« Mes données clients, franchement, qui ça intéresse ? Je ne suis pas une banque, je répare des chaudières. » C’est la phrase qu’on entend partout sur les chantiers, et c’est exactement celle qui fait baisser la garde. Parce que ce que vous trimballez dans votre téléphone, ce n’est pas une liste de noms anodine : c’est l’adresse exacte d’un particulier, le code de son digicode, parfois son RIB et l’emplacement de la clé sous le pot de fleurs. Mises bout à bout, ces infos disent comment entrer chez quelqu’un et toucher à son argent. Ça, ça intéresse du monde.

Le piège, c’est qu’on les donne sans s’en rendre compte. Un chauffagiste finit une pose, et pour gagner cinq minutes sur le compte rendu, il dicte à une appli d’IA grand public : « Rédige le compte rendu pour Madame Lefèvre, 14 rue des Acacias à Melun, code d’entrée 4B72, chaudière remplacée, reste à régler le solde, son RIB est dans le mail. » En une phrase, le nom, l’adresse, le code d’accès et une référence bancaire partent dans un outil dont les conditions ne garantissent rien. Personne n’a rien piraté. La fuite, c’est lui qui l’a faite, tout seul, en croyant que ses données n’intéressaient personne.

Le problème n’est pas l’IA. L’IA est un excellent assistant pour un plombier-chauffagiste : devis, comptes rendus, relances, tri de photos. Le problème, c’est ce qu’on lui donne à voir. Et là, il y a une méthode simple qui change tout.

Cet article fait partie de notre guide complet de l’IA pour les plombiers-chauffagistes.

Cet article donne une méthode opérationnelle. Il ne remplace pas les recommandations de la CNIL ni un conseil juridique sur votre situation précise. Pour un cas particulier, référez-vous aux sources officielles citées en fin d’article.

Ce que la CNIL appelle un traitement, et pourquoi ça vous concerne

Beaucoup d’artisans pensent que le RGPD, c’est pour les grosses boîtes avec un service informatique. Faux. Dès que vous notez le nom et le téléphone d’un client dans un carnet numérique, vous traitez des données personnelles. Et dès que vous saisissez ce nom dans un outil d’IA, vous traitez ces données dans un outil tiers.

Le point qui surprend le plus : la CNIL considère que c’est vous le responsable de ce traitement, pas l’éditeur du logiciel. Dans ses recommandations sur l’IA et le RGPD, publiées le 7 février 2025, elle rappelle que si vous utilisez un assistant d’IA avec des données de vos clients, c’est vous qui répondez du traitement, pas le fournisseur du modèle. Autrement dit, le jour où ça dérape, ce n’est pas l’appli qui sera devant la CNIL ou devant le client mécontent. C’est l’entreprise artisanale.

La question n’est donc pas « est-ce que je fais du traitement de données en utilisant l’IA ? ». Vous en faites. La seule question, c’est : est-ce que je le fais proprement ?

Les six familles de données qui circulent dans votre journée

Avant de poser des règles, regardons ce qui transite réellement chez un plombier-chauffagiste. Vous manipulez bien plus de données sensibles que vous ne le pensez.

  • Les coordonnées : nom, téléphone, email, adresse du domicile. L’adresse du domicile d’un particulier est une donnée personnelle à part entière, pas une banalité.
  • Les accès physiques : code d’entrée d’immeuble, code de digicode, emplacement de la clé, code d’alarme. C’est la donnée la plus dangereuse de toutes, parce qu’elle ouvre une porte au sens littéral.
  • Les photos d’intervention : l’installation, mais aussi l’intérieur du logement, parfois un visage, une plaque de rue, un courrier qui traîne. Une photo qui identifie un logement ou une personne est une donnée personnelle.
  • Les données financières : RIB pour un prélèvement, montant des travaux, situation de paiement, parfois éléments de revenus quand vous montez un dossier d’aide.
  • Les pièces des aides à la rénovation : pour un dossier MaPrimeRénov’ ou une prime CEE, vous touchez à l’avis d’imposition, au numéro fiscal, à la composition du foyer. Ce sont des données particulièrement sensibles parce qu’elles renseignent sur la situation économique du ménage.
  • Les comptes rendus et l’historique : devis, factures, comptes rendus d’intervention, historique des pannes. Pris ensemble, ils dressent un portrait précis du client et de son logement.
Le réflexe à graver Avant chaque saisie dans un outil d'IA, posez-vous une seule question : « si cet écran fuitait demain, est-ce qu'on pourrait remonter à mon client, entrer chez lui ou toucher à son argent ? » Si oui, vous nettoyez d'abord, ou vous ne saisissez pas.

