Sécurité, confidentialité et conformité des données des entreprises
La confiance, la sécurité et la confidentialité sont au cœur de la mission d'OpenAI. Nous veillons à la confidentialité, à la sécurité et au respect de la propriété des données de votre entreprise, que vous utilisiez ChatGPT Enterprise, ChatGPT Business, ChatGPT Edu, ChatGPT for Teachers ou notre plateforme API.
Ils nous font confiance
La sécurité et la confidentialité chez OpenAI
Par défaut, nous n'entraînons pas nos modèles avec les données de votre entreprise.
Par défaut, nous n'utilisons pas les données de votre entreprise, requêtes comme réponses, pour entraîner ou améliorer nos modèles, que ce soit avec ChatGPT Enterprise, ChatGPT Business, ChatGPT Edu, ChatGPT for Teachers ou notre plateforme API. Nos modèles sont entraînés sur la base de connaissances accessibles publiquement depuis Internet, de données obtenues par le biais de partenaires et d'informations que nos chercheurs fournissent ou génèrent. Si vous souhaitez nous aider à améliorer nos modèles, vous pouvez le faire en acceptant explicitement l'exploitation de vos données(ouverture dans une nouvelle fenêtre) depuis le tableau de bord des API.
Vos données sont toujours chiffrées, qu'elles soient au repos ou en transit, entre votre ordinateur et OpenAI, ou entre OpenAI et ses prestataires.
Que vous envoyiez une requête ou receviez une réponse, vos données restent protégées contre tout accès non autorisé. Nous utilisons des protocoles éprouvés et robustes pour protéger vos données, notamment AES-256 pour les données au repos et TLS 1.2 ou supérieur pour les données en transit.
Avec la gestion des clés d'entreprise (EKM)(ouverture dans une nouvelle fenêtre), les clients gardent la main sur leurs propres clés de chiffrement et bénéficient ainsi d'un niveau supplémentaire de sécurité et de conformité.
Nous proposons des contrôles de conservation des données aux entreprises éligibles pour faciliter leur conformité réglementaire.
Elles peuvent ainsi déterminer pendant combien de temps OpenAI conserve leurs données et opter pour notre politique de non-conservation des données sur la plateforme API.
Découvrez nos politiques de conservation des données pour ChatGPT Enterprise, Business, Edu, ainsi que pour la plateforme API(ouverture dans une nouvelle fenêtre).
La sécurité fait partie intégrante de nos produits et de notre infrastructure.
Nous pensons à la sécurité dès la conception de nos produits. Notre programme de sécurité repose sur le modèle Zero Trust et des approches de protection approfondies. Notre cycle de développement logiciel est est conçu pour intégrer la sécurité dès la phase de création et pour gérer efficacement les risques liés à la chaîne d'approvisionnement. Nos contrôles de sécurité s'appliquent à plusieurs niveaux : points de terminaison, infrastructure, réseaux et applications. Nous investissons également massivement dans la recherche et la sécurité des technologies de nouvelle génération, comme les agents.
Nous assurons la protection de vos données par des tests approfondis et une surveillance rigoureuse.
L'équipe de sécurité d'OpenAI est active 24 h/24, 7 j/7 et 365 jours par an pour faire face aux éventuels incidents de sécurité. Des alertes automatiques et des processus d'analyse manuels lui permettent de traiter les activités suspectes. L'infrastructure d'OpenAI fait l'objet d'audits réguliers par des tiers indépendants, qui procèdent notamment à des simulations d'attaques et des tests adversariaux pour vérifier que nous respectons les normes de sécurité les plus strictes.
Conformité et gouvernance
Nous respectons les normes du secteur et nous soumettons aux obligations réglementaires applicables.
