Un artisan plaquiste prend en photo une salle de bain à refaire chez une cliente. Sur le cliché, on voit la fenêtre, la rue derrière, et un courrier posé sur le rebord avec un nom et une adresse. Le soir, pour rédiger vite un descriptif de travaux, il colle la photo et les coordonnées de la cliente dans une IA gratuite et tape : « écris-moi un devis pour cette salle de bain au 14 rue des Lilas chez Mme Martin ». En une minute, le devis est prêt. Et sans le savoir, il vient de transmettre le nom, l’adresse et une image du domicile d’une cliente à un service hébergé à l’autre bout du monde, qui peut réutiliser ces données. Le devis est bon. Le réflexe, lui, peut coûter cher.

Cet article fait partie de notre guide complet de l’IA pour l’artisan du bâtiment.

Cet article donne une méthode opérationnelle. Il ne remplace ni les fiches pratiques de la CNIL, ni l’avis d’un juriste pour ta situation précise. Pour un cas particulier, réfère-toi aux sources officielles.

Ce que la CNIL appelle un traitement de données, et pourquoi ça te concerne

On imagine souvent que le RGPD, c’est pour les grosses boîtes avec un service juridique. Faux. Dès que tu enregistres le nom et le numéro d’un client, que tu notes l’adresse d’un chantier ou que tu prends une photo d’un domicile, tu traites des données personnelles. Et dès que tu détermines pourquoi et comment tu les utilises, tu en es le responsable de traitement au sens de la CNIL. Que tu sois seul ou avec trois compagnons ne change rien à la règle.

L’IA ne supprime pas cette responsabilité, elle la déplace au pire endroit. La CNIL est claire dans ses fiches pratiques pour TPE et PME : tout ce que tu saisis dans une requête peut servir de donnée d’entraînement dans les outils en ligne grand public, et coller des données personnelles dans un prompt les transfère au fournisseur du modèle, souvent hébergé hors de l’Union européenne. Surtout, l’employeur reste responsable du traitement, à lui de définir les usages autorisés, d’informer les personnes concernées et de garantir la confidentialité (CNIL, fiches pratiques IA).

Autrement dit : la question n’est pas de savoir si tu fais du traitement de données en utilisant l’IA pour tes devis. Tu en fais. La seule question, c’est de savoir si tu le fais proprement.

Les données qui traînent dans le quotidien d’un chantier

Avant de poser des règles, il faut voir tout ce qui passe entre tes mains sans que tu y penses. Un artisan du bâtiment manipule, sans le formaliser, une quantité de données sensibles.

  • Les coordonnées clients : nom, téléphone, email, adresse personnelle. La base de toute prospection et de toute facturation.
  • L’adresse de chantier : souvent le domicile du client. Couplée au nom, elle dit où vit quelqu’un et quand il s’absente pendant les travaux.
  • Les photos de chantier et de domicile : intérieur d’une maison, accès, système d’alarme visible, parfois des visages ou une plaque de voiture. La CNIL considère l’image d’une personne identifiable comme une donnée à caractère personnel.
  • Les données bancaires : un RIB pour les acomptes, des coordonnées de paiement. Données à protéger strictement.
  • Les pièces liées aux aides : avis d’imposition, justificatifs de domicile, attestations pour MaPrimeRénov ou un éco-prêt. Ce sont des documents nominatifs et parfois sensibles.
  • Les devis et factures : ils contiennent nom, adresse, montants, et engagent ta comptabilité.
  • Les données de sous-traitance : si tu fais appel à un autre artisan ou si tu en es un, les coordonnées et pièces circulent entre entreprises.

Toutes ces données n’ont pas le même niveau de risque, mais toutes méritent que tu saches où elles vont quand tu utilises un outil d’IA.

Le réflexe à graver Avant chaque saisie dans une IA, pose-toi une seule question : « si cette fenêtre fuitait demain, est-ce qu'on pourrait remonter à mon client, savoir où il habite ou voir l'intérieur de chez lui ? » Si la réponse est oui, tu retires l'identifiant d'abord, ou tu utilises un outil cadré.

Six règles concrètes pour utiliser l’IA sans faire fuiter un client

Voici le cadre, traduit en gestes que tu peux appliquer dès demain matin. Pas de théorie, des règles.

1. Minimise. Ne donne à l’IA que ce qui est strictement nécessaire à la tâche. Pour faire rédiger un descriptif de travaux, l’IA n’a pas besoin du nom de la cliente ni de son adresse exacte. « Salle de bain de 6 m², carrelage à refaire, douche à l’italienne » suffit. La minimisation est un principe central du RGPD rappelé par la CNIL : tu ne traites que le strict nécessaire.