Les règles concrètes, traduites pour le terrain

Le RGPD tient en quelques principes simples une fois sortis du jargon. Voici comment ils s’appliquent à votre métier.

Minimisation. Ne donnez à l’IA que ce dont la tâche a besoin. Pour rédiger un compte rendu, l’IA n’a pas besoin du nom, de l’adresse ni du code d’entrée : elle a besoin de ce qui a été fait sur l’installation. C’est exactement la logique que la CNIL pousse pour l’IA, ne saisir dans un prompt que ce qui est strictement nécessaire à la tâche. Le nom et l’adresse, vous les remettez vous-même au moment d’imprimer le document dans votre logiciel.

Base légale. Vous avez le droit de traiter les données nécessaires à l’exécution du devis et du contrat, c’est votre base légale. Mais cela ne couvre pas tout. Envoyer une campagne de relance commerciale par email à d’anciens clients, par exemple, suppose de respecter les règles de prospection. La CNIL est claire sur la maîtrise de la relation client : on ne collecte que le nécessaire, on informe les personnes, on limite la durée.

Pas de donnée nominative dans un LLM grand public. C’est la règle qui évite l’immense majorité des accidents. Un assistant d’IA en version gratuite ou abonnement individuel fonctionne sur des conditions qui ne garantissent pas, par défaut, que vos saisies ne seront pas réutilisées. La frontière n’est pas « confidentiel ou pas confidentiel ». Elle est : identifiant présent ou identifiant retiré. Un compte rendu technique anonyme n’apprend rien à personne. Le même compte rendu avec nom, adresse et code d’accès vend la mèche.

Sous-traitance et DPA. Le jour où vous adoptez un vrai logiciel d’IA métier qui stocke vos fichiers clients, cet éditeur devient votre sous-traitant. L’article 28 du RGPD impose alors un contrat écrit, souvent appelé DPA, qui encadre concrètement ce que l’outil a le droit de faire des données, le niveau de sécurité, le recours à d’autres sous-traitants et l’hébergement. La CNIL insiste sur un point : la qualification de responsable ou de sous-traitant ne dépend pas d’une étiquette dans le contrat, mais des faits, qui décide quoi, qui exécute quoi. Vous ne pouvez pas déléguer votre responsabilité en cochant une case.

Durées de conservation. On ne garde pas les données d’un client à vie « au cas où ». Pour la maîtrise de la relation client, la CNIL invite à prévoir la suppression des informations en cas d’inactivité prolongée du client, en pratique au-delà de 3 ans après la fin de la relation commerciale. Au-delà, vous n’archivez séparément, avec accès restreint, que ce qu’une obligation légale impose de garder (comptabilité, garantie). Le reste se supprime.

Droits des personnes. Un client peut vous demander quelles données vous détenez sur lui, les faire corriger ou supprimer. Si vos données dorment dans dix conversations d’IA et trois exports de tableurs, vous serez incapable de répondre. Garder un système propre et centralisé, c’est aussi ça, être en règle.

Aucune case à cocher dans une interface ne déplace votre responsabilité. Le code d’accès qui fuite, c’est l’entreprise qui répond, pas l’appli.

La checklist à coller dans le camion

Cinq gestes, et l’essentiel du risque disparaît.

  1. Je ne tape jamais de nom, d’adresse ou de code d’accès dans une IA grand public. Je travaille avec des champs neutres et je réinjecte les vraies données dans mon logiciel.
  2. Pour les photos prises chez le client, je cadre serré sur l’installation. Je floute ou je recadre ce qui montre l’intérieur, un visage, un courrier, une plaque de rue, avant tout usage en ligne.
  3. Les codes d’entrée et codes d’alarme ne sortent jamais d’un endroit chiffré. Jamais dans un prompt, jamais dans un SMS en clair, jamais dans une note partagée.
  4. Avant d’adopter un logiciel d’IA, je vérifie qu’il existe un DPA (contrat de sous-traitance, article 28), avec hébergement et non-réutilisation des données précisés noir sur blanc.
  5. Je fais le ménage régulièrement. Je supprime les données dont je n’ai plus l’usage selon les durées CNIL, et je n’archive que ce qu’une obligation légale impose.
Le piège des dossiers d'aides Les pièces d'un dossier MaPrimeRénov' (avis d'imposition, numéro fiscal, composition du foyer) renseignent sur la situation économique du ménage. Ne les téléversez jamais dans un assistant grand public pour « gagner du temps » à les résumer ou les vérifier. Si vous montez beaucoup de dossiers, utilisez un outil cadré par contrat, ou traitez-les à la main.

