Claude, l'autre côté de l'iceberg

Disclaimer : je suis moi-même un très gros utilisateur de Claude. C'est mon outil de travail au quotidien, pour mes missions de conseil, mes cours, et le développement de mes projets. Et une bonne partie de ce qu'on raconte est vraie. Opus est un modèle remarquable. Claude Code et Cowork changent concrètement la façon dont on travaille.

Mais il y a un problème. Dans cette avalanche d'enthousiasme, personne ne parle de la face invisible de l'iceberg. Où vont vos données quand vous donnez à Claude accès à vos fichiers ? Qui les stocke, et pour combien de temps ? Est-ce que tout ça est seulement compatible avec le RGPD ? Et si oui, à quelles conditions ?

Dans ce numéro des Carnets de la tech utile, je vais faire ce que les posts LinkedIn enthousiastes ne font jamais : commencer par vous expliquer concrètement ce que font Cowork et Claude Code, puis retourner l'iceberg et regarder ce qu'il y a en dessous.

Les premiers agents IA vraiment accessibles à tous

Avant d'entrer dans le vif du sujet, il faut vulgariser un mot : agent.

Jusqu'ici, les IA grand public fonctionnaient toutes de la même façon. Vous posez une question, l'IA vous répond. Vous copiez-collez la réponse dans votre document, dans votre mail, dans votre code. C'est du conseil. C'est utile. Mais l'IA ne fait rien à votre place. C'est vous qui faites le travail.

Un agent, c'est comme passer d'un GPS à un chauffeur. Le GPS vous dit "tournez à droite", mais c'est vous qui conduisez. Le chauffeur, vous lui donnez la destination, et il vous y emmène. Un agent IA, c'est pareil : vous lui définissez un objectif, et il s'en charge. Il lit vos fichiers, en crée de nouveaux, modifie ceux qui existent, se connecte à vos outils. Il fait le travail, pas juste le conseil.

Et ce qui se passe en ce moment avec Claude, c'est que pour la première fois, ce type d'IA agentique sort des labos et des terminaux de développeurs pour devenir accessible au grand public. Concrètement, dans un produit que vous pouvez installer sur votre Mac ou votre PC pour 20 dollars par mois.

C'est ça, le vrai sujet. Pas la puissance brute du modèle. Le fait qu'on passe du chatbot à l'agent, et que cette transition est en train de se faire sous nos yeux, sans que grand monde ne mesure ce que ça implique.

Cowork : quand l'IA arrête de conseiller et commence à faire

Cowork, c'est le produit qui concrétise cette bascule. Lancé en janvier 2026 en research preview sur macOS, puis étendu à Windows, il est né d'un constat simple. Les travailleurs du savoir, consultants, juristes, marketeurs, chefs de projet, enseignants, passent leurs journées à manipuler des fichiers, des dossiers, des documents, des tableurs. Ils ont les mêmes besoins d'automatisation que les développeurs. Mais ils n'ont ni terminal, ni IDE, ni la moindre envie d'apprendre à coder.

Cowork, c'est l'agent IA pour le reste du monde.

Le principe

Vous ouvrez l'application Claude Desktop sur votre Mac ou votre PC. Vous sélectionnez un dossier sur votre ordinateur. Claude y a alors accès : il peut lire, modifier et créer des fichiers dans ce dossier. À partir de là, vous lui demandez ce que vous voulez en langage naturel.

Vous avez un dossier plein de factures en PDF ? Demandez-lui de les lire et de compiler un tableur Excel avec les montants, dates et fournisseurs. Il le fait. Mieux, il se connecte aussi à votre boîte mail, votre navigateur, votre PowerPoint ou votre Google Sheet, votre Notion, pour réaliser les tâches à votre place.

Ce n'est pas de la magie. C'est de l'automatisation pilotée par un modèle de langage qui comprend le contexte, et qui dispose d'un environnement d'exécution pour agir dessus.

Un exemple concret

Vous êtes consultant, vous préparez une proposition commerciale. Vos notes de réunion sont dans un fichier texte, les tarifs dans un tableur, le modèle de proposition dans un document Word. Vous sélectionnez le dossier contenant tout ça. Vous dites : "Lis mes notes de réunion, consulte le fichier de tarifs, et génère une proposition commerciale en Word pour le client Durand, prestation d'accompagnement IA, 3 jours." Claude lit tout, comprend le contexte, génère le document formaté, et le dépose dans votre dossier. Vous relisez, vous ajustez, vous envoyez.

