Lorsque vous demandez des réponses à des chatbots IA, ceux-ci exploitent vos données : l'épisode des requêtes à ChatGPT retrouvées dans les recherches Google n'est qu'une piqûre de rappel

Une conversation qu coûte cher : lorsque vous demandez des réponses à des chatbots IA, ceux-ci exploitent vos données.
Nombreux sont ceux qui pensent que leurs conversations avec un chatbot IA sont privées

L'essor des chatbots IA comme OpenAI's ChatGPT et Google's Gemini a transformé notre manière d'obtenir des informations. Ces assistants conversationnels sont devenus des compagnons numériques omniprésents, capables de répondre à des questions complexes, de rédiger des textes et d'