Vous collez un compte rendu confidentiel dans Claude ou ChatGPT. Où va ce texte ? Qui peut le lire ? Sert-il à entraîner le modèle ? La réponse ne dépend pas de l'éditeur choisi. Elle dépend de l'offre souscrite.

Sur une offre grand public, vos échanges peuvent nourrir l'entraînement du modèle, sauf désactivation explicite. Sur une offre professionnelle (Team, Enterprise, API), l'éditeur s'engage par contrat à ne pas s'en servir. Il doit aussi fournir un contrat de sous-traitance (DPA). C'est la seule ligne de partage qui compte pour la confidentialité IA, et elle vaut pour Claude, ChatGPT et Gemini de la même façon.

Confidentialité IA : grand public ou professionnel, la seule question qui compte en 2026

Les comparatifs qui opposent les éditeurs entre eux ratent l'essentiel. La bonne question n'est pas « quel outil est le plus sûr », c'est « quelle offre j'utilise ».

Depuis le 28 août 2025, les offres grand public d'Anthropic (Free, Pro, Max) entraînent par défaut sur vos conversations et vos sessions de code. Vous pouvez vous y opposer dans les paramètres de compte. Si vous acceptez, la rétention passe à cinq ans. Si vous désactivez, elle reste à trente jours. Ce changement ne s'applique pas aux offres Claude for Work (Team, Enterprise), ni à Claude for Government ou Claude for Education. Il ne touche pas non plus l'accès API via des plateformes tierces.

OpenAI applique la même logique de fond : par défaut, les comptes personnels de ChatGPT peuvent servir à l'entraînement, sauf désactivation. Sur ChatGPT Enterprise, Business, Edu et sur l'API, aucune donnée n'entraîne les modèles. Google suit le même principe : Gemini grand public n'offre aucune garantie contractuelle, quand Gemini pour Workspace repose sur un DPA.

Ceci mérite d'être dit clairement, sans en faire un argument de vente. L'absence d'entraînement sur les offres professionnelles est vraie et rassurante chez Anthropic. Elle ne différencie rien : OpenAI et Google appliquent la même règle sur leurs offres pro.

Ce que le RGPD exige réellement

Une idée reçue circule encore : le RGPD imposerait de stocker les données en Europe. C'est inexact. Le règlement encadre les transferts hors UE, il ne les interdit pas. Les clauses contractuelles types (SCC) permettent ces transferts, à condition que l'éditeur les propose.

Ce que le RGPD impose, concrètement :

  • un cadre légal pour tout traitement de données personnelles,
  • un contrat de sous-traitance (DPA) avec l'éditeur,
  • la capacité à répondre aux droits des personnes concernées.

Les offres grand public de Claude, ChatGPT ou Gemini ne fournissent pas de DPA. En l'absence de DPA, ces offres ne répondent pas aux exigences du RGPD pour un traitement de données personnelles de clients, de salariés ou de candidats. Les offres Team, Enterprise et l'API donnent accès à un DPA. Chez OpenAI, ce contrat a été mis à jour le 1er décembre 2025, effectif depuis le 1er janvier 2026, pour les clients Business, Enterprise et API.

Notre guide complet détaille comment cadrer un projet IA conforme au RGPD, de la base légale au contrat.

Résidence des données : ce que « stocker en Europe » veut dire en 2026

En 2026, Anthropic ne propose toujours pas de résidence des données en Europe en accès direct. Les zones disponibles sur claude.ai et l'API sont « us » et « global », sans garantie d'inférence en UE. Ce choix d'infrastructure touche aussi à l'application du Cloud Act aux données ia, un point détaillé plus bas. Claude a atteint la disponibilité générale sur Microsoft Foundry en juillet 2026, mais sans zone de données européenne à ce jour : elle reste annoncée, pas livrée.

Deux chemins permettent une résidence des données ia europe malgré tout :

  • AWS Bedrock, sur des régions européennes (Francfort, Irlande, Paris) : les modèles Claude tournent sur des serveurs situés dans l'UE.
  • Google Vertex AI, rebaptisé Gemini Enterprise Agent Platform en avril 2026, sur des régions européennes comme europe-west3 : même principe, avec en plus une option de rétention zéro pour les charges éligibles.

Ces deux options passent par une infrastructure cloud tierce, pas par un accès direct Anthropic. Dit autrement : Claude peut être déployé en conformité RGPD, avec résidence des données dans l'Union européenne, via AWS Bedrock ou Google Vertex AI en région européenne. C'est vrai, et ce n'est pas un avantage : OpenAI et Google proposent une résidence UE native sur leurs offres professionnelles, sans détour par un cloud tiers.

