Darf ich ChatGPT im Unternehmen nutzen?

Ja, unter Bedingungen. Sie dürfen ChatGPT beruflich nutzen, wenn Sie keine personenbezogenen Daten, Geschäftsgeheimnisse oder vertrauliche Kundendaten eingeben. Für den regulären Einsatz empfiehlt sich ChatGPT Team oder Enterprise (mit DPA), eine interne KI-Nutzungsrichtlinie und die Sensibilisierung der Mitarbeitenden.

Was sagt der EU AI Act zu ChatGPT?

ChatGPT ist ein KI-System mit 'begrenztem Risiko' nach EU AI Act — das bedeutet hauptsächlich Transparenzpflichten. Wenn Sie ChatGPT jedoch in Bereichen mit hohem Risiko einsetzen (z.B. Personalentscheidungen, Kreditbewertung), gelten strengere Anforderungen. Als Betreiber tragen Sie die Verantwortung.

Was ist eine KI-Nutzungsrichtlinie und brauche ich eine?

Eine KI-Nutzungsrichtlinie legt fest, welche KI-Tools im Unternehmen erlaubt sind, welche Daten nicht eingegeben werden dürfen und wer für KI-Ergebnisse verantwortlich ist. Ja, Sie brauchen eine — spätestens wenn mehr als 5 Personen regelmäßig KI-Tools nutzen.

Was kostet ein Verstoß gegen DSGVO bei KI-Nutzung?

Bei DSGVO-Verstößen durch unzulässige Datenweitergabe an KI-Dienste drohen Bußgelder bis zu 4% des weltweiten Jahresumsatzes oder 20 Mio. €. Hinzu kommen Reputationsschäden und mögliche Abmahnungen. Die meisten Fälle betreffen fahrlässige Weitergabe von Kundendaten oder Mitarbeiterdaten an nicht-DSGVO-konforme Dienste.

ChatGPT im Unternehmen legal nutzen — was KMU wissen müssen

Wichtiger Hinweis

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für verbindliche Einschätzungen zu DSGVO- und EU AI Act-Pflichten empfehlen wir spezialisierte Anwälte für IT- und Datenschutzrecht.

Ich erlebe es in jedem Quick Scan: ChatGPT und ähnliche KI-Tools werden genutzt. Nicht offiziell, nicht geregelt — aber genutzt. Der Vertrieb schreibt Angebote damit. HR formuliert Stellenanzeigen. Manchmal landen dabei Kundennamen, Gehaltsdaten oder interne Strategiepapiere in einem amerikanischen KI-System. Ohne dass die Geschäftsleitung davon weiß. Und ohne dass irgendjemand gefragt hat: Dürfen wir das eigentlich?

Die Antwort ist: Ja, unter Bedingungen. Und die Bedingungen sind einfacher zu erfüllen, als viele denken.

Kurze Antwort: ChatGPT darf beruflich genutzt werden — aber nicht unkontrolliert. Die wichtigsten Regeln: Keine personenbezogenen Daten eingeben, keine Geschäftsgeheimnisse, eine interne KI-Richtlinie einführen und klären, wer für KI-Ergebnisse verantwortlich ist. Das sind keine Bürokratiehürden — das ist Governance.

Das eigentliche Problem ist nicht ChatGPT — es ist die fehlende Regelung

ChatGPT selbst ist kein Problem. Das Problem entsteht, wenn Mitarbeitende es ohne Regeln nutzen. Dann entstehen blinde Flecken: Wer gibt was ein? Wer prüft die Ergebnisse? Wer haftet, wenn Kundendaten in falschen Händen landen?

Diese Fragen haben nichts mit Misstrauen zu tun. Sie haben mit Steuerungsfähigkeit zu tun. Und die ist in der EU-Regulierungslogik inzwischen nicht mehr optional.

Was der EU AI Act konkret bedeutet

Stand: März 2026

Ab August 2025 gelten die Verbots-Regelungen des EU AI Acts. Vollständige Geltung für Hochrisiko-KI-Systeme: August 2026. Als Betreiber — also jedes Unternehmen, das ChatGPT oder ähnliche Tools nutzt — tragen Sie bereits heute Verantwortung.