Ça rend accessible à tout le monde ce qui était réservé aux gens capables d'écrire un script Python pour automatiser leurs tâches. C'est ça, le vrai changement.

Les connexions

Ces connexions aux outils externes passent par des plugins (MCP, pour Model Context Protocol). Gmail, Google Calendar, Notion, Slack, Google Drive, Canva : l'écosystème s'enrichit progressivement. Anthropic a également lancé une fonctionnalité "Projets" qui permet de regrouper fichiers, instructions et contexte de tâche dans un même espace de travail.

C'est encore en research preview, ce qui signifie que tout n'est pas parfait. Certaines connexions sont limitées, certains workflows sont un peu rugueux. Mais la direction est claire.

Claude Code : le même principe, pour les développeurs

Pour ceux qui codent, le même concept d'agent existe depuis plus longtemps sous la forme de Claude Code. J'en ai déjà parlé dans mon article sur l'IA au service des développeurs, donc je vais être plus bref ici.

Claude Code vit dans votre terminal. Vous lui décrivez ce que vous voulez, en langage naturel, et il fait le travail : il lit votre code existant, comprend l'architecture du projet, crée ou modifie des fichiers, exécute des commandes, lance des tests, et corrige ce qui ne marche pas. Le tout dans une boucle autonome.

La différence avec un assistant de complétion comme Copilot, c'est la même qu'entre un GPS qui vous indique "tournez à droite" et un chauffeur qui vous emmène à destination. Dans un cas, vous pilotez chaque micro-décision. Dans l'autre, vous définissez l'objectif et vous laissez l'agent naviguer.

Depuis la version 2.0, le système de checkpoints permet de reprendre une tâche longue après une interruption. Ce n'est plus un outil de sprint. C'est un collègue qui travaille sur une tâche pendant que vous passez à autre chose.

Mais attention, et c'est un point que je martèle à mes étudiants : la valeur de Claude Code est proportionnelle à la compétence de celui qui l'utilise. Un développeur senior qui délègue du travail à Claude Code sait évaluer ce que l'agent produit. Il détecte les raccourcis, les failles de sécurité, les choix d'architecture discutables. Un débutant qui copie-colle sans comprendre produit de la dette technique à la vitesse de la lumière. L'outil amplifie ce que vous êtes déjà.

Côté tarifs

Que ce soit pour Cowork ou Code, deux modes d'accès coexistent et il est important de bien les distinguer.

Le premier, c'est l'abonnement. Pro à 20 USD par mois, Max à 100 ou 200 USD par mois pour un usage intensif. Vous payez un forfait, vous utilisez Claude dans l'application Desktop ou le terminal, et c'est Anthropic qui gère tout. C'est le mode le plus simple, celui que la plupart des utilisateurs individuels et des petites équipes vont choisir.

Le second, c'est l'API. Vous payez au token (le "mot" de l'IA) : 3 USD en entrée et 15 USD en sortie par million de tokens pour Sonnet 4.6, le modèle le plus équilibré, ou 5 USD et 25 USD pour Opus 4.6. Avec le prompt caching et le traitement par lots, on peut descendre sous les 0,30 USD du million de tokens en entrée. C'est le mode utilisé par les équipes de dev et les entreprises qui intègrent Claude dans leurs propres produits.

Cette distinction abonnement/API n'est pas qu'une question de prix. Elle a des conséquences directes sur la localisation de vos données et votre conformité RGPD. On y revient juste après.

On retourne l'iceberg : et la RGPD dans tout ça ?

Quand vous donnez à un agent IA accès à vos fichiers, à vos emails, à vos documents de travail, la question "où vont ces données ?" n'est pas optionnelle. Elle est réglementaire. Et c'est précisément là que l'enthousiasme ambiant devient dangereux : plus les gens adoptent l'outil vite, moins ils se posent les bonnes questions.

Le fait que ce soient des agents rend la question encore plus critique qu'avec un chatbot classique. Avec un chatbot, vous choisissez ce que vous envoyez. Quand vous donnez à Cowork accès à un dossier entier, c'est l'agent qui décide ce qu'il lit. La surface d'exposition n'est pas du tout la même.

Ce qu'Anthropic dit faire

Anthropic est une entreprise américaine, basée à San Francisco. Première conséquence : vos données transitent par les États-Unis. C'est un fait, pas un jugement.

Pour encadrer ces transferts, Anthropic s'appuie sur plusieurs mécanismes :

Le EU-US Data Privacy Framework (DPF), le successeur du Privacy Shield invalidé par la CJUE en 2020 (arrêt Schrems II). Ce cadre a été adopté par la Commission européenne en juillet 2023 et reste en vigueur, mais sa pérennité fait débat chez les juristes spécialisés.

