - "Un devis à structurer"
Ce qu'ils envoient réellement
- - Noms, emails, numéros de téléphone de clients
- - Clauses confidentielles + identité des parties
- - Chiffre d'affaires, marges, données comptables
- - Tokens d'API, variables d'environnement, credentials
- - Salaires, évaluations, informations médicales
- - Tarification, conditions commerciales non publiques
La liste à bannir absolument : données personnelles identifiables (noms, emails, téléphones, adresses), données de santé ou RH, code source propriétaire avec logique métier, identifiants et secrets techniques, données financières non publiques, et tout document contractuel impliquant des tiers.
Ce n'est pas une question de paranoïa. C'est du droit. Chacun de ces éléments peut constituer un traitement de données à caractère personnel au sens du RGPD, et son envoi à un sous-traitant américain sans cadre contractuel adapté exposé votre entreprise à des sanctions réelles.
3. Le vrai problème : le pipeline n8n + LLM construit à la va-vite
Là où ça devient vraiment sérieux, ce n'est pas l'employé qui colle un contrat dans ChatGPT depuis son navigateur. C'est l'automatisation silencieuse qui tourne en arrière-plan, 24h/24, et que personne n'a relue depuis le jour où elle a été mise en prod.
En 2024, des centaines de PME françaises ont sauté sur n8n. L'outil est excellent, la communauté active, les tutos nombreux. Le problème : beaucoup de ces workflows ont été construits par des profils avec moins d'un an d'expérience en automatisation, souvent sans revue de sécurité, souvent sans que la DSI en soit informée. Ce qu'on a retrouvé dans nos audits est édifiant.
Scraping sans basé légale
Des workflows qui récupèrent automatiquement des informations depuis LinkedIn, des sites de tiers, des formulaires publics - sans consentement, sans mention légale, sans vérification que ces données peuvent légalement être traitées. Ces informations atterrissent ensuite dans une basé de données CRM ou dans un prompt envoyé à un LLM. Double violation : collecte illicite + transfert hors UE non encadré.
Aucune durée de conservation définie
L'article 5 du RGPD impose que les données personnelles ne soient pas conservées plus longtemps que nécessaire. Dans tous les workflows n8n que nous avons audités, cette question n'avait jamais été posée. Les basés Airtable, Notion ou PostgreSQL alimentées par ces workflows continuaient de grossir indéfiniment, sans purge automatique, sans politique de rétention. Des données de prospects contactés en janvier 2024 toujours là en décembre 2025, sans aucune justification légale.
Données clients injectées dans des prompts IA
Le workflow classique qu'on a rencontré plusieurs fois : un ticket entrant déclenche une récupération des données client dans le CRM, qui sont ensuite injectées dans un prompt envoyé à l'API d'OpenAI pour générer une réponse automatique. Résultat : nom, email, historique d'achat, et parfois données de facturation du client transitent en clair vers des serveurs américains. Sans DPA. Sans information du client. Sans basé légale documentée.
Zéro log, zéro traçabilité
Le RGPD impose un principe de responsabilité (accountability) : vous devez être capable de prouver que vous traitez les données de façon conforme. Dans nos audits, les workflows n8n ne généraient aucun log exploitable. Impossible de savoir quelles données avaient transité, vers où, et quand. En cas de contrôle CNIL, cette seule absence suffit à déclencher une procédure.
4. Ce que dit le RGPD - et ce que ça risque concrètement
On va être directs : les violations qu'on vient de décrire ne sont pas des zones grises. Ce sont des manquements clairs à des articles précis du règlement. Voici ceux qu'on rencontre le plus souvent dans ce contexte.
| Violation constatée | Article RGPD | Risque sanction |
|---|---|---|
| Scraping sans consentement ni basé légale | Art. 6 | Jusqu'à 20M€ ou 4% CA |
| Pas de durée de conservation définie | Art. 5 (1)(e) | Mise en demeure CNIL |
| Transfert hors UE sans garanties | Art. 44-49 | Suspension des transferts |
| Pas d'info des personnes concernées | Art. 13-14 | Sanction administrative |
| Absence de mesures de sécurité adaptées | Art. 32 | Responsabilité solidaire |
| Aucune traçabilité des traitements | Art. 5 (2) | Amende + obligation de mise en conformité |
Et ce n'est pas tout. L'AI Act européen, entré progressivement en application depuis 2024, ajoute une couche supplémentaire pour les systèmes d'IA utilisés dans des contextes sensibles (RH, relation client, scoring). Les PME qui ont connecté des LLM à leurs données clients sans analyse de risque préalable sont potentiellement en non-conformité sur les deux textes simultanément.
La CNIL a renforcé ses contrôles sur les usages IA en entreprise depuis début 2025. Les PME ne sont pas exemptées - elles représentent même une cible prioritaire dans le plan de contrôle 2026. L'ignorance de la réglementation n'est pas un argument recevable lors d'une mise en demeure.
