J'ai filé ChatGPT à mon équipe et c'était le bordel

Bienvenue dans Impulsion IA, épisode cinq. Je suis Sophie, et aujourd'hui on a un épisode un peu spécial. On va parler d'erreurs. De boulettes, même. Le titre dit tout : j'ai filé ChatGPT à mon équipe et c'était le bordel. Marc, Julie, vous êtes là, et je crois que Julie a des choses à nous raconter.

Oh oui. Et tu te souviens, Marc, à la fin du dernier épisode je t'ai dit que si mon commercial faisait n'importe quoi avec ChatGPT, je t'appelais ? Eh ben. Je t'ai pas appelé. Mais j'aurais dû.

Ah, ça promet ! Bon, on avait teasé des histoires croustillantes, je crois qu'on va pas être déçus. Et honnêtement, Julie, t'es pas la seule. C'est presque un passage obligé.

Alors voilà le programme. On va passer en revue les erreurs classiques quand on déploie l'IA en PME. Le manque de cadrage, les problèmes de données sensibles, les hallucinations, et puis on terminera avec ce qui marche quand c'est bien fait. Marc, on commence par l'erreur numéro un ?

L'erreur numéro un, c'est ce que j'appelle le syndrome du 'tiens, voilà l'outil, débrouillez-vous'. Le dirigeant lit un article, s'enthousiasme, achète des licences ChatGPT Team ou Copilot pour toute l'équipe, et envoie un mail le vendredi soir : 'Bonjour à tous, à partir de lundi on a accès à l'IA, n'hésitez pas à l'utiliser'. Point. Pas de formation, pas de guidelines, rien.

C'est exactement ce que j'ai fait.

Et t'es pas la seule, Julie. J'ai accompagné une boîte de quarante personnes dans le bâtiment. Le patron a souscrit Copilot pour tout le monde un lundi matin. Le mercredi, j'avais trois appels : la comptable qui avait peur de se faire remplacer, le chef de chantier qui demandait si c'était obligatoire, et un commercial qui avait déjà généré un devis complètement faux.

Un devis faux ? On va y revenir. Mais Julie, raconte. Toi, qu'est-ce qui s'est passé quand tu as lancé l'IA dans ta boîte ?

Bon alors moi, après l'épisode sur les coûts, j'ai pris cinq licences ChatGPT Team. Pour tester. Mon commercial, ma comptable, mon assistante, ma responsable logistique et moi. Je leur ai envoyé un mail, genre 'essayez, ça peut vous aider au quotidien'. Et pendant deux semaines, silence radio. Je pensais que personne s'en servait.

Et en fait ?

En fait, mon commercial, Sébastien, il s'en servait à fond. Sauf que personne le savait. Il faisait relire tous ses mails clients par ChatGPT. Jusque-là, pas de souci. Sauf qu'il copiait-collait des devis complets avec les prix, les marges, les noms des clients. Tout. Dans ChatGPT.

Aïe.

Et voilà, on est en plein dedans. C'est l'erreur numéro deux : les données sensibles. Et c'est de loin la plus dangereuse. Quand tes employés utilisent la version grand public de ChatGPT ou même la version Team sans comprendre ce que ça implique, ils envoient potentiellement des données confidentielles à un serveur externe. Noms de clients, montants de contrats, marges commerciales.

Mais attends, la version Team, normalement les données sont pas utilisées pour entraîner le modèle, non ? C'est ce qu'on m'a vendu.

C'est vrai, avec ChatGPT Team ou Enterprise, OpenAI s'engage contractuellement à ne pas entraîner ses modèles sur tes données. Mais il y a quand même un transit de données vers leurs serveurs aux États-Unis. Et selon ton secteur, tes obligations contractuelles avec tes clients, ou simplement le bon sens, il y a des choses qui ne devraient jamais quitter ton SI. Des fiches de paie, des données médicales, des clauses de contrats confidentiels.

Et le pire, c'est que Sébastien, il pensait bien faire ! Il me disait 'mais Julie, ça m'aide à rédiger les mails, c'est plus pro'. Il voyait pas le problème.

Marc, c'est fréquent ce genre de situation ? Des employés qui mettent des données sensibles sans même s'en rendre compte ?