Le cloud act données ia est un point souvent oublié. Le Cloud Act permet aux autorités américaines d'exiger d'un fournisseur de droit américain les données qu'il détient. Peu importe où elles sont stockées dans le monde. Pour illustrer ce mécanisme : en juin 2025, la filiale française de Microsoft a reconnu sous serment, devant le Sénat, ne pas pouvoir garantir l'absence d'accès des autorités américaines à des données hébergées en France. Cet exemple concerne Microsoft, pas Anthropic. Il illustre le principe légal, pas un cas constaté chez cet éditeur. La résidence géographique réduit le risque d'accès. Elle ne l'élimine pas.

Le test en trois questions avant de confier une donnée sensible

Quel que soit l'éditeur, trois questions suffisent à cadrer une décision.

Mes données servent-elles à entraîner le modèle ? Sur les offres commerciales d'Anthropic, d'OpenAI et de Google, la réponse est non, et c'est inscrit au contrat. Sur les offres grand public, c'est le paramètre par défaut chez Anthropic et chez OpenAI, sauf désactivation.

Existe-t-il un contrat de sous-traitance (DPA) ? Sans DPA, une offre n'est pas compatible avec le RGPD pour des données personnelles. Vérifiez ce point avant de déployer, pas après.

Que couvre la rétention zéro ia ? Chez Anthropic, la rétention zéro est réservée à des accords approuvés au cas par cas, sur l'API. En dehors de ces accords, les organisations Enterprise configurent une rétention personnalisée, avec un minimum de trente jours. Chez OpenAI, la rétention zéro se demande auprès du service commercial pour les endpoints API éligibles : ce n'est pas une bascule en libre-service. Une réponse floue sur l'un de ces trois points est un signal d'alerte.

Ce que vous pouvez vérifier chez Claude

Sur ses offres Team, Enterprise et API, Anthropic s'engage contractuellement à ne pas entraîner ses modèles sur vos données. Elle s'engage aussi à fournir un DPA, des clauses contractuelles types pour les transferts UE-États-Unis, et à publier ses certifications. Anthropic a obtenu la certification ISO/IEC 42001:2023 en janvier 2025, parmi les premiers grands éditeurs d'IA. Elle couvre l'API, l'offre Enterprise, ainsi que les déploiements sur Amazon Bedrock et Google Vertex AI. OpenAI et Google disposent d'un socle de certifications équivalent : ce n'est pas un avantage exclusif de Claude.

Exigez ce niveau de transparence de n'importe quel éditeur avant tout déploiement. Nous avons rassemblé ces preuves dans un article dédié à la conformité et aux certifications de Claude. Une fois ces trois questions posées, la vigilance se déplace ailleurs : vers les usages, notamment quand l'IA se connecte à vos outils. Notre article sur les vrais risques de sécurité des données avec l'IA détaille ce terrain-là.

Questions fréquentes

Le RGPD oblige-t-il à stocker les données en France ou en Europe ?

Non. Le RGPD encadre les transferts hors UE, il ne les interdit pas. Il exige des garanties contractuelles (clauses contractuelles types) et un contrat de sous-traitance. Les éditeurs comme Anthropic, OpenAI ou Google fournissent ces garanties sur leurs offres commerciales.

Mes conversations avec l'IA servent-elles à entraîner le modèle ?

Sur les offres grand public d'Anthropic et d'OpenAI, oui, par défaut, sauf désactivation dans les paramètres de compte. Sur les offres professionnelles (Team, Enterprise, API), non, chez les trois éditeurs, et c'est inscrit au contrat.

Qu'est-ce que le Cloud Act, et s'applique-t-il aux données hébergées en Europe ?

Le Cloud Act permet aux autorités américaines d'exiger d'un fournisseur de droit américain les données qu'il détient, quel que soit leur lieu de stockage. Il s'applique donc aussi aux données hébergées sur des serveurs européens, dès lors que l'éditeur est une entreprise américaine. La résidence géographique réduit le risque d'accès, elle ne l'élimine pas juridiquement.

Quelle est la différence de confidentialité entre un abonnement IA grand public et une offre professionnelle ?

L'offre professionnelle apporte un contrat de sous-traitance (DPA), l'absence d'entraînement sur vos données, et souvent des options de rétention personnalisée. L'offre grand public n'apporte aucune de ces garanties contractuelles.

Qu'est-ce que la rétention zéro (Zero Data Retention) chez un éditeur d'IA ?

C'est une configuration dans laquelle le contenu de vos échanges n'est pas conservé après la réponse. Chez Anthropic, elle passe par un accord approuvé au cas par cas sur l'API. Chez OpenAI, elle se demande pour des endpoints API éligibles. Ce n'est nulle part une option activable en un clic.

Cadrer ces questions avant tout déploiement, périmètre, contrat, règles d'usage internes, c'est le premier travail que nous faisons avec nos clients. C'est l'approche de notre agence Claude. Pour faire le point sur votre situation, réservez un premier échange : trente minutes, sans engagement.