La question n'est pas de savoir si votre entreprise utilise déjà l'IA générative, mais si elle le fait sous gouvernance. L'enquête de PagerDuty (juin 2026) confirme ce que beaucoup de responsables informatiques pressentaient déjà : l'usage de l'IA générative au travail devance la politique de l'entreprise, et une grande partie de cet usage se fait sur des comptes personnels, hors de tout contrôle de la DSI. Le risque n'est pas seulement d'image : chaque conversation sur un compte personnel peut contenir des données clients, des chiffres internes ou des projets de contrats qui quittent le périmètre de sécurité de l'entreprise sans que personne ne le sache.
Selon la documentation officielle d'OpenAI (« Introducing ChatGPT Enterprise » et « Enterprise privacy at OpenAI », openai.com, consulté le 16-juil-2026), ChatGPT Enterprise ajoute ce qui manque à un compte personnel : authentification unique (SSO) et vérification de domaine, une console d'administration centrale — OpenAI a renforcé cette couche en 2026 avec le Global Admin Console sur admin.openai.com pour les organisations à plusieurs unités métier —, chiffrement en transit et au repos, certifications SOC 2 et ISO/CEI 27001:2022, 27017, 27018 et 27701, résidence des données multi-régions (Europe incluse), et un accord de traitement des données (DPA) avec clauses contractuelles types pour le RGPD. OpenAI précise en outre que, par défaut, elle n'utilise pas les données de ChatGPT Enterprise — ni les entrées ni les sorties — pour entraîner ou améliorer ses modèles, contrairement aux comptes grand public standards.
Le règlement européen sur l'IA (règlement (UE) 2024/1689, EUR-Lex) ajoute une couche réglementaire à anticiper dès la conception, pas après le déploiement. Son article 50 impose, à partir du 2 août 2026, des obligations de transparence pour tout système d'IA interagissant directement avec des personnes physiques : signaler qu'il s'agit d'un système d'IA lorsque cela n'est pas évident, et marquer dans un format lisible par machine tout contenu généré de façon synthétique. Ces obligations s'appliquent avec une force particulière lorsque l'entreprise déploie des GPT personnalisés destinés aux clients ou au public — pas seulement à un usage interne entre salariés —, et c'est exactement le scénario couvert par la checklist de conformité livrée avec chaque déploiement.