C'est ultra fréquent. Une étude récente montrait que près de dix pour cent des requêtes envoyées à des outils d'IA générative en entreprise contenaient des données sensibles. Et dans les PME, c'est souvent pire, parce qu'il n'y a pas de RSSI, pas de politique de sécurité des données formalisée. Les gens font comme ils peuvent.

Et ma comptable, elle, c'est encore un autre genre. Elle a mis une fiche de paie complète dans ChatGPT pour lui demander de vérifier un calcul de charges. Avec le nom, le numéro de sécu, tout. Quand je l'ai su, j'ai failli tomber de ma chaise.

Numéro de sécu dans ChatGPT. OK. Là on est clairement dans la zone rouge. Des données personnelles au sens du RGPD, transférées hors de l'UE. C'est le genre de truc qui peut te coûter cher si la CNIL s'en mêle.

On reviendra en détail sur les aspects juridiques dans un prochain épisode, mais c'est bien de poser le sujet dès maintenant. Bon, parlons d'un autre phénomène amusant. Marc, tu appelles ça l'effet 'jouet versus outil' ?

Exactement. Quand tu donnes un outil IA sans cadrage, il se passe un truc très prévisible. Tu as deux camps. Le premier camp, c'est les enthousiastes. Ceux qui s'en servent pour tout. Rédiger un mail au fournisseur, OK. Mais aussi pour trouver une recette de gâteau au chocolat, planifier leurs vacances, écrire un poème d'anniversaire pour mamie.

Le poème pour mamie, c'est mon assistante. Je confirme.

Et le deuxième camp, c'est les réfractaires. Ceux qui n'y touchent pas du tout. Soit par peur, soit par principe, soit parce qu'ils considèrent que c'est un gadget. Et entre les deux, t'as un no man's land où personne sait vraiment ce qui est OK et ce qui ne l'est pas.

Et comment on gère ça ? Parce qu'interdire les usages perso, c'est compliqué, non ?

C'est pas tant les usages perso le problème. Si quelqu'un utilise ChatGPT pour sa liste de courses pendant la pause déj, franchement, on s'en fiche. Le vrai problème, c'est quand l'usage perso et l'usage pro se mélangent dans la même session. Quand t'alternes entre 'reformule ce mail client' et 'trouve-moi un hôtel à Lisbonne', dans le même fil de conversation, potentiellement tu mélanges contexte pro et contexte perso.

Et ma responsable logistique, elle, elle est dans le camp des réfractaires. Elle m'a dit texto : 'Julie, moi je fais ce métier depuis vingt ans, j'ai pas besoin d'un robot pour me dire comment organiser un entrepôt.' J'ai pas insisté.

Et c'est là que le cadrage change tout. Parce que quand tu dis à quelqu'un 'voilà l'IA, utilise-la', c'est vague et ça fait peur. Mais quand tu dis 'écoute, on a identifié que tel process te prend deux heures par semaine, on a testé l'IA dessus et ça passe à trente minutes, je te montre comment faire', là c'est complètement différent. Ta responsable logistique, peut-être qu'elle changerait d'avis si on lui montrait un cas d'usage concret sur son quotidien.

Hmm, pas faux. Mais bon, c'est facile à dire.

On va revenir sur le cadrage qui marche tout à l'heure. Mais avant, parlons du sujet qui fait vraiment mal. Les hallucinations. Marc, tu nous avais parlé d'un devis faux tout à l'heure ?

Ah oui, le devis. Alors. PME dans le bâtiment, le commercial utilise Copilot dans Excel pour générer un devis. Il entre les grandes lignes du chantier, et il laisse l'IA remplir les prix unitaires. Sauf que l'IA, elle connaît pas la grille tarifaire de l'entreprise. Elle invente des prix. Qui sont cohérents en apparence, hein, mais complètement faux.

Attends, il a envoyé le devis au client comme ça ?

Il l'a envoyé. Le client a signé. Et quand le patron a regardé la marge sur le chantier, il était à moins huit pour cent. L'IA avait sous-évalué le coût des matériaux de presque vingt pour cent. Le commercial ne s'en était même pas rendu compte parce que les chiffres 'avaient l'air bons'.

Moins huit pour cent de marge. Sur un chantier. Ça me donne des sueurs froides.

Et c'est ça qu'on appelle les hallucinations ? Quand l'IA invente des choses qui ont l'air vraies mais qui sont fausses ?