Aspekt	Was gilt	Relevanz für KMU
ChatGPT-Kategorie	„Begrenztes Risiko" nach EU AI Act	Transparenzpflichten
Ihre Rolle als Betreiber	Pflicht zur Risikoeinschätzung und Dokumentation	Gilt für alle
Hochrisiko-Einsatz	KI in Recruiting, Kreditbewertung, sicherheitskritischen Bereichen	Strenge Pflichten
Verbote	Social Scoring, manipulative KI, biometrische Echtzeitüberwachung	Verboten ab Aug. 2025

Wichtig zu verstehen: Als Betreiber — also als Unternehmen, das ein KI-System für eigene Zwecke einsetzt — tragen Sie die Verantwortung. Nicht OpenAI. Nicht der Tool-Anbieter. Sie.

Was DSGVO dazu sagt — die 5 wichtigsten Fragen

Personenbezogene Daten eingeben? — DSGVO-kritisch. Die Eingabe von Namen, Adressen, Kundendaten oder Mitarbeiterdaten in externe KI-Dienste ist grundsätzlich unzulässig ohne Rechtsgrundlage und entsprechenden Auftragsverarbeitungsvertrag (AVV).
ChatGPT kostenlos vs. Enterprise? — OpenAI nutzt Eingaben in der kostenlosen Version für Training. ChatGPT Team und Enterprise hingegen garantieren: keine Nutzung für Training, keine Weitergabe an Dritte. Der Unterschied ist für Unternehmen entscheidend.
Kundendaten weitergeben? — Nur mit AVV mit OpenAI zulässig. Ohne diesen Vertrag ist jede Weitergabe personenbezogener Kundendaten ein DSGVO-Verstoß — unabhängig davon, ob es absichtlich geschieht oder nicht.
Ergebnisse ungeprüft verwenden? — KI-Ergebnisse sind keine Garantie. Wer KI-Outputs ungeprüft in Angeboten, Verträgen oder Entscheidungen verwendet, trägt das volle Haftungsrisiko selbst.
Mitarbeiter heimlich beobachten? — Nicht erlaubt. Wenn KI-Tools zur Leistungsüberwachung von Mitarbeitenden eingesetzt werden sollen, ist der Betriebsrat zwingend zu beteiligen.

Fünf Maßnahmen, die jedes KMU jetzt umsetzen kann

Die gute Nachricht: Sie brauchen kein Compliance-Team und keine komplexe Infrastruktur. Diese fünf Schritte lassen sich in jedem Unternehmen umsetzen — auch ohne dediziertes IT-Ressort.

ChatGPT Enterprise oder Team einrichten. Das ist die wichtigste Einzelmaßnahme. Damit verhindern Sie, dass Unternehmensdaten für das Training von OpenAI-Modellen genutzt werden, und schaffen die Grundlage für DSGVO-konformen Einsatz.
KI-Nutzungsrichtlinie erstellen. Ein Dokument von 1–2 Seiten reicht. Es legt fest: Welche KI-Tools sind im Unternehmen erlaubt? Welche Datenkategorien dürfen nicht eingegeben werden? Wer ist für KI-Ergebnisse verantwortlich?
„Verbotene Datenkategorien" klar kommunizieren. Mitarbeitende müssen wissen, was nicht in KI-Systeme eingegeben werden darf: Namen und Kontaktdaten von Kunden oder Mitarbeitenden, Gehaltsdaten, Verträge, interne Strategiepapiere und Geschäftsgeheimnisse.
Einen KI-Verantwortlichen benennen. Das muss keine neue Stelle sein. In vielen Unternehmen übernimmt diese Rolle die IT-Leitung, die Datenschutzbeauftragte oder ein erfahrener Abteilungsleiter. Entscheidend ist: Es muss eine konkrete Person sein, die bei Fragen ansprechbar ist.
KI-Inventur durchführen. Welche KI-Tools nutzt wer im Unternehmen — offiziell und inoffiziell? Diese Übersicht ist nicht nur für interne Governance wichtig, sondern auch Pflicht nach EU AI Act. Wer nicht weiß, welche KI-Systeme im Einsatz sind, kann sie weder steuern noch regulieren.

Gute Nachricht

Diese fünf Maßnahmen sind kein Großprojekt. In einem strukturierten Quick Scan lässt sich die Ausgangslage in wenigen Tagen erfassen — und eine KI-Nutzungsrichtlinie in weniger als einer Woche erstellen. Der erste Schritt ist immer die Inventur.