2. Aie une base légale claire. Tu collectes des données pour exécuter un contrat (le devis, le chantier), pour respecter une obligation légale (la facturation comptable) ou avec le consentement du client (diffuser une photo de son chantier sur ta page). Chaque usage doit reposer sur l’une de ces bases. Publier l’avant-après d’un chantier où l’on reconnaît un domicile sans accord du client n’a pas de base solide.

3. Jamais de données nominatives dans un LLM grand public. C’est la règle d’or. Dans une IA gratuite ou un abonnement perso, pas de nom de client, pas d’adresse de chantier rattachée à une personne, pas de RIB, pas de pièce d’aide, pas de photo de domicile reconnaissable. Si tu dois utiliser un outil grand public, remplace les éléments identifiants par des repères neutres : un client devient « Client A », une adresse devient « une zone résidentielle ».

4. Vérifie le contrat de sous-traitance de tes outils. Tout logiciel qui stocke pour toi des données clients (CRM, outil de devis, IA professionnelle) est ton sous-traitant au sens de l’article 28 du RGPD. La CNIL impose qu’un contrat écrit encadre cette sous-traitance, avec des garanties de sécurité, de confidentialité, et la restitution ou la suppression des données en fin de prestation (CNIL, gérer la sous-traitance). Concrètement, tu vérifies que l’outil propose un DPA (accord de traitement des données) et un hébergement dans l’Union européenne.

5. Fixe des durées de conservation. Tu ne gardes pas tout pour toujours. Les factures et pièces comptables se conservent 10 ans à compter de la clôture de l’exercice (Code de commerce). Les données clients courantes restent en base active le temps de la relation, puis la CNIL recommande de les supprimer ou de les archiver autour de 3 ans après le dernier contact pour la prospection (CNIL, durées de conservation). Au-delà, on archive ou on efface.

6. Respecte les droits des personnes. Un client peut te demander l’accès à ses données, leur rectification ou leur effacement. Si tu floutes mal une photo et qu’il demande son retrait, tu dois pouvoir le faire vite. Avoir ses données rangées dans un outil propre, et non éparpillées dans des historiques de chat, te permet de répondre.

Aucun compte gratuit ne porte ta responsabilité à ta place. Le jour où une donnée client fuite, c’est l’entreprise, responsable de traitement, qui répond, pas le fournisseur de l’IA.

Le cas particulier des photos de chantier et de domicile

C’est le point que les artisans sous-estiment le plus, parce qu’une photo paraît anodine. Elle ne l’est pas. Une photo de chantier peut révéler l’intérieur d’un logement, un dispositif de sécurité, un visage, une plaque de voiture, le numéro et le nom de la rue. Dès qu’une personne ou son domicile est identifiable, l’image est une donnée personnelle, et la traiter suppose une base légale et de la prudence.

Trois gestes simples couvrent l’essentiel. D’abord, cadre serré sur la zone de travaux et évite tout ce qui identifie au moment de la prise de vue. Ensuite, avant d’envoyer une photo dans une IA pour générer une description, un avant-après ou un visuel marketing, floute les éléments identifiants (plaques, visages, courriers, numéros de rue). Enfin, pour diffuser une photo de chantier sur ta page ou ton site, demande l’accord écrit du client : un accord pour réaliser les travaux ne vaut pas accord pour publier des images de son domicile.

Là où ça coince vraiment Demander à une IA grand public de flouter une photo suppose que la photo non floutée y est déjà passée. Pour les images sensibles, le premier floutage se fait sur ton téléphone ou avec un outil local, avant tout envoi en ligne.

La checklist à coller dans ton camion

Reprends ces points une fois, mets-les en place, et l’essentiel du risque tombe.

  • Je n’écris jamais le nom complet, l’adresse précise ou le RIB d’un client dans une IA gratuite ou perso.
  • Pour les outils grand public, je remplace les identifiants par des repères neutres (Client A, une zone, un montant générique).
  • Je floute ou je cadre serré toute photo de chantier ou de domicile avant un usage en ligne non cadré.
  • Pour stocker devis, factures et coordonnées, j’utilise un logiciel pro avec contrat de sous-traitance et hébergement UE.
  • Je vérifie que mes outils proposent un DPA (accord de traitement des données) et précisent où sont hébergées les données.
  • Je conserve les factures 10 ans, j’archive ou je supprime les données clients inactives au bout de quelques années.
  • J’ai une note d’usage écrite si je travaille avec des salariés ou des sous-traitants, pour dire ce qui est autorisé.
  • Je demande l’accord écrit du client avant de publier une photo de son chantier.

