La Plateforme Stevenson

Lorsque vous utilisez la fonction *Partager* dans ChatGPT :

• Un lien public spécifique est généré pour une seule conversation
• Ce lien permet :
  • de consulter uniquement ce chat
  • sans accès aux autres conversations
• Le destinataire ne peut pas naviguer vers vos autres chats

→ En principe, il n’y a donc pas de fuite structurelle vers vos autres contenus

Plusieurs situations peuvent expliquer cette impression.

Si vous testez le lien vous-même :

• le lien s’ouvre dans votre session active
• vous voyez toute votre interface ChatGPT
• cela donne l’impression que tout est accessible

→ En réalité, un tiers ne verra pas cela

Dans ce cas :

• il voit le chat partagé
• il voit aussi ses propres conversations
• il n’a jamais accès aux vôtres

Pour vérifier le comportement réel :

• ouvrir le lien en navigation privée
• ou dans un navigateur non connecté

Résultat attendu :

• affichage du seul chat partagé
• absence de barre latérale personnelle

• Utiliser exclusivement le bouton Partager
• Vérifier en navigation privée avant diffusion
• Supprimer toute information sensible dans le chat

• Ne pas partager :
  • captures d’écran avec la barre latérale visible
  • accès direct à votre compte
• Ne pas laisser une session ouverte sur un poste partagé

Selon les versions :

• possibilité de désactiver le lien de partage
• possibilité de supprimer la conversation

→ Le lien devient immédiatement invalide

• Le lien de partage donne accès à un seul chat
• L’impression d’accès global provient d’un effet de session locale
• La sécurité dépend :
  • du mode de test
  • du contexte de connexion

PROCÉDURE STANDARDISÉE (type charte interne ESSMS / RGPD)

```

La présente charte définit les règles de partage des conversations issues d’outils d’intelligence artificielle (ex : ChatGPT) au sein de l’établissement.

Elle vise à garantir :

• la protection des données personnelles (RGPD)
• la confidentialité des informations usagers
• la conformité aux exigences HAS (bientraitance, confidentialité)
• la sécurité des systèmes d’information

Cette procédure s’applique à :

• tous les professionnels de l’ESSMS
• tous les usages d’outils d’IA générative
• tous les supports de diffusion (mail, lien, documentation interne)

Aucune donnée permettant d’identifier directement ou indirectement un usager ne doit être partagée.

Inclut notamment :

• nom, prénom
• date de naissance
• numéro de dossier
• photographie
• situation familiale identifiable

Seules les informations strictement nécessaires à l’analyse doivent être utilisées.

Avant toute utilisation ou partage :

• supprimer les identifiants directs
• transformer les données sensibles (ex : “Madame X, 87 ans”)
• généraliser les situations (ex : “résident présentant des troubles cognitifs”)

L’usage de ChatGPT doit être limité à :

• analyse institutionnelle
• préparation d’audit (HAS, CPOM)
• production de documents internes
• formation des équipes

• utiliser exclusivement la fonction “Partager”
• vérifier le lien en navigation privée avant diffusion
• s’assurer qu’aucune donnée sensible n’est visible

Il est strictement interdit de :

• partager un lien contenant des données identifiantes
• transmettre un accès à son compte personnel
• diffuser des captures d’écran contenant des informations sensibles
• utiliser des outils IA pour traiter des données de santé nominatives

Le partage est limité :

• aux professionnels concernés
• dans un cadre strictement professionnel
• via des canaux sécurisés (mail professionnel, intranet)

Avant tout partage, vérifier :

• [ ] Aucune donnée nominative présente
• [ ] Données anonymisées ou fictives
• [ ] Finalité professionnelle justifiée
• [ ] Lien testé en navigation privée
• [ ] Contenu conforme aux règles HAS (respect, bientraitance)

Chaque utilisateur est responsable :

• du contenu qu’il saisit
• du respect de la confidentialité
• du partage sécurisé

Le management veille à :

• diffuser la charte
• former les équipes
• contrôler les usages

• appui en cas de doute
• gestion des incidents
• mise à jour des recommandations

En cas de partage accidentel de données sensibles :

• retirer immédiatement le lien de partage
• alerter le responsable hiérarchique
• informer le DPO
• tracer l’incident (registre RGPD)

• principe de minimisation
• protection des données sensibles
• responsabilité du traitement

• respect de la dignité
• confidentialité des informations
• sécurisation des pratiques professionnelles

• non-partage des accès
• usage de connexions sécurisées
• vigilance sur les environnements de travail

• utiliser des cas fictifs ou simulés
• privilégier les analyses globales (institutionnelles)
• formaliser les usages dans un cadre collectif (audit, CPOM)
• intégrer les productions dans un système documentaire interne (Wiki)

La présente charte est applicable immédiatement.

Elle doit être :

• diffusée à l’ensemble des professionnels
• intégrée au règlement intérieur si nécessaire
• révisée annuellement

```

—