5. Comment corriger ça - les alternatives qui existent vraiment
La bonne nouvelle : ce n'est pas irrémédiable. La mauvaise : il n'y a pas de solution magique qui règle tout en une heure. Voici ce qu'on recommande concrètement aux PME qu'on accompagne.
En premier lieu, cartographiez vos workflows existants. Avant d'acheter quoi que ce soit, il faut savoir ce qui tourne. Dans 80% des cas, les équipes qui ont construit ces automatisations ne sont plus les mêmes que celles qui les maintiennent. Un audit de 2h permet d'identifier les flux les plus critiques.
Pour l'usage ChatGPT au quotidien - ChatGPT Enterprise ou API avec DPA
Si vos équipes utilisent ChatGPT pour des tâches liées à l'activité, passez obligatoirement sur une version avec Data Processing Agreement signé. ChatGPT Enterprise offre des garanties contractuelles suffisantes pour la plupart des usages courants. Pour les données vraiment sensibles, Azure OpenAI avec hébergement Europe reste l'option la plus sûre - les données restent sur des serveurs européens, dans le périmètre de la réglementation UE. Nos équipes à Paris et Lyon peuvent vous aider à choisir la configuration adaptée à votre contexte.
Pour les workflows n8n - revue de sécurité systématique avant mise en prod
Aucun workflow touchant à des données clients ne devrait partir en production sans une revue qui réponde à trois questions simples : quelles données transitent ? vers où ? pendant combien de temps ? Ajoutez une politique de rétention automatique dans toutes vos basés alimentées par des workflows. Et loggez tout - pas pour faire plaisir à la CNIL, mais parce que sans log, vous êtes aveugle sur ce que font réellement vos automatisations.
Pour les cas les plus sensibles - modèles on-premise
Des modèles comme Mistral, LLaMA ou Ollama peuvent être déployés directement sur votre infrastructure ou sur un cloud souverain français (OVHcloud, Scaleway). Aucune donnée ne quitte votre périmètre. Les performances sont devenues comparables à ChatGPT pour la plupart des cas d'usage entreprise. C'est l'option qu'on recommande aux PME de secteurs réglementés (santé, finance, défense) ou traitant des volumes importants de données clients. Nos équipes accompagnent ces déploiements depuis Bordeaux jusqu'à Toulouse.
FAQ - Automatisation IA et données clients
Est-ce que ChatGPT utilise mes données d'entreprise pour s'entraîner ?
Avec la version gratuite et Plus, OpenAI peut utiliser vos conversations pour améliorer ses modèles, sauf si vous désactivez cette option dans les paramètres. Avec l'API ou ChatGPT Enterprise, les données ne sont pas utilisées par défaut pour l'entraînement. Mais la plupart des salariés utilisent la version grand public, ce qui représente un risque réel pour les données sensibles envoyées par inadvertance.
Qu'est-ce qu'un workflow n8n non sécurisé concrètement ?
C'est un workflow qui scrape des données sans basé légale, stocké des informations personnelles sans durée de conservation définie, les fait transiter en clair vers une API d'IA externe, et ne génère aucun log traçable. Dans nos audits, ce type de configuration représentait la majorité des cas d'exposition involontaire de données clients.
Quelles sont les sanctions RGPD encourues pour ce type d'exposition ?
La CNIL peut prononcer des sanctions allant jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros pour les violations les plus graves. Les manquements les plus courants dans ce contexte : absence de basé légale pour le traitement (Art. 6), non-respect du principe de minimisation des données (Art. 5), absence de mesures de sécurité appropriées (Art. 32), et défaut d'information des personnes concernées (Art. 13-14).
Comment savoir si mes workflows n8n exposent des données clients ?
Les signaux d'alerte : des nodes qui récupèrent des emails, noms, numéros de téléphone ou adresses de sources externes, des appels API vers OpenAI ou d'autres LLM contenant des champs de données clients, l'absence de chiffrement sur les connexions entre nodes, et l'absence de politique de rétention sur les basés de données alimentées par ces workflows. Un audit rapide de 2h permet généralement d'identifier les expositions les plus critiques.
ChatGPT Enterprise est-il vraiment plus sûr pour une PME ?
ChatGPT Enterprise offre des garanties contractuelles importantes : pas d'entraînement sur vos données, chiffrement au repos et en transit, conformité SOC 2, et un DPA signable. Cela dit, ce n'est pas une solution miracle. L'outil reste hébergé aux États-Unis, ce qui soulève des questions de transfert hors UE au regard du RGPD. Pour les PME traitant des données sensibles, les solutions Azure OpenAI avec hébergement Europe ou les modèles on-premise restent l'option la plus sécurisée.
Vos automatisations exposent-elles vos données clients ?
En 30 minutes, nos auditeurs peuvent passer en revue vos principaux workflows et vous dire où vous en êtes. Pas de discours commercial, pas de rapport de 80 pages - juste un bilan clair sur les risques réels et les priorités à traiter. La consultation est offerte, sans engagement.