Was Sie nicht tun sollten

KI-Nutzung einfach dulden ohne Regelung. Das ist die häufigste Situation — und die gefährlichste. Wenn Mitarbeitende wissen, dass ChatGPT genutzt wird, aber keine Regeln existieren, entstehen unkontrollierbare Risiken. Die Geschäftsführung haftet trotzdem.
Pauschal alles verbieten. Ein generelles KI-Verbot klingt sicher, ist es aber nicht. Mitarbeitende, die KI produktiv nutzen wollen, weichen dann auf private Geräte und private Accounts aus — komplett außerhalb des Unternehmensrahmens. Das ist noch unkontrollierbarer.
Annehmen, dass die Verantwortung beim Tool-Anbieter liegt. Sie liegt bei Ihnen. Als Betreiber — das ist die Terminologie des EU AI Acts — tragen Sie die Verantwortung für den rechtmäßigen Einsatz. OpenAI und andere Anbieter stellen das Tool zur Verfügung. Was Sie damit tun, liegt in Ihrer Verantwortung.

Fazit — Governance ist kein Bürokratieprojekt

Es geht nicht darum, ChatGPT zu verbieten oder bürokratische Hürden zu bauen. Es geht darum, Kontrolle zurückzugewinnen. Unternehmen, die ChatGPT mit klaren Regeln einsetzen, profitieren von echten Produktivitätsgewinnen — ohne rechtliche Risiken.

Führung braucht Struktur, bevor Technologie wirken kann. Das gilt für KI-Governance genauso wie für jeden anderen Unternehmensbereich.

Wenn Sie wissen möchten, wie KI aktuell in Ihrem Unternehmen genutzt wird und wo die kritischen Punkte liegen, ist eine KI-Inventur der erste Schritt. Das ist auch Teil unseres Quick Scan.

Eine interne Perspektive auf die menschliche Seite dieser Frage — wer im Unternehmen Regeln versteht, akzeptiert und umsetzt — beschreibt Anja in ihrem Artikel über Change Management bei KI-Einführung.

Ważna uwaga

Ten artykuł służy wyłącznie ogólnej informacji i nie zastępuje doradztwa prawnego. W sprawie wiążących ocen obowiązków wynikających z RODO i unijnego aktu o SI zalecamy wyspecjalizowanych prawników z zakresu prawa IT i ochrony danych.

Widzę to w każdym Quick Scanie: ChatGPT i podobne narzędzia AI są używane. Nie oficjalnie, nie uregulowane — ale używane. Sprzedaż pisze oferty. HR formułuje ogłoszenia o pracę. Czasami przy okazji imiona klientów, dane o wynagrodzeniach czy wewnętrzne dokumenty strategiczne trafiają do amerykańskiego systemu AI. Bez wiedzy zarządu. I bez tego, żeby ktokolwiek zapytał: czy w ogóle nam wolno?

Odpowiedź brzmi: tak, pod warunkami. A warunki są prostsze do spełnienia, niż większość myśli.

Krótka odpowiedź: ChatGPT może być używany zawodowo — ale nie bez kontroli. Kluczowe zasady: brak danych osobowych, brak tajemnic handlowych, wewnętrzna polityka AI i jasna odpowiedzialność za wyniki AI. To nie są przeszkody biurokratyczne — to governance.

Prawdziwy problem to nie ChatGPT — to brak regulacji

ChatGPT sam w sobie nie jest problemem. Problem pojawia się, gdy pracownicy używają go bez żadnych zasad. Wtedy powstają martwe punkty: kto co wpisuje? Kto weryfikuje wyniki? Kto ponosi odpowiedzialność, gdy dane klientów trafią w niepowołane ręce?

Te pytania nie mają nic wspólnego z brakiem zaufania. Dotyczą sterowności. A ta w logice regulacji UE nie jest już opcjonalna.

Co konkretnie oznacza unijny akt o SI

Stan: marzec 2026

Od sierpnia 2025 r. obowiązują przepisy zakazowe unijnego aktu o SI. Pełne zastosowanie dla systemów AI wysokiego ryzyka: sierpień 2026. Jako operator — czyli każda firma używająca ChatGPT lub podobnych narzędzi — już dziś ponosisz odpowiedzialność.