Les Clauses Contractuelles Types (SCCs), intégrées automatiquement dans leur Data Processing Addendum (DPA), mis à jour au 1er janvier 2026. Quand vous acceptez les conditions commerciales d'Anthropic, vous acceptez aussi le DPA.

C'est un point crucial : le niveau de protection n'est pas le même selon le plan que vous utilisez, ni selon le mode d'accès.

La grande fracture : abonnement grand public vs. usage professionnel

Et c'est là que ça se complique. Sérieusement.

Si vous utilisez Claude avec un compte gratuit ou Pro, vos conversations sont stockées pendant 30 jours. Jusque-là, ça va. Mais depuis octobre 2025, Anthropic a introduit une option permettant de partager vos conversations pour l'entraînement de ses modèles. Si vous acceptez, la durée de rétention passe à cinq ans.

Cinq ans. Pour des conversations qui peuvent contenir des données personnelles, des informations clients, des éléments couverts par le secret professionnel. Et quand on parle d'un agent qui a accès à vos fichiers locaux, ce ne sont plus seulement vos prompts qui sont concernés, c'est potentiellement le contenu de vos documents.

Et même si vous refusez l'option d'entraînement, vos données transitent toujours par des serveurs américains. Ce qui pose la question du Cloud Act, cette loi américaine de 2018 qui permet aux autorités fédérales de demander l'accès à des données stockées par des entreprises américaines, y compris si ces données sont hébergées en dehors des États-Unis.

Pour les plans Team et Enterprise, la donne est différente. Pas d'utilisation des données pour l'entraînement. Isolation des données client. DPA avec SCCs inclus. C'est plus sérieux. Mais ce n'est pas pour autant une garantie que vos données restent en Europe.

Et l'hébergement en Europe dans tout ça ?

C'est un point essentiel, et la plupart des articles que vous lirez le passent sous silence.

Quand vous utilisez Claude via un abonnement (Pro, Max, Team, Enterprise), vos données passent par l'infrastructure d'Anthropic, qui est aux États-Unis. Point. Il n'existe pas, à date, d'option permettant de garder vos données en Europe dans le cadre d'un abonnement Claude classique. Même en Enterprise.

La seule façon d'obtenir une vraie résidence des données en Europe, c'est de passer par un cloud tiers : AWS Bedrock ou Google Cloud Vertex AI. Ces deux géants proposent Claude "en marque blanche" sur leurs propres serveurs européens (Francfort, Paris, Stockholm), et dans ce cas Anthropic ne conserve ni vos prompts ni les réponses du modèle.

Mais attention, et c'est la nuance essentielle : ce n'est pas un produit grand public. Il n'y a pas d'application à télécharger, pas de Cowork, pas de Claude Desktop. Ce que vous achetez chez AWS ou Google, c'est un accès brut au modèle, via une interface de programmation. Pour en faire quelque chose d'utilisable, il faut un développeur qui construise l'outil par-dessus : une application métier, un chatbot interne, un workflow automatisé. C'est un briquet, pas un réchaud.

Autrement dit, si vous êtes une PME ou un indépendant qui veut à la fois utiliser Cowork au quotidien et garantir que ses données restent en Europe, il n'y a pas aujourd'hui de solution clef en main. Soit vous prenez un abonnement Claude et vos données partent aux États-Unis, soit vous lancez un projet technique pour faire développer votre propre outil par-dessus AWS Bedrock ou Google Vertex AI. Entre les deux, il n'y a rien.

Ce que vous devez faire, vous, en tant qu'utilisateur

Parce que la conformité RGPD n'est pas qu'une affaire de fournisseur. C'est surtout votre responsabilité en tant que responsable de traitement.

1. Choisissez le bon plan. Si vous manipulez des données personnelles, des données clients, des informations sensibles : oubliez le plan gratuit ou Pro pour du travail professionnel. Optez pour Team ou Enterprise, qui interdisent l'utilisation de vos données pour l'entraînement et isolent les données client. Et si la résidence des données en Europe est un vrai impératif pour vous, sachez qu'aucun abonnement Claude ne vous l'offrira : il faudra lancer un projet de développement sur mesure au-dessus d'AWS Bedrock ou de Google Vertex AI, ce qui sort du cadre grand public et demande des compétences techniques.

