Exercice M3 - sécuriser l'usage de l'IA : RGPD, IA Act, shadow AI, 3 exercices progressifs avec corrigés détaillés
Sécuriser l'usage de l'IA en contexte professionnel
Durée
~35 min
Nom
Prénom
Exercice 1
-/4
Exercice 2
-/4
Exercice 3
-/4
Exercice 4
-/5
Total
-/17
Important avant de commencer : C3 ne teste pas des connaissances juridiques. Il teste votre capacité à identifier un risque, à adopter le bon réflexe professionnel, et à reformuler les enjeux de façon accessible. Vous n'avez pas besoin de citer des articles de loi - vous devez savoir quand s'arrêter et qui solliciter.
Exercice 1 · UF3 Ch.1 · 8 min
Identifier les risques RGPD dans des usages IA réels
4 pts
Pour chaque situation, choisissez l'évaluation correcte du risque RGPD. Une seule bonne réponse.
1
Un commercial copie-colle un email client dans ChatGPT pour lui demander de rédiger une réponse. Le client n'a pas donné son accord pour que ses données soient traitées par OpenAI.
Aucun risque : les emails professionnels ne sont pas des données personnelles au sens du RGPD
Risque réel : l'email contient des données personnelles (identité, coordonnées, contexte). Leur transfert vers un tiers (OpenAI, hors UE) sans base légale constitue une violation potentielle du RGPD
Risque acceptable : ChatGPT efface les données après traitement, donc il n'y a pas de violation
Risque uniquement si le commercial est dans une entreprise de plus de 250 salariés
2
Une RH utilise Mistral (hébergé en France) pour analyser des CV anonymisés - noms, prénoms et coordonnées ont été retirés. Elle garde les compétences, l'expérience et la localisation géographique.
Risque réduit mais non nul : la localisation géographique combinée à d'autres données peut permettre une réidentification. L'hébergement en France est un avantage mais ne suffit pas à garantir la conformité
Aucun risque : les données sont anonymisées, le RGPD ne s'applique plus
Risque élevé : toute analyse de CV par une IA est interdite, même anonymisée
Aucun risque : l'hébergement en France garantit la conformité RGPD automatique
3
L'IA Act classe les systèmes d'IA par niveau de risque. Lequel de ces usages est classé "risque inacceptable" et donc interdit en Europe ?
Un chatbot de service client qui répond aux demandes de remboursement
Un système IA qui aide un médecin à prioriser les dossiers urgents aux urgences
Un système de notation sociale des citoyens par les autorités publiques basé sur leur comportement
Un outil IA de recommandation de contenu sur une plateforme de streaming
4
Un apprenant vous demande : "Mon entreprise risque quelque chose si on utilise ChatGPT avec des données clients ?" Quelle est la bonne réponse de formateur ?
"Oui, vous risquez une amende RGPD pouvant aller jusqu'à 4% de votre chiffre d'affaires mondial"
"Non, ChatGPT est conforme RGPD depuis 2023 donc il n'y a pas de risque"
"Je peux vous expliquer les principes généraux du risque RGPD - mais pour votre situation précise, c'est votre DPO ou service juridique qui peut vous répondre. Ce n'est pas mon rôle de vous conseiller juridiquement."
"Ça dépend de la taille de votre entreprise - en dessous de 10 salariés, il n'y a pas d'obligation"
Corrigé - exercice 1
Q1 - B. Les emails professionnels contiennent quasi systématiquement des données personnelles. OpenAI (comme la plupart des grands modèles américains) peut utiliser ces données pour l'entraînement si l'option n'est pas désactivée, et le transfert hors UE nécessite une base légale. Le risque est réel et documenté - voir l'affaire Samsung/ChatGPT (2023).
Q2 - A. L'anonymisation réduit le risque mais ne l'élimine pas : la localisation géographique est une donnée qui peut permettre une réidentification croisée. L'hébergement en France est un avantage (pas de transfert hors UE) mais la conformité RGPD dépend aussi de la finalité du traitement et de sa documentation.
Q3 - C. La notation sociale par les autorités publiques figure explicitement dans l'IA Act comme usage à "risque inacceptable" et est interdite en Europe. Les autres usages sont classés "risque élevé" (médical) ou "risque limité" (chatbot, recommandation) - encadrés mais autorisés.
Q4 - C. C'est la réponse la plus importante de cet exercice. Un formateur n'est pas juriste. Même si vous connaissez les chiffres des amendes, les énoncer dans ce contexte revient à donner un conseil juridique. La formule "ce n'est pas mon rôle" protège l'apprenant ET le formateur.