Aspekt	Co obowiązuje	Znaczenie dla MŚP
Kategoria ChatGPT	„Ograniczone ryzyko" wg unijnego aktu o SI	Obowiązki przejrzystości
Twoja rola jako operatora	Obowiązek oceny ryzyka i dokumentacji	Dotyczy wszystkich
Zastosowanie wysokiego ryzyka	AI w rekrutacji, ocenie kredytowej, obszarach krytycznych	Rygorystyczne obowiązki
Zakazy	Social scoring, manipulacyjna AI, biometryczny nadzór w czasie rzeczywistym	Zakazane od sier. 2025

Ważne do zrozumienia: jako operator — czyli firma używająca systemu AI do własnych celów — ponosisz odpowiedzialność. Nie OpenAI. Nie dostawca narzędzia. Ty.

Co mówi RODO — 5 najważniejszych pytań

Wprowadzanie danych osobowych? — Krytyczne dla RODO. Wprowadzanie imion, adresów, danych klientów lub pracowników do zewnętrznych usług AI jest co do zasady niedopuszczalne bez podstawy prawnej i stosownej umowy powierzenia przetwarzania danych (DPA).
ChatGPT darmowy vs. Enterprise? — OpenAI używa danych wprowadzonych w wersji darmowej do trenowania modeli. ChatGPT Team i Enterprise gwarantują: brak trenowania na danych użytkownika, brak udostępniania stronom trzecim. Ta różnica jest dla firm kluczowa.
Przekazywanie danych klientów? — Dozwolone tylko z DPA z OpenAI. Bez tej umowy każde przekazanie danych osobowych klientów stanowi naruszenie RODO — niezależnie od tego, czy jest zamierzone, czy nie.
Używanie wyników bez weryfikacji? — Wyniki AI nie są gwarancją. Kto używa wyników AI bez weryfikacji w ofertach, umowach lub decyzjach, bierze na siebie pełne ryzyko odpowiedzialności.
Tajne monitorowanie pracowników? — Niedozwolone. Jeśli narzędzia AI mają być używane do monitorowania wydajności pracowników, konieczne jest zaangażowanie rady pracowniczej.

Pięć działań, które każde MŚP może wdrożyć teraz

Dobra wiadomość: nie potrzebujesz zespołu compliance ani skomplikowanej infrastruktury. Te pięć kroków można wdrożyć w każdej firmie — nawet bez dedykowanego działu IT.

Skonfiguruj ChatGPT Enterprise lub Team. To najważniejsze pojedyncze działanie. Zapobiega wykorzystywaniu danych firmowych do trenowania modeli OpenAI i tworzy podstawę dla zgodnego z RODO stosowania.
Utwórz politykę korzystania z AI. Wystarczy dokument 1–2 strony. Określa: które narzędzia AI są dozwolone w firmie? Których kategorii danych nie wolno wprowadzać? Kto odpowiada za wyniki AI?
Jasno zakomunikuj „zakazane kategorie danych". Pracownicy muszą wiedzieć, czego nie wolno wprowadzać do systemów AI: imiona i dane kontaktowe klientów lub pracowników, dane o wynagrodzeniach, umowy, wewnętrzne dokumenty strategiczne i tajemnice handlowe.
Wyznacz osobę odpowiedzialną za AI. Nie musi to być nowe stanowisko. W wielu firmach tę rolę przejmuje kierownik IT, inspektor ochrony danych lub doświadczony kierownik działu. Kluczowe jest: musi to być konkretna osoba, do której można się zwrócić z pytaniami.
Przeprowadź inwentaryzację AI. Które narzędzia AI kto używa w firmie — oficjalnie i nieoficjalnie? Ten przegląd jest ważny nie tylko dla wewnętrznego governance, ale jest też obowiązkiem wynikającym z unijnego aktu o SI. Kto nie wie, jakie systemy AI są w użyciu, nie może ich ani kontrolować, ani regulować.

Dobra wiadomość

Te pięć działań to nie wielki projekt. W ustrukturyzowanym Quick Scanie można ocenić punkt wyjścia w ciągu kilku dni — a politykę korzystania z AI stworzyć w mniej niż tydzień. Pierwszym krokiem jest zawsze inwentaryzacja.

