ChatGPT, DeepL, WeTransfer, iLovePDF, Canva : ces services font gagner du temps chaque jour et sont devenus presque indispensables dans le quotidien professionnel. Mais vos collaborateurs savent-ils ce qui se passe en arrière-plan avec leurs saisies ? Et ce que cela signifie pour les données confidentielles de l'entreprise ? Vous pouvez vivre tout cela de façon interactive dans notre Cyber Snack, ou le lire dans cet article. Bonne lecture.
Services en ligne et outils d'IA :
Ce qui arrive vraiment à vos données
Env. 5 minutes de lecture
Commençons par la bonne nouvelle : personne ne doit renoncer aux outils d'IA et aux services en ligne. Ils apportent une vraie valeur ajoutée, et c'est aussi pour cette raison que les interdictions ne fonctionnent pas en pratique.
La mauvaise nouvelle : la plupart des collaborateurs ne pensent pas, au moment de cliquer sur « Envoyer », à l'endroit où partent leurs données ni à la durée pendant laquelle elles y restent. C'est exactement le problème.
Ce qui se passe vraiment en arrière-plan
Chaque fois qu'une personne utilise un service en ligne, qu'il s'agisse d'un chatbot IA, d'un outil de traduction ou d'un convertisseur PDF, les données saisies sont transmises aux serveurs du fournisseur. C'est techniquement inévitable : sans ce transfert, le service ne peut pas faire son travail.
Jusque-là, c'est connu et accepté. Ce qui l'est beaucoup moins : ce qui arrive ensuite à ces données dépend fortement du fait que l'utilisateur paie ou non.
Pour de nombreux services gratuits, une règle figure dans les conditions d'utilisation, mais presque personne ne la lit : si vous ne payez pas, vous payez avec vos données. Concrètement, cela signifie que les saisies peuvent être utilisées pour entraîner de futurs modèles d'IA. Dès qu'un nouveau modèle est disponible, ces données peuvent, involontairement mais réellement, réapparaître dans ses réponses.
Trois incidents documentés qui ne sont pas théoriques
Amazon, janvier 2023
Des collaborateurs d'Amazon avaient saisi des textes internes et du code source dans ChatGPT pour les améliorer. Résultat : des réponses de ChatGPT ressemblaient tellement à des documents internes d'Amazon qu'un juriste d'Amazon a émis une alerte à l'échelle de l'entreprise. Le message interne indiquait que des cas étaient déjà apparus dans lesquels la sortie de ChatGPT reflétait de très près des matériaux internes existants. Amazon a demandé aux collaborateurs de ne plus saisir de données confidentielles de l'entreprise dans ChatGPT.*
Bug ChatGPT, 20 mars 2023
Une erreur dans une bibliothèque open source a permis à des abonnés ChatGPT Plus d'accéder, pendant une fenêtre de neuf heures, à des données d'autres utilisateurs, notamment prénoms, noms, adresses e-mail, adresses de facturation et les quatre derniers chiffres de numéros de carte bancaire. 1,2 % des abonnés ChatGPT Plus alors actifs étaient concernés. OpenAI a ensuite mis la plateforme hors ligne et confirmé publiquement l'incident.**
Fuite de données Mixpanel, novembre 2025
Le 9 novembre 2025, un attaquant a obtenu un accès non autorisé aux systèmes de Mixpanel, un prestataire d'analytics utilisé par OpenAI pour analyser l'utilisation de la plateforme. L'attaquant a exporté un jeu de données contenant des noms, adresses e-mail et données de localisation d'utilisateurs de l'API. OpenAI a informé les personnes concernées le 26 novembre 2025, mis fin à sa collaboration avec Mixpanel et appelé explicitement à une vigilance accrue face aux attaques de phishing et de social engineering qui pourraient être menées avec les données volées.***
Ces trois incidents illustrent trois sources de risque différentes : l'utilisation délibérée des données par le fournisseur, les erreurs techniques et les attaques contre des prestataires tiers. Aucune n'est hypothétique.
Les trois règles d'or
Règle 1 : utiliser uniquement les outils validés
De nombreuses entreprises mettent à disposition des versions internes d'outils comme ChatGPT ou DeepL. Techniquement, elles fonctionnent de la même manière, avec une différence décisive : les données saisies ne sont pas utilisées pour entraîner des modèles externes et ne sont généralement pas stockées durablement.
Important : même une version propre à l'entreprise n'est pas un blanc-seing. Les données sont toujours stockées au moins brièvement. La règle 2 s'applique donc ici aussi.