2. Faites votre analyse d'impact (AIPD). L'article 35 du RGPD impose une analyse d'impact sur la protection des données pour tout traitement susceptible d'engendrer un risque élevé. Utiliser un LLM américain pour traiter des données personnelles, ça rentre clairement dans la case. La CNIL a publié des recommandations détaillées sur ce sujet, et continue d'affiner son cadre en 2026, notamment avec un guide conjoint CNIL/HAS sur l'IA en contexte de soins publié en février.

3. Informez les personnes concernées. Vos clients, vos utilisateurs, vos collaborateurs dont les données sont traitées par Claude doivent être informés. C'est l'article 13 du RGPD. Ça passe par vos mentions légales, votre registre des traitements, vos politiques de confidentialité.

4. Minimisez les données. Principe fondamental du RGPD : ne transmettez que les données strictement nécessaires. Avant de donner à Cowork accès à un dossier entier, demandez-vous si tous les fichiers qu'il contient doivent réellement être traités. Anonymisez ou pseudonymisez quand c'est possible. Avec un agent, cette question est encore plus importante qu'avec un chatbot, puisque c'est l'agent qui navigue dans vos fichiers.

5. Encadrez les usages en interne. Un collaborateur qui utilise son compte Claude personnel pour traiter des données de l'entreprise, c'est une faille béante. Définissez une politique d'usage claire, formez vos équipes, et tracez les usages. J'ai vu des entreprises où chaque collaborateur utilisait un outil d'IA différent, sur son compte personnel, sans aucune visibilité de la direction. Du point de vue RGPD, c'est un cauchemar. Du point de vue sécurité informatique aussi.

Le cas particulier du Cloud Act

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) permet aux autorités américaines de contraindre une entreprise de droit américain à fournir des données, même si elles sont stockées sur des serveurs situés en Europe.

Anthropic, en tant qu'entreprise américaine, est soumise au Cloud Act. Point.

Est-ce que ça signifie que la NSA lit vos prompts ? Non, évidemment pas. Mais ça signifie que le risque juridique existe, et que dans certains secteurs réglementés (santé, finance, défense, droit), ce risque est un vrai sujet de conformité.

Passer par AWS Bedrock ou Google Vertex AI en région EU ajoute une couche de protection, puisque c'est alors le DPA d'AWS ou Google qui s'applique, avec leurs propres mécanismes de résistance aux demandes extraterritoriales. Mais ces entreprises sont aussi américaines, et le Cloud Act s'applique aussi à elles. Ce n'est pas un risque zéro.

Pour les entreprises les plus sensibles, la question de la souveraineté reste ouverte. Et c'est là que les initiatives européennes et françaises (Mistral, les clouds souverains) gardent tout leur intérêt stratégique, même si l'offre n'est pas encore au niveau en termes de capacités agentiques.

La CNIL, elle, ne dort pas. Après ses recommandations de juillet 2025 sur la qualification des modèles d'IA au regard du RGPD, son outil de traçabilité publié en décembre 2025, et le guide conjoint avec la HAS sur l'IA en santé en février 2026, le régulateur français continue de cadrer le terrain. Son programme de travail 2026 cible explicitement l'IA dans le monde du travail. Les entreprises qui intègrent des LLM dans leurs flux de travail ont intérêt à documenter sérieusement ce qu'elles font, avec quels outils, et sur quelles bases juridiques.

Alors, on fait quoi ?

Le fait qu'un outil soit puissant ne dispense pas de se demander à quelles conditions on peut l'utiliser. Et c'est ça, la face cachée de l'iceberg : pas un défaut technique, pas un scandale, mais un ensemble de questions juridiques et organisationnelles que la hype du moment pousse sous le tapis.

La conformité RGPD est faisable, mais elle demande du travail. Ce n'est pas de la bureaucratie : c'est de la responsabilité professionnelle.

Et pour ceux qui me demandent "mais alors, c'est mieux ou moins bien qu'un outil hébergé en France ?", ma réponse est la suivante : la question n'est pas binaire. Un outil conforme RGPD n'est pas nécessairement européen. Un outil européen n'est pas nécessairement conforme. Ce qui compte, c'est ce que vous en faites, comment vous l'encadrez, et si vous savez réellement où vont les données que vous lui confiez.

L'IA ne crée pas de nouveaux problèmes de conformité. Elle révèle et amplifie ceux qui existaient déjà. Si votre entreprise n'avait pas de politique claire sur la gestion des données avant l'IA, Claude ne va pas arranger les choses. Si vous aviez déjà les bons réflexes, Claude devient un levier formidable.

Traitez ces outils comme vous traiteriez un prestataire : avec un périmètre défini et des règles claires. Et restez maîtres de vos données, quel que soit le nombre de paramètres du prochain modèle.