Czego nie powinieneś robić

Po prostu tolerować użycie AI bez regulacji. To najczęstsza sytuacja — i najbardziej niebezpieczna. Gdy pracownicy wiedzą, że ChatGPT jest używany, ale nie ma żadnych zasad, powstają niekontrolowane ryzyka. Zarząd i tak ponosi odpowiedzialność.
Zakazać wszystkiego hurtem. Generalny zakaz AI brzmi bezpiecznie, ale taki nie jest. Pracownicy, którzy chcą produktywnie używać AI, przechodzą wtedy na prywatne urządzenia i prywatne konta — całkowicie poza ramami firmy. To jest jeszcze mniej kontrolowalne.
Zakładać, że odpowiedzialność leży po stronie dostawcy narzędzia. Leży po Twojej stronie. Jako operator — tak brzmi terminologia unijnego aktu o SI — ponosisz odpowiedzialność za legalne używanie. OpenAI i inni dostawcy udostępniają narzędzie. To, co z nim robisz, jest Twoją odpowiedzialnością.

Podsumowanie — governance to nie projekt biurokratyczny

Nie chodzi o zakaz ChatGPT ani budowanie biurokratycznych barier. Chodzi o odzyskanie kontroli. Firmy, które używają ChatGPT z jasnymi zasadami, korzystają z realnych zysków produktywności — bez ryzyk prawnych.

Zarządzanie potrzebuje struktury, zanim technologia może zadziałać. Dotyczy to governance AI tak samo, jak każdego innego obszaru firmy.

Jeśli chcesz wiedzieć, jak AI jest obecnie używane w Twojej firmie i gdzie leżą krytyczne punkty, inwentaryzacja AI jest pierwszym krokiem. To również element naszego Quick Scan.

Wewnętrzną perspektywę na ludzką stronę tego zagadnienia — kto w firmie rozumie, akceptuje i wdraża zasady — opisuje Anja w swoim artykule o zarządzaniu zmianą przy wdrożeniu AI.

Important Notice

This article is for general information only and does not replace legal advice. For binding assessments of GDPR and EU AI Act obligations, we recommend specialised IT and data protection law firms.

I see it in every Quick Scan: ChatGPT and similar AI tools are being used. Not officially, not governed — but used. Sales writes proposals with it. HR drafts job postings. Sometimes customer names, salary data or internal strategy documents end up in an American AI system. Without management knowing. And without anyone asking: are we actually allowed to do this?

The answer is: yes, under conditions. And those conditions are simpler to meet than most people think.

Quick answer: ChatGPT may be used professionally — but not without governance. The key rules: no personal data, no business secrets, an internal AI policy, and clear accountability for AI outputs. These are not bureaucratic hurdles — this is governance.

The real problem is not ChatGPT — it is the absence of rules

ChatGPT itself is not the problem. The problem arises when employees use it without any rules. That is when blind spots emerge: who enters what? Who verifies the outputs? Who is liable when customer data ends up in the wrong hands?

These questions have nothing to do with mistrust. They are about governance. And in the EU regulatory framework, governance is no longer optional.

What the EU AI Act means in concrete terms

Status: March 2026

The EU AI Act's prohibition rules have applied since August 2025. Full application for high-risk AI systems: August 2026. As a deployer — meaning any company that uses ChatGPT or similar tools — you already bear responsibility today.

Aspect	What applies	Relevance for SMEs
ChatGPT category	"Limited risk" under EU AI Act	Transparency obligations
Your role as deployer	Obligation to assess risk and document	Applies to all
High-risk deployment	AI in recruiting, credit scoring, safety-critical areas	Strict obligations
Prohibitions	Social scoring, manipulative AI, real-time biometric surveillance	Banned from Aug. 2025

Important to understand: as a deployer — meaning a company that uses an AI system for its own purposes — you bear the responsibility. Not OpenAI. Not the tool provider. You.

What GDPR says about it — the 5 most important questions

Entering personal data? — GDPR-critical. Entering names, addresses, customer data or employee data into external AI services is generally impermissible without a legal basis and a corresponding data processing agreement (DPA).
ChatGPT free vs. Enterprise? — OpenAI uses inputs in the free version for model training. ChatGPT Team and Enterprise guarantee: no training on user data, no sharing with third parties. This distinction is critical for businesses.
Sharing customer data? — Only permissible with a DPA with OpenAI. Without this contract, any transfer of personal customer data constitutes a GDPR violation — regardless of whether it happens intentionally or not.
Using results without verification? — AI outputs are not guarantees. Anyone who uses AI outputs without verification in proposals, contracts or decisions bears the full liability risk themselves.
Covertly monitoring employees? — Not permitted. If AI tools are to be used to monitor employee performance, the works council must be involved.