Exercice 2 · UF3 Ch.1 & Ch.2 · 12 min
Corriger un prompt non conforme RGPD
4 pts
Contexte - Chargée de clientèle dans une mutuelle santé
Lucie est chargée de clientèle. Elle reçoit des réclamations complexes et veut utiliser l'IA pour rédiger des réponses. Elle utilise ChatGPT (compte personnel, sans option de désactivation du réentraînement activée) et soumet ce prompt :
Prompt original de Lucie non conforme
"Tu es un expert en assurance santé. Voici la réclamation de mon client M. Jean Dupont, né le 12/03/1978, numéro d'adhérent 445892-B, domicilié 14 rue des Lilas, 69003 Lyon. Il conteste le remboursement de son hospitalisation du 15 au 18 octobre pour une chirurgie du genou droit. Son médecin traitant est le Dr Moreau. Rédige une réponse professionnelle qui explique pourquoi son remboursement a été calculé correctement selon son contrat Formule Confort+."
Identifiez les problèmes RGPD dans ce prompt, puis réécrivez-le de façon conforme.
5
Quels éléments du prompt posent un problème RGPD ? Sélectionnez toutes les réponses correctes.
Le nom, prénom et date de naissance du client - données d'identité directement nominatives
Le numéro d'adhérent et l'adresse - données permettant une identification et une localisation précises
Les informations de santé (chirurgie, hospitalisation, médecin traitant) - données de santé = catégorie spéciale RGPD, protection renforcée obligatoire
Le nom du contrat (Formule Confort+) - donnée confidentielle mais pas une donnée personnelle au sens strict
Plusieurs réponses possibles.
6
Réécrivez le prompt de Lucie de façon conforme - en conservant la capacité à obtenir une réponse utile.
Corrigé - exercice 2
Q5 - Les 3 premières réponses sont correctes. Nom/prénom/date de naissance, numéro d'adhérent/adresse, et surtout les données de santé (catégorie spéciale RGPD, art. 9) posent tous un problème sérieux. Le nom du contrat n'est pas une donnée personnelle au sens RGPD - bien qu'il soit préférable de le retirer aussi.
Q6 - Version conforme attendue : "Tu es un expert en assurance santé. Un adhérent conteste le remboursement d'une hospitalisation de 3 jours pour une intervention chirurgicale orthopédique. Son contrat inclut la Formule Confort+. Rédige une réponse professionnelle type expliquant les principes de calcul du remboursement pour ce type d'acte, en laissant des espaces à compléter avec les données spécifiques du dossier."
Principe clé à retenir : anonymiser ou pseudonymiser avant de soumettre à l'IA. L'IA n'a pas besoin du nom réel pour produire une réponse utile - elle a besoin du contexte et de la structure du cas.
Exercice 3 · UF3 Ch.2 · 15 min
Analyser un cas de shadow AI selon l'IA Act
4 pts
Cas - Entreprise industrielle, 180 salariés
Dans une entreprise de fabrication, plusieurs ingénieurs utilisent ChatGPT en dehors des outils approuvés par la DSI pour générer des spécifications techniques. Un ingénieur a copié-collé des plans de fabrication d'une pièce innovante (non encore brevetée) pour demander à l'IA d'optimiser la conception. La DSI découvre cette pratique lors d'un audit. La direction hésite : sanctionner les ingénieurs, ou régulariser les usages ?
Répondez aux 3 questions pour analyser ce cas sous l'angle sécurité, IA Act et gouvernance.
7
Quel est le risque principal dans ce cas - au-delà du RGPD ?
Le risque principal est une amende RGPD - les plans techniques peuvent contenir des données personnelles
Le risque principal est la fuite de propriété intellectuelle : des plans non brevetés soumis à un modèle tiers peuvent être utilisés pour réentraîner le modèle, exposant ainsi des secrets industriels
Le risque principal est d'ordre pénal : utiliser une IA sans autorisation de la DSI constitue un accès frauduleux à un système informatique
Il n'y a pas de risque réel car les plans techniques ne sont pas des données personnelles
8
Sous l'IA Act, le système utilisé par les ingénieurs (ChatGPT pour générer des spécifications techniques industrielles) est classé dans quel niveau de risque ?
Risque inacceptable - interdit en Europe
Risque limité à modéré - l'usage est autorisé mais doit être transparent et documenté, notamment pour les décisions critiques de sécurité industrielle
Risque nul - les outils de productivité généralistes comme ChatGPT sont hors périmètre de l'IA Act
Risque élevé automatique dès qu'une IA touche à la conception industrielle
9
La direction hésite entre sanctionner et régulariser. Quelle posture recommanderiez-vous, et pourquoi ?
