© CGT Educ 06

Circulaire: Usage des outils d’intelligence artificielle non souverains : règles et bonnes pratiques

28 mai 2026 par dans 1er degré

Circulaire: Usage des outils d’intelligence artificielle non souverains : règles et bonnes pratiques

L’usage d’outils d’intelligence artificielle non souverains (ChatGPT, Copilot, Gemini, Mistral, Claude, Perplexity, etc.) doit être strictement encadré afin de préserver la confidentialité des informations et de protéger les données internes, en limitant tout risque de fuite.

Par « outils d’IA non souverains », on entend les services d’intelligence artificielle grand public hébergés à l’étranger ou opérés par des acteurs soumis à des réglementations extraterritoriales (par exemple le Cloud Act aux États-Unis), et sur lesquels l’institution n’a ni maîtrise de l’hébergement, ni contrôle contractuel direct.

Risques liés à ces outils

Un usage non maîtrisé de ces IA peut provoquer plusieurs types d’incidents :
  • Fuite de données sensibles : les IA grand public ne garantissent pas la confidentialité des informations saisies
  • Perte de maîtrise sur l’information, notamment en cas de stockage ou de réutilisation à l’étranger
  • Non-conformité réglementaire (RGPD, politique de sécurité de l’information)
  • Risque de compromission du système d’information académique par des usages non contrôlés
  • Hallucinations & désinformation : les réponses générées peuvent être inexactes ou biaisées, créant des risques en cas de réutilisation sans vérification.

Conditions d’utilisation

Ces outils peuvent être mobilisés dans un cadre professionnel uniquement si les règles suivantes sont respectées :
  • Aucune donnée interne, sensible, confidentielle ou à caractère personnel ne doit être saisie : Noms d’agents, fichiers métiers, identifiants, extraits de code source ou de configuration, adresses IP internes, etc.
  • L’outil ne doit en aucun cas disposer d’un accès direct au système d’information : il est interdit d’installer un logiciel d’IA, une extension de navigateur sur un poste de l’administration, ou de connecter une IA aux outils professionnels (messagerie, documents, applications métiers)

Exemples d’usages autorisés

  • Consultation de l’outil via son site public, sans installation de logiciel sur le poste de travail
  • Copie de données publiques et non sensibles dans l’interface
  • Rédaction ou relecture de contenus génériques (modèles de mails, annonces publiques, supports dépourvus d’informations internes)
  • Aide à la réflexion sur des sujets généraux hors périmètre métier (style rédactionnel, vulgarisation, préparation de formation)
  • Traduction ou simplification de contenus déjà publics
  • Aide à la rédaction de contenus externes (articles, présentations, affichages, mise en forme)
  • Explication de notions générales 
  • Utilisation à titre strictement personnel, sans lien avec l’activité académique.

Exemples d’usages interdits

  • Saisie de noms, adresses, identifiants, codes établissement ou informations personnelles.
  • Installation d’un logiciel d’IA sur le poste de travail
  • Utilisation de plugins ou de connexions automatiques entre l’IA et les outils métiers
  • Connexion de l’IA à une base interne via API (par exemple pour générer des rapports)
  • Transmission de fichiers internes (notes, tableaux, exports de bases de données)
  • Relecture de rapports, courriers ou procédures internes
  • Partage d’extraits de configuration réseau, de code source ou de journaux système.

Bonnes pratiques avant d’utiliser un outil d’IA

Avant toute utilisation d’un outil d’IA, l’utilisateur doit vérifier que :

  • Le contenu qu’il souhaite copier est entièrement public, non sensible et ne permet pas d’identifier directement ou indirectement une personne ou un service de manière précise.
  • Aucun élément interne (nom d’agent, référence de dossier, identifiant, configuration, capture d’écran de logiciel métier, etc.) n’est présent dans le texte ou le document.
  • Aucun fichier interne (même « anonymisé » de manière artisanale) n’est transmis.

En cas de doute, il convient de s’abstenir et de demander conseil.

Procédure en cas de doute ou d’incident

  • En cas de question sur un usage envisagé ou de doute sur le caractère sensible d’une donnée, l’utilisateur doit se rapprocher des référents compétents (responsable de la sécurité des systèmes d’information ou délégué à la protection des données).
  • En cas de saisie accidentelle de données internes ou personnelles dans un outil d’IA, l’incident doit être signalé sans délai afin que les mesures nécessaires puissent être prises.
Contacts

Responsable de la sécurité des systèmes d’information : rssi@region-academique-paca.fr

Délégué à la protection des données : dpd@region-academique-paca.fr

CGT·Educ 06

logo

CGT Éduc'Action 06

×