Five measures every SME can implement now

The good news: you do not need a compliance team or complex infrastructure. These five steps can be implemented in any company — even without a dedicated IT department.

Set up ChatGPT Enterprise or Team. This is the single most important measure. It prevents company data from being used to train OpenAI models and creates the foundation for GDPR-compliant use.
Create an AI usage policy. A one-to-two-page document is sufficient. It defines: which AI tools are permitted in the company? Which data categories must not be entered? Who is responsible for AI outputs?
Clearly communicate "prohibited data categories". Employees must know what must not be entered into AI systems: names and contact details of customers or employees, salary data, contracts, internal strategy documents and trade secrets.
Appoint an AI responsible person. This does not need to be a new position. In many companies, this role is taken on by the IT manager, the data protection officer or an experienced department head. What matters is: it must be a specific person who can be approached with questions.
Conduct an AI inventory. Which AI tools does who use in the company — officially and unofficially? This overview is important not only for internal governance but is also an obligation under the EU AI Act. Anyone who does not know which AI systems are in use cannot govern or regulate them.

Good news

These five measures are not a major project. In a structured Quick Scan, the baseline situation can be assessed within a few days — and an AI usage policy can be created in less than a week. The first step is always the inventory.

What you should not do

Simply tolerate AI use without governance. This is the most common situation — and the most dangerous. When employees know that ChatGPT is being used but no rules exist, uncontrollable risks emerge. Management is still liable.
Ban everything blanket-style. A general AI ban sounds safe but is not. Employees who want to use AI productively will then switch to personal devices and personal accounts — completely outside the company framework. That is even less controllable.
Assume that responsibility lies with the tool provider. It lies with you. As a deployer — that is the EU AI Act's terminology — you bear responsibility for lawful use. OpenAI and other providers make the tool available. What you do with it is your responsibility.

Conclusion — governance is not a bureaucracy project

This is not about banning ChatGPT or creating bureaucratic obstacles. It is about regaining control. Companies that use ChatGPT with clear rules benefit from real productivity gains — without legal risks.

Leadership needs structure before technology can work. That applies to AI governance just as much as to any other area of the business.

If you want to know how AI is currently being used in your company and where the critical points lie, an AI inventory is the first step. That is also part of our Quick Scan.

The human side of this question — who in the company understands, accepts and implements rules — is described by Anja in her article on Change Management in AI implementation.

Avis important

Cet article est fourni à titre d’information générale et ne remplace pas un conseil juridique. Pour des évaluations contraignantes concernant les obligations liées au RGPD et au Règlement européen sur l’IA, nous recommandons de consulter des avocats spécialisés en droit informatique et en protection des données.

Je le constate lors de chaque Quick Scan : ChatGPT et des outils d’IA similaires sont utilisés. Pas officiellement, pas de manière réglementée — mais utilisés. Le service commercial rédige des offres avec. Les RH formulent des annonces d’emploi. Parfois, des noms de clients, des données salariales ou des documents stratégiques internes se retrouvent dans un système d’IA américain. Sans que la direction le sache. Et sans que personne n’ait demandé : avons-nous le droit de faire cela ?

La réponse est : oui, sous conditions. Et ces conditions sont plus simples à remplir que beaucoup ne le pensent.

Réponse rapide : ChatGPT peut être utilisé à des fins professionnelles — mais pas sans gouvernance. Les règles essentielles : ne pas saisir de données personnelles, pas de secrets d’affaires, mettre en place une politique interne d’IA et définir clairement qui est responsable des résultats de l’IA. Ce ne sont pas des obstacles bureaucratiques — c’est de la gouvernance.

Le véritable problème n’est pas ChatGPT — c’est l’absence de règles

ChatGPT en soi n’est pas un problème. Le problème survient lorsque les collaborateurs l’utilisent sans aucune règle. C’est alors que des zones d’ombre apparaissent : qui saisit quoi ? Qui vérifie les résultats ? Qui est responsable si des données clients se retrouvent entre de mauvaises mains ?