Sanctionner fermement - le non-respect des règles DSI ne peut pas être toléré, même si l'intention était productive
Ignorer - les ingénieurs ont utilisé l'IA de façon productive, punir freinerait l'innovation
Régulariser avec cadre : documenter les usages, définir quelles données peuvent ou ne peuvent pas être soumises à une IA externe, former les équipes, et choisir des outils approuvés. La sanction seule sans accompagnement ne résout pas le problème structurel
Attendre la réglementation définitive de l'IA Act avant de décider
Corrigé - exercice 3
Q7 - B. La propriété intellectuelle est le risque central ici, pas le RGPD (les plans techniques ne sont pas des données personnelles). Un plan industriel non breveté soumis à ChatGPT peut théoriquement être réutilisé dans le réentraînement du modèle. L'affaire Samsung (2023) est l'exemple réel le plus documenté de ce type d'incident.
Q8 - B. ChatGPT est un outil généraliste à risque limité sous l'IA Act. Mais l'usage pour des décisions de sécurité industrielle peut faire basculer l'usage dans une catégorie de risque plus élevé - c'est le contexte d'utilisation qui détermine le niveau de risque, pas uniquement l'outil.
Q9 - C. La sanction seule ne résout rien : si les ingénieurs ont eu recours au shadow AI, c'est souvent parce que les outils approuvés ne répondent pas à leurs besoins. La bonne réponse est structurelle : cadre, formation, outils adaptés. C'est exactement le message de l'UF3 - la sécurité par la conscience et l'outillage, pas par la peur.
À retenir comme formateur : face au shadow AI dans vos groupes d'apprenants, évitez la posture moralisatrice. Partez des risques concrets (propriété intellectuelle, données clients) et proposez des alternatives praticables. Le "non" sans alternative génère du contournement.
Exercice drag and drop certification C3 — classifier 10 usages IA selon les 4 niveaux de risque de l'IA Act : inacceptable, élevé, limité, minimal
Exercice 4 · UF3 Ch.1 · IA Act · 10 min
Classer 10 usages IA selon les 4 niveaux de risque de l'IA Act
5 pts
Faites glisser chaque usage vers le niveau de risque qui lui correspond selon l'IA Act. Cliquez sur un élément déjà placé pour le retirer.
Inacceptable
Interdit en Europe
Élevé
Autorisé, très encadré
Limité
Autorisé, obligations de transparence
Minimal
Autorisé sans contrainte spécifique
Usages à classer — faites glisser
Notation sociale des citoyens par l'État
Aide à la décision médicale aux urgences
Chatbot de service client avec IA
Tri automatique de CV pour le recrutement
Filtre anti-spam dans une messagerie
Reconnaissance faciale en temps réel dans l'espace public
Évaluation du risque de récidive par la justice
Génération d'images par IA (deepfake déclaré)
Recommandation de contenu sur Netflix
Notation de solvabilité bancaire par IA
Risque inacceptable
Déposez ici
Risque élevé
Déposez ici
Risque limité
Déposez ici
Risque minimal
Déposez ici
Corrigé — classification IA Act
Inacceptable — interdit
Notation sociale des citoyens : manipulation comportementale à grande échelle, explicitement interdite par l'IA Act (art. 5)
Reconnaissance faciale en temps réel dans l'espace public : surveillance de masse, interdite sauf exceptions de sécurité nationale strictement encadrées
Élevé — très encadré
Aide médicale aux urgences : décision à fort impact sur la santé — supervision humaine obligatoire, documentation, validation CE
Tri de CV : impact sur l'emploi — transparence obligatoire, information des candidats, supervision humaine
Risque de récidive (justice) : impact sur la liberté individuelle — encadrement judiciaire strict, explicabilité requise
Notation de solvabilité : accès au crédit — base légale, droits d'opposition, non-discrimination
Limité — transparence requise
Chatbot service client : l'utilisateur doit savoir qu'il parle à une IA — obligation de divulgation
Deepfake déclaré : contenu généré par IA doit être labellisé comme tel — watermarking obligatoire
Minimal — sans contrainte spécifique
Filtre anti-spam : IA technique sans impact sur les droits des personnes
Recommandation Netflix : faible impact, pas de décision critique, usage de loisir
Le niveau de risque dépend du contexte d'usage, pas seulement de la technologie. Un même système d'IA peut être "minimal" dans un usage et "élevé" dans un autre — c'est le cas d'un outil de reconnaissance d'images utilisé pour trier des photos de vacances (minimal) vs identifier des suspects (potentiellement inacceptable).