Bon usage contre mauvais usage, côte à côte

La différence ne se joue pas sur l’outil, mais sur ce qu’on lui montre.

Mauvais usage. « Rédige le compte rendu pour M. Durand, 8 allée des Tilleuls, j’ai changé le groupe de sécurité du chauffe-eau, il me doit encore 240 euros, son numéro c’est le 06… » Tout est identifiant, tout part dans la nature.

Bon usage. « Rédige un compte rendu d’intervention professionnel à partir de ces éléments techniques : remplacement d’un groupe de sécurité sur chauffe-eau électrique, test d’étanchéité conforme, recommandation de détartrage annuel. Laisse des champs [CLIENT], [ADRESSE] et [DATE] que je remplirai. » L’IA fait le travail de rédaction, sans jamais voir qui est le client.

Même logique pour un devis : vous faites produire la structure, les libellés de prestations et les mentions, avec des champs vides pour l’identité. Vous remplissez le nom et l’adresse à la dernière étape, dans votre logiciel de facturation. L’IA n’a jamais eu besoin de connaître votre client pour rédiger correctement.

Le verdict, sans détour

Vous n’avez pas à choisir entre l’efficacité de l’IA et la confiance de vos clients. Vous avez à séparer deux choses qu’on a tendance à mélanger : le travail de rédaction, que l’IA fait très bien, et les données qui identifient le client, qui n’ont aucune raison d’y passer. Une fois ce pli pris, travailler avec des champs neutres ne prend pas plus de temps, et le risque pénal comme le risque de réputation s’effondrent.

Pour les usages plus poussés, compte rendu automatisé, tri de photos à l’échelle, dossiers d’aides en série, le bon réflexe est de passer à un outil professionnel qui s’engage par contrat (DPA, hébergement, non-réutilisation), plutôt que de bricoler avec une appli grand public. La discipline d’abord, l’outil ensuite. Le client qui vous confie sa clé et son code d’entrée vous fait confiance pour bien plus que la plomberie.

À lire ensuite

Cadrer vos usages une bonne fois

La conformité ne s’improvise pas chantier après chantier. Pour poser vos règles d’usage de l’IA, le bon réglage entre champs neutres et outil cadré, et vérifier que vos sous-traitants sont en ordre, un point rapide fait gagner du temps et lève le risque. Commencez par notre diagnostic IA gratuit pour savoir où vous en êtes.

Sources

Rédigé par IA, validé par humain. Aucun éditeur cité ne nous rémunère. Cet article ne remplace pas les recommandations de la CNIL ni un conseil juridique sur votre situation.

Questions fréquentes

Puis-je mettre l'adresse et le nom d'un client dans ChatGPT pour générer un devis ?
Pas dans une version grand public. Dès que vous saisissez un nom, une adresse ou un numéro de téléphone, c'est un traitement de données personnelles dont vous êtes responsable au sens du RGPD, et les conditions d'un outil grand public ne garantissent pas la non-réutilisation de vos saisies. La parade : faites générer le corps du devis avec des champs neutres ([CLIENT], [ADRESSE]), puis réinjectez les vraies coordonnées vous-même dans votre logiciel de devis.
Les photos prises chez un client sont-elles concernées par le RGPD ?
Oui dès qu'elles permettent d'identifier une personne ou un logement précis : un intérieur reconnaissable, une plaque de rue en arrière-plan, un visage, parfois un document posé sur un meuble. Ne collectez que ce qui sert à l'intervention, floutez ce qui dépasse, et ne les téléversez pas dans une IA grand public. Pour un usage de tri ou de compte rendu, privilégiez un outil professionnel qui s'engage par contrat sur l'hébergement et la non-réutilisation.
Combien de temps puis-je garder les données de mes clients ?
Pas à vie « au cas où ». La CNIL recommande de prévoir la suppression des informations en cas d'inactivité prolongée du client, en pratique au-delà de 3 ans après la fin de la relation commerciale. Au-delà, vous archivez séparément, avec accès restreint, uniquement ce qu'une obligation légale impose de garder (comptabilité, garantie décennale, contentieux). Le reste se supprime.
Si j'utilise un logiciel d'IA pour mes interventions, qui est responsable des données ?
Vous restez responsable de traitement. Le logiciel qui traite vos données clients pour votre compte est un sous-traitant au sens de l'article 28 du RGPD, et cela impose un contrat écrit, souvent appelé DPA, qui encadre l'usage, la sécurité, l'hébergement et la non-réutilisation des données. Vérifiez qu'il existe avant de confier le moindre fichier client à l'outil.