Ces questions n’ont rien à voir avec la méfiance. Elles concernent la capacité de pilotage. Et dans le cadre réglementaire européen, cette capacité n’est plus optionnelle.

Ce que le Règlement européen sur l’IA signifie concrètement

État : mars 2026

Les règles d’interdiction du Règlement européen sur l’IA s’appliquent depuis août 2025. Application complète pour les systèmes d’IA à haut risque : août 2026. En tant que déployeur — c’est-à-dire toute entreprise utilisant ChatGPT ou des outils similaires — vous portez déjà une responsabilité aujourd’hui.

Aspect	Ce qui s’applique	Pertinence pour les PME
Catégorie ChatGPT	« Risque limité » selon le Règlement européen sur l’IA	Obligations de transparence
Votre rôle en tant que déployeur	Obligation d’évaluation des risques et de documentation	S’applique à tous
Déploiement à haut risque	IA dans le recrutement, la notation de crédit, les domaines critiques pour la sécurité	Obligations strictes
Interdictions	Notation sociale, IA manipulatrice, surveillance biométrique en temps réel	Interdit depuis août 2025

Point essentiel à comprendre : en tant que déployeur — c’est-à-dire une entreprise qui utilise un système d’IA à ses propres fins — vous portez la responsabilité. Pas OpenAI. Pas le fournisseur de l’outil. Vous.

Ce que le RGPD dit à ce sujet — les 5 questions les plus importantes

Saisir des données personnelles ? — Critique au regard du RGPD. La saisie de noms, d’adresses, de données clients ou de données de collaborateurs dans des services d’IA externes est en principe interdite sans base juridique et sans contrat de sous-traitance des données correspondant.
ChatGPT gratuit vs. Enterprise ? — OpenAI utilise les entrées de la version gratuite pour l’entraînement des modèles. ChatGPT Team et Enterprise garantissent : pas d’utilisation pour l’entraînement, pas de transmission à des tiers. Cette distinction est déterminante pour les entreprises.
Partager des données clients ? — Uniquement autorisé avec un contrat de sous-traitance avec OpenAI. Sans ce contrat, tout transfert de données personnelles de clients constitue une violation du RGPD — que cela soit intentionnel ou non.
Utiliser les résultats sans vérification ? — Les résultats de l’IA ne sont pas des garanties. Quiconque utilise des résultats d’IA sans vérification dans des offres, des contrats ou des décisions assume l’intégralité du risque de responsabilité.
Surveiller secrètement les collaborateurs ? — Non autorisé. Si des outils d’IA doivent être utilisés pour surveiller les performances des collaborateurs, le comité d’entreprise doit obligatoirement être consulté.

Cinq mesures que chaque PME peut mettre en œuvre dès maintenant

La bonne nouvelle : vous n’avez besoin ni d’une équipe de conformité ni d’une infrastructure complexe. Ces cinq étapes peuvent être mises en œuvre dans toute entreprise — même sans service informatique dédié.

Configurer ChatGPT Enterprise ou Team. C’est la mesure individuelle la plus importante. Elle empêche que les données de l’entreprise soient utilisées pour l’entraînement des modèles OpenAI et crée les bases d’une utilisation conforme au RGPD.
Élaborer une politique d’utilisation de l’IA. Un document de une à deux pages suffit. Il définit : quels outils d’IA sont autorisés dans l’entreprise ? Quelles catégories de données ne doivent pas être saisies ? Qui est responsable des résultats de l’IA ?
Communiquer clairement les « catégories de données interdites ». Les collaborateurs doivent savoir ce qui ne doit pas être saisi dans les systèmes d’IA : noms et coordonnées de clients ou de collaborateurs, données salariales, contrats, documents stratégiques internes et secrets d’affaires.
Désigner un responsable IA. Il ne s’agit pas nécessairement d’un nouveau poste. Dans de nombreuses entreprises, ce rôle est assumé par le responsable informatique, le délégué à la protection des données ou un chef de service expérimenté. L’essentiel : il doit s’agir d’une personne concrète, joignable en cas de questions.
Réaliser un inventaire IA. Quels outils d’IA sont utilisés par qui dans l’entreprise — officiellement et officieusement ? Cet aperçu est important non seulement pour la gouvernance interne, mais constitue également une obligation au titre du Règlement européen sur l’IA. Quiconque ignore quels systèmes d’IA sont en service ne peut ni les piloter ni les réguler.