Exactement. L'IA générative ne 'sait' pas. Elle prédit le mot suivant le plus probable. Donc quand tu lui demandes un prix qu'elle ne connaît pas, elle ne va pas te dire 'je ne sais pas'. Elle va inventer un prix plausible. Et c'est ça qui est vicieux : le résultat a l'air professionnel, bien formaté, crédible. Mais c'est du vent.

Moi j'ai eu un truc dans le genre avec mon assistante. Elle devait rédiger une réponse à un appel d'offres. Elle a utilisé ChatGPT pour l'aider sur la partie réglementaire. Et l'IA a cité une norme. Une norme qui n'existe pas. NF quelque chose. Très officiel, très crédible. Sauf que quand le client a vérifié, évidemment, ça n'existait pas.

C'est embarrassant.

Embarrassant, oui. Et on a perdu l'appel d'offres. Pas sûre que ce soit lié, mais ça aide pas.

Et c'est pour ça que la règle d'or, et je le répète à chaque client, c'est : l'IA propose, l'humain vérifie. Toujours. On ne publie rien, on n'envoie rien, on ne signe rien qui a été produit par l'IA sans relecture humaine. C'est non négociable.

Marc, tu as d'autres exemples d'hallucinations en entreprise ? Pour que les auditeurs se rendent bien compte.

J'en ai plein. Une RH qui demande à ChatGPT les obligations légales pour un licenciement économique. L'IA lui sort une procédure très détaillée, très bien écrite, mais qui mélange du droit français et du droit belge. Avec un article du Code du travail qui n'existe pas. La RH, elle, elle n'est pas juriste, elle fait confiance.

Ça, c'est flippant. Parce que le droit du travail, c'est pas un sujet où tu peux te planter.

Exactement. C'est pour ça qu'il faut bien distinguer les cas d'usage à faible risque et à haut risque. Reformuler un mail, résumer un compte-rendu, c'est du faible risque. Générer du contenu juridique, financier ou réglementaire, c'est du haut risque. Et ça, il faut que ce soit clair pour tout le monde dans l'équipe.

Bon, on a fait le tour des catastrophes. Et j'imagine que les auditeurs se reconnaissent dans au moins une de ces situations. Maintenant, la question à un million : comment on fait pour que ça ne se reproduise pas ? Marc, le cadrage qui marche, c'est quoi ?

Alors, première chose : une charte d'usage. Et quand je dis charte, je parle pas d'un document de quarante pages que personne lira. Je parle d'une page. Une seule. Avec trois sections : ce que tu peux faire, ce que tu ne dois jamais faire, et en cas de doute, qui tu contactes.

Une page ? Sérieusement ? Parce que moi, quand mon avocat me parle de charte, il me sort un truc de vingt pages minimum.

Et c'est exactement pour ça que personne lit les chartes. En PME, il te faut deux documents. Un document juridique complet, oui, pour te couvrir. Et un résumé opérationnel d'une page, affiché dans la salle de pause ou envoyé par mail, que tout le monde peut comprendre en cinq minutes.

Et concrètement, on met quoi dans la colonne 'ne jamais faire' ?

Quatre interdits absolus. Un : ne jamais entrer de données personnelles. Noms, adresses, numéros de sécu, fiches de paie. Deux : ne jamais entrer de données financières confidentielles. Marges, prix d'achat fournisseurs, trésorerie. Trois : ne jamais copier-coller un contrat ou un document juridique. Quatre : ne jamais publier ou envoyer un contenu généré par l'IA sans relecture humaine.

OK. Et dans la colonne 'tu peux faire', tu mets quoi pour que les gens comprennent à quoi ça sert ?

Tu listes des cas d'usage concrets, validés. Par exemple : reformuler un mail, résumer un long document, traduire un texte, générer des idées de plan, rédiger un brouillon de compte-rendu de réunion. Des trucs utiles, à faible risque, et que les gens font déjà au quotidien mais en plus lent.

Et la formation ? Parce qu'une charte c'est bien, mais si les gens ne savent pas prompter, ça sert à rien.

La formation, c'est le deuxième pilier. Et là aussi, on parle pas de trois jours de stage. Une heure. Une heure de formation pratique, avec les outils que les gens vont vraiment utiliser. On ouvre ChatGPT, on fait des exercices ensemble. Comment poser une question claire, comment vérifier une réponse, comment repérer une hallucination.