Bon usage contre mauvais usage : deux versions de la même journée

Le même outil peut te protéger ou te piéger selon la façon dont tu t’en sers. Voici la différence en pratique.

Mauvais usage. Tu colles dans une IA gratuite : « Rédige un devis pour Mme Martin, 14 rue des Lilas à Lyon, rénovation salle de bain, son RIB est le suivant pour l’acompte », et tu y ajoutes une photo de la pièce où l’on voit la fenêtre et un courrier nominatif. Tu viens de transmettre une identité, une adresse, des coordonnées bancaires et une image de domicile à un service qui peut les réutiliser et les héberge hors UE. Tu es responsable, et tu n’as aucune trace de ce qui en est fait.

Bon usage. Tu tapes dans la même IA : « Rédige un modèle de devis pour une rénovation de salle de bain de 6 m², douche à l’italienne, carrelage mural et sol, fourniture et pose, mentions légales pour une entreprise artisanale ». Tu obtiens une trame propre, sans une seule donnée personnelle. Tu réinjectes ensuite le nom, l’adresse et les montants dans ton logiciel de devis, qui est ton sous-traitant cadré. Le gain de temps est identique. Le risque, lui, a disparu.

La leçon tient en une phrase : tu fais faire à l’IA le travail générique, et tu gardes les données réelles dans un outil qui porte la responsabilité avec toi.

Le verdict pragmatique pour un artisan

Tu n’as pas à choisir entre gagner du temps avec l’IA et protéger tes clients. Tu as à séparer deux choses : la rédaction, que tu peux confier à une IA grand public à condition de ne lui donner aucune donnée nominative, et le stockage, qui doit vivre dans un outil professionnel avec contrat de sous-traitance et hébergement UE. Entre les deux, un réflexe : retirer l’identifiant avant de saisir, flouter avant d’envoyer une photo, demander l’accord avant de publier.

Ce n’est pas plus de paperasse, c’est un pli à prendre. Une fois le réflexe installé, tu utilises l’IA tous les jours sans jamais te demander où finit l’adresse de ta cliente. Et le jour où quelqu’un te pose la question de la confidentialité, tu as une réponse simple et solide.

À lire ensuite

Sources

Rédigé par IA, validé par humain. Aucun éditeur cité ne nous rémunère. Cet article ne remplace ni les fiches pratiques de la CNIL, ni l’avis d’un juriste pour ta situation.

Questions fréquentes

Puis-je mettre l'adresse d'un chantier dans ChatGPT pour calculer un trajet ou un devis ?
Pas dans une version grand public avec le nom du client à côté. L'adresse de chantier rattachée à une personne est une donnée personnelle, et ce que tu saisis dans un outil gratuit peut être réutilisé pour l'entraînement et part souvent hors UE. Pour un calcul, remplace les éléments identifiants par des repères neutres (un client devient Client A, l'adresse devient une zone), ou utilise un outil pro avec contrat de sous-traitance.
Une photo de chantier prise chez un client, est-ce une donnée personnelle ?
Oui dès qu'on peut identifier quelqu'un ou son domicile : un visage, une plaque d'immatriculation, le numéro et la rue de la maison, l'intérieur reconnaissable. La CNIL considère l'image d'une personne identifiable comme une donnée à caractère personnel. Avant d'envoyer une photo dans une IA pour générer une description ou un avant-après, floute ce qui identifie, ou reste sur un outil cadré et un usage documenté.
Qui est responsable si mon salarié colle des coordonnées clients dans une IA ?
Toi, l'entreprise, en tant que responsable de traitement. La CNIL rappelle que l'employeur reste responsable du traitement dès lors qu'un salarié saisit des données personnelles dans un outil d'IA : c'est à lui de définir les usages autorisés, d'informer les personnes et de garantir la confidentialité. Une note d'usage écrite pour l'équipe est la base.
Combien de temps dois-je garder les devis, factures et coordonnées de mes clients ?
Les factures et pièces comptables se conservent 10 ans à compter de la clôture de l'exercice (Code de commerce). Les données clients courantes (coordonnées, historique) se gardent en base active le temps de la relation, puis la CNIL recommande une suppression ou un archivage autour de 3 ans après le dernier contact pour la prospection. Tu documentes ces durées, tu n'empiles pas tout indéfiniment.