Règle 2 : anonymiser les données personnelles
C'est la règle qui a le plus d'effet en pratique, et celle qui est le moins souvent suivie. Le principe est simple.
Au lieu de :
« Rédige un rappel à notre client Max Mustermann, Musterstraße 1 à Berlin, concernant la facture impayée de 500 euros »
la saisie devrait être :
« Rédige un rappel à client A concernant une facture impayée. »
Les données réelles ne sont insérées manuellement qu'à la fin. Cela prend 30 secondes de plus et empêche que des informations confidentielles atterrissent sur des serveurs externes.
Règle 3 : demander en cas de doute
Toute personne qui n'est pas sûre qu'un document ou une information spécifique puisse être saisi dans un service en ligne doit demander à l'IT Security ou à la compliance. Mieux vaut une question de trop qu'un incident de protection des données de trop peu.
Et dans le privé ? La question que tout le monde se pose
La plupart des programmes d'awareness s'arrêtent à l'utilisation professionnelle. C'est une erreur, car la frontière entre appareil professionnel et appareil privé est depuis longtemps devenue poreuse.
Celui qui manipule ses données avec négligence dans le privé développe des habitudes. Et les habitudes ne s'arrêtent pas lorsqu'on ouvre l'ordinateur professionnel.
Concrètement : celui qui saisit dans le privé son dossier médical, ses données financières ou des messages personnels dans un service d'IA gratuit abandonne le contrôle de ces informations. Pas à un hacker, mais à une entreprise dont le modèle économique repose sur les données. Et c'est exactement ce que disent les fournisseurs eux-mêmes dans leurs propres politiques de confidentialité : ils ne peuvent jamais garantir à 100 % la confidentialité des données saisies.
Les mêmes principes de base s'appliquent donc à l'utilisation privée comme à l'utilisation professionnelle :
1. S'informer
Celui qui veut utiliser un service devrait se renseigner sur le fournisseur, en particulier sur l'utilisation éventuelle des saisies à des fins d'entraînement et sur la durée de stockage des données.
2. Configurer les paramètres
La plupart des grands services proposent des paramètres de confidentialité permettant de désactiver l'entraînement sur les données. Ces réglages ne sont généralement pas activés par défaut : il faut les effectuer activement. Le Cyber Snack d'avril montre directement à la fin, étape par étape, comment cela fonctionne pour les six services les plus populaires.
3. Anonymiser les données sensibles
Dans le privé aussi : ce qui n'est pas saisi ne peut pas fuiter. Pour faire améliorer un texte, il n'est pas nécessaire de mentionner de vrais noms, adresses ou détails personnels.
Vos propres données méritent la même protection que les données de l'entreprise. Seul celui qui décide lui-même qui doit savoir quoi sur lui garde le contrôle, et non une entreprise étrangère sur un serveur dont on ne connaît même pas l'emplacement.
Ce que les CISOs et awareness managers peuvent en retenir
Le risque lié aux services en ligne et aux outils d'IA n'est pas un problème IT. C'est un problème d'habitude. Les collaborateurs n'agissent pas par malveillance lorsqu'ils saisissent des données confidentielles dans ChatGPT : ils agissent automatiquement, parce que c'est rapide et que cela a toujours fonctionné.
Les mesures d'awareness qui misent uniquement sur les interdictions échoueront. Ce qui fonctionne, c'est la compréhension du mécanisme concret : où vont mes données ? Que s'y passe-t-il ? Et que puis-je faire sans renoncer à l'outil ?
C'est précisément ce qu'entraîne le Cyber Snack d'avril, avec de vrais scénarios, des situations de décision interactives et une FAQ sur les paramètres de confidentialité des six services en ligne les plus populaires.
Conclusion
Les services en ligne et outils d'IA ne sont pas une menace que l'on peut simplement nier ou interdire. Ils font partie de la réalité du travail, et de plus en plus aussi de la réalité privée. La question n'est pas de savoir si les collaborateurs les utilisent, mais s'ils savent ce qui se passe en arrière-plan.
Toutes les fuites de données ne commencent pas avec un hacker. Parfois, elles commencent par une saisie bien intentionnée dans un champ de texte.
* Source : Business Insider, 25 janvier 2023 - Amazon avertit ses collaborateurs de ne pas partager d'informations confidentielles avec ChatGPT.
** Source : OpenAI, article de blog du 24 mars 2023 - « March 20 ChatGPT outage: here's what happened. »
*** Source : OpenAI, communiqué du 26 novembre 2025 - « What to know about a recent Mixpanel security incident. » (openai.com/index/mixpanel-incident)