Une heure ? C'est suffisant ?

Pour démarrer, oui. L'objectif c'est pas de former des experts en prompt engineering. C'est de donner les bases pour que les gens soient autonomes et sûrs. Et ensuite, tu fais un suivi. Un petit point de trente minutes un mois plus tard. 'Comment ça se passe ? Quelles difficultés ? Quels usages vous avez trouvés ?' Ça vaut de l'or.

Tu as parlé d'un troisième élément : le référent IA. C'est quoi exactement ?

C'est quelqu'un dans l'équipe, pas forcément un technicien, qui est un peu plus à l'aise avec l'IA et qui devient le point de contact. Celui qu'on va voir quand on a une question, quand on sait pas si on peut utiliser l'IA pour tel truc, quand on a un doute sur un résultat. En PME de trente personnes, un référent suffit. Ça peut être l'assistante de direction, un chef de projet, n'importe qui de motivé et curieux.

Ça, c'est malin. Parce que moi, le problème c'est que les gens osaient pas me poser la question. Ils savaient que j'étais débordée, alors ils faisaient n'importe quoi dans leur coin.

Voilà. Et le référent, il a un double rôle. Il aide les collègues, et il remonte les usages intéressants à la direction. Il fait le lien. C'est un rôle informel, hein, pas besoin de fiche de poste. Juste quelqu'un de reconnu dans l'équipe.

Bon, on a les trois piliers : charte, formation, référent. Maintenant, parlons de ce qui marche vraiment bien quand le cadrage est en place. Les quick wins. Marc, qu'est-ce que tu vois comme premiers résultats chez tes clients ?

Le quick win numéro un, de très loin, c'est les mails. Reformulation, correction de ton, traduction. Quand tu donnes à un commercial des templates de prompts pour ses mails clients — genre 'reformule ce mail en ton plus professionnel', 'résume cet échange en trois points', 'traduis en anglais en gardant un ton formel' — le gain de temps est immédiat. On parle de quinze à vingt minutes par jour facilement.

Quinze minutes par jour, ça fait, euh... plus d'une heure par semaine. Fois trente personnes...

Voilà, tu commences à voir l'impact. Et c'est pas tout le monde qui gagne quinze minutes, évidemment. Mais ceux qui écrivent beaucoup — commerciaux, assistants, chefs de projet — oui, le gain est significatif.

Et quoi d'autre comme quick wins ?

Les comptes-rendus de réunion. Tu prends un outil comme Copilot dans Teams, ou même un outil dédié, et tu as un résumé automatique de ta réunion en cinq minutes. Points clés, décisions prises, actions à mener. Pour une PME qui fait trois ou quatre réunions par semaine, c'est un game changer. Avant, soit personne prenait de notes, soit quelqu'un perdait quarante-cinq minutes à rédiger un CR que personne lisait.

Ça, j'avoue, c'est le truc qui m'a le plus bluffée. J'ai testé avec mon assistante. On a fait une réunion d'équipe d'une heure, l'IA a sorti un résumé en trois minutes. Et il était bon. Franchement bon. Ma responsable logistique, la réfractaire, elle m'a dit 'ah, pour ça c'est pas mal'. Victoire.

Tu vois ! Et c'est souvent comme ça que les réfractaires changent d'avis. Pas avec de grands discours, mais avec un cas d'usage concret qui leur fait gagner du temps à eux.

Et la veille concurrentielle, tu en parlais aussi ?

Oui. L'IA est très forte pour synthétiser de l'information. Tu lui donnes cinq articles de presse, trois rapports de marché, et tu lui demandes 'quelles sont les tendances clés pour mon secteur'. En cinq minutes, tu as un résumé structuré. Avant, ça prenait une demi-journée. Ou, soyons honnêtes, ça se faisait pas du tout.

Mais là, attention aux hallucinations, non ? Si l'IA résume un rapport, est-ce qu'elle peut inventer des trucs ?

Bonne question. Le risque d'hallucination est beaucoup plus faible quand tu donnes le document source à l'IA et que tu lui demandes de résumer. Là, elle travaille à partir d'un texte existant, elle invente beaucoup moins. Le risque explose quand tu lui demandes de générer de l'information à partir de rien. Genre 'quels sont les prix du marché en négoce de matériaux'. Là, elle va inventer.