Les pratiques de protection des données suivies par OpenAI vous aident à respecter le RGPD, le CCPA et d'autres lois sur la confidentialité des données, et sont conformes aux critères CSA STAR(ouverture dans une nouvelle fenêtre), des services de confiance SOC 2 Type 2(ouverture dans une nouvelle fenêtre), et des certifications ISO/IEC 27001(ouverture dans une nouvelle fenêtre), 27017(ouverture dans une nouvelle fenêtre), 27018(ouverture dans une nouvelle fenêtre) et 27701(ouverture dans une nouvelle fenêtre). Nous proposons un Business Associate Agreement (BAA) (ouverture dans une nouvelle fenêtre)avec OpenAI aux clients du secteur de la santé qui utilisent l'API, afin de les aider à respecter leurs obligations de conformité HIPAA. Nous proposons aussi à nos clients de signer un Accord de traitement des données (DPA) pour répondre aux exigences de gestion des données des entreprises.
Nous mettons à votre disposition plusieurs options de résidence des données pour répondre à vos besoins de conformité régionale.
Les clients ChatGPT Enterprise, Edu et de la plateforme API éligibles peuvent demander l'hébergement de leurs données aux États-Unis, en Europe, au Japon, au Canada, en Corée du Sud, à Singapour, en Australie, en Inde et aux Émirats arabes unis pour se conformer aux obligations de souveraineté locales. Les nouveaux clients ChatGPT Enterprise et Edu, ainsi que les clients API éligibles, peuvent demander à ce que leurs données au repos soient stockées dans n'importe laquelle de ces régions. En plus de la résidence des données au repos, les clients API ont la possibilité de choisir explicitement l'Europe ou les États-Unis pour le traitement de leurs données avec certains points de terminaison API éligibles.
En savoir plus sur la résidence des données en Europe et l'éligibilité ↗
En savoir plus sur la gestion du contenu de nos clients ↗
Contrôles de sécurité des produits
Nous proposons une gestion des accès pensée pour les entreprises afin que votre équipe informatique puisse administrer efficacement les utilisateurs et autorisations. Ces fonctionnalités permettent de s'assurer que seul le personnel autorisé accède à vos systèmes, et vous donne totalement la main sur les personnes en mesure d'accéder à des informations sensibles.
Découvrez comment gérer les contrôles d'accès dans l'API(ouverture dans une nouvelle fenêtre) et dans ChatGPT.
Authentification multifacteur (MFA)(ouverture dans une nouvelle fenêtre) pour un niveau de sécurité supplémentaire (prise en charge de l'authentification TOTP)
Rôles(ouverture dans une nouvelle fenêtre) permettant de définir trois types d'utilisateurs : Membre, Administrateur et Propriétaire
Contrôles des GPT permettant d'activer et de désactiver l'accès aux GPT tiers
Authentification unique (SSO SAML) permet aux utilisateurs d'accéder à plusieurs applications à l'aide des mêmes informations d'identification
Analyses de base pour suivre l'utilisation du modèle et de ses fonctionnalités dans votre espace de travail
Toutes les fonctionnalités de Business
Protocole SCIM(ouverture dans une nouvelle fenêtre) permettant aux administrateurs informatiques de mettre en service ou hors service des comptes d'utilisateur de manière automatique
Contrôles d'accès basés sur les rôles(ouverture dans une nouvelle fenêtre) pour créer des rôles personnalisés, les appliquer à des groupes et définir des autorisations pour les outils comme les connecteurs, les projets partagés, les GPT et la recherche sur le Web
Analyses des utilisateurs offrant une visibilité en temps réel sur l'adoption, les interactions et l'utilisation des modèles
Authentification multifacteur (MFA)(ouverture dans une nouvelle fenêtre) pour un niveau de sécurité supplémentaire (prise en charge de l'authentification TOTP)
Authentification unique (SSO SAML) permettant aux utilisateurs d'accéder à plusieurs applications à l'aide des mêmes informations d'identification
Projets et limites de projet(ouverture dans une nouvelle fenêtre) pour un contrôle précis des accès, de l'utilisation et des dépenses au sein de votre espace de travail
API d'administration(ouverture dans une nouvelle fenêtre) permettant aux responsables et équipes de sécurité de gérer les accès et autorisations
API des journaux d'audit(ouverture dans une nouvelle fenêtre) pour donner une visibilité totale sur les risques de sécurité et de conformité
Tableau de bord d'utilisation(ouverture dans une nouvelle fenêtre) pour suivre l'utilisation des API au niveau des fonctionnalités, produits, équipes ou projets