Bonne nouvelle

Ces cinq mesures ne constituent pas un projet d’envergure. Dans le cadre d’un Quick Scan structuré, la situation initiale peut être évaluée en quelques jours — et une politique d’utilisation de l’IA peut être élaborée en moins d’une semaine. La première étape est toujours l’inventaire.

Ce que vous ne devriez pas faire

Tolérer l’utilisation de l’IA sans réglementation. C’est la situation la plus courante — et la plus dangereuse. Lorsque les collaborateurs savent que ChatGPT est utilisé mais qu’aucune règle n’existe, des risques incontrôlables apparaissent. La direction reste néanmoins responsable.
Tout interdire de manière générale. Une interdiction totale de l’IA paraît sûre, mais ne l’est pas. Les collaborateurs souhaitant utiliser l’IA de manière productive se tourneront alors vers des appareils personnels et des comptes privés — complètement en dehors du cadre de l’entreprise. C’est encore moins contrôlable.
Supposer que la responsabilité incombe au fournisseur de l’outil. Elle vous incombe. En tant que déployeur — c’est la terminologie du Règlement européen sur l’IA — vous portez la responsabilité de l’utilisation licite. OpenAI et les autres fournisseurs mettent l’outil à disposition. Ce que vous en faites relève de votre responsabilité.

Conclusion — la gouvernance n’est pas un projet bureaucratique

Il ne s’agit pas d’interdire ChatGPT ni de créer des obstacles bureaucratiques. Il s’agit de reprendre le contrôle. Les entreprises qui utilisent ChatGPT avec des règles claires bénéficient de gains de productivité réels — sans risques juridiques.

Le leadership a besoin de structure avant que la technologie ne puisse produire ses effets. Cela vaut pour la gouvernance de l’IA comme pour tout autre domaine de l’entreprise.

Si vous souhaitez savoir comment l’IA est actuellement utilisée dans votre entreprise et où se situent les points critiques, un inventaire IA constitue la première étape. Cela fait également partie de notre Quick Scan.

Une perspective interne sur la dimension humaine de cette question — qui dans l’entreprise comprend, accepte et met en œuvre les règles — est décrite par Anja dans son article sur le Change Management lors de l’introduction de l’IA.

VON ANJA ŻALIK — PASSEND ZU DIESEM ARTIKEL

→ Change Management bei KI-Einführung → Operational Excellence als KI-Fundament

ÜBER DEN AUTOR

Dariusz Piotr Żalik

Senior Partner — KI-Strategie & Umsetzung

Dariusz kennt den Moment, wenn KI bereits im Unternehmen läuft — aber niemand genau weiß, wie.

ChatGPT im Unternehmen legal nutzen — was KMU wissen müssen

Das eigentliche Problem ist nicht ChatGPT — es ist die fehlende Regelung

Was der EU AI Act konkret bedeutet

Was DSGVO dazu sagt — die 5 wichtigsten Fragen

Fünf Maßnahmen, die jedes KMU jetzt umsetzen kann

Was Sie nicht tun sollten

Fazit — Governance ist kein Bürokratieprojekt

Prawdziwy problem to nie ChatGPT — to brak regulacji

Co konkretnie oznacza unijny akt o SI

Co mówi RODO — 5 najważniejszych pytań

Pięć działań, które każde MŚP może wdrożyć teraz

Czego nie powinieneś robić

Podsumowanie — governance to nie projekt biurokratyczny

The real problem is not ChatGPT — it is the absence of rules

What the EU AI Act means in concrete terms

What GDPR says about it — the 5 most important questions

Five measures every SME can implement now

What you should not do

Conclusion — governance is not a bureaucracy project

Le véritable problème n’est pas ChatGPT — c’est l’absence de règles

Ce que le Règlement européen sur l’IA signifie concrètement

Ce que le RGPD dit à ce sujet — les 5 questions les plus importantes

Cinq mesures que chaque PME peut mettre en œuvre dès maintenant

Ce que vous ne devriez pas faire

Conclusion — la gouvernance n’est pas un projet bureaucratique

ChatGPT regeln —bevor es zum Problem wird.

Verwandte Artikel

ChatGPT regeln —
bevor es zum Problem wird.