Ah OK, ça c'est une distinction importante. Résumer un document, OK. Inventer de l'info, danger.

Marc, si tu devais résumer en un plan d'action concret pour un dirigeant qui nous écoute et qui veut déployer l'IA proprement dans sa boîte, ça donnerait quoi ?

OK. Étape un : tu commences par un petit groupe. Cinq personnes max. Des gens motivés, dans des métiers différents. Tu ne fais pas toute la boîte d'un coup. Étape deux : tu rédiges ta charte d'une page. Ce qui est OK, ce qui ne l'est pas. Tu l'imprimes, tu l'affiches. Étape trois : tu fais une heure de formation pratique avec ce groupe. Hands-on, sur les vrais outils.

Étape quatre : tu nommes un référent. Quelqu'un de motivé dans le groupe pilote. Étape cinq : tu fais un point après un mois. Qu'est-ce qui a marché, qu'est-ce qui n'a pas marché, quels sont les usages qui se sont développés. Et là, tu élargis au reste de l'équipe avec les retours d'expérience du groupe pilote.

Cinq étapes. C'est clair. Et c'est exactement l'inverse de ce que j'ai fait.

Mais c'est pas grave, Julie. La bonne nouvelle, c'est que c'est rattrapable. Tu peux repartir de zéro avec un cadrage propre. Les gens qui ont déjà utilisé l'outil, c'est même un avantage : ils ont vécu les erreurs, ils comprennent pourquoi le cadrage est important.

C'est vrai. Sébastien, mon commercial, quand je lui ai expliqué le problème des données sensibles, il a compris tout de suite. Il m'a dit 'ah mince, j'y avais pas pensé'. C'est pas de la mauvaise volonté, c'est juste qu'on lui avait pas expliqué.

Et le coût de tout ça ? La charte, la formation, le référent ? On en avait parlé épisode quatre, les coûts cachés.

La charte, tu peux la rédiger toi-même avec l'aide de l'IA, ironiquement. La formation d'une heure, si tu fais appel à un consultant, c'est entre cinq cents et mille euros. Si tu le fais en interne avec le référent, c'est gratuit. Le référent, c'est quelques heures par mois de son temps. On est loin des budgets formation de dix mille euros qu'on voit parfois. Le vrai coût, c'est le temps. Mais c'est un investissement qui évite des catastrophes.

Vu le devis foireux de l'entreprise dans le bâtiment, le coût de la formation c'est rien comparé aux pertes potentielles.

Exactement. Le devis faux, c'est potentiellement des dizaines de milliers d'euros de perte. La fuite de données sensibles, c'est un risque juridique. La formation d'une heure et la charte d'une page, c'est ton assurance.

Allez, on récapitule. Aujourd'hui, on a vu les quatre erreurs classiques du déploiement IA en PME. Numéro un : balancer l'outil sans cadrage. Numéro deux : les données sensibles qui fuient. Numéro trois : l'usage jouet versus outil. Numéro quatre : les hallucinations qui passent sous le radar. Et la solution, c'est simple mais structurée : une charte d'une page, une formation d'une heure, un référent IA.

Et moi, j'ai appris que filer ChatGPT à son équipe en disant 'amusez-vous', c'est un peu comme donner les clés d'une voiture à quelqu'un sans lui expliquer le code de la route.

C'est une très bonne image. L'IA c'est un outil puissant, mais comme tout outil puissant, il faut un mode d'emploi.

Et justement, en parlant de mode d'emploi. On a beaucoup parlé de données sensibles aujourd'hui. Et Julie, ta comptable qui a mis un numéro de sécu dans ChatGPT, ça soulève des questions juridiques sérieuses. Dans le prochain épisode, on va creuser tout ça. RGPD, données clients, confidentialité : est-ce que l'IA va nous mettre en galère juridique ?

Ah, le RGPD. Mon sujet préféré. Juste après les impôts et le contrôle URSSAF.

T'inquiète, on va démystifier. C'est moins effrayant qu'on croit. Enfin... presque.

En attendant, si cet épisode vous a parlé, partagez-le. On connaît tous quelqu'un qui a filé un outil IA à son équipe sans mode d'emploi. Ça peut leur éviter quelques sueurs froides.

Et moi, je vais aller rédiger ma charte d'une page. Enfin... je vais demander à ChatGPT de m'aider. Mais cette fois, sans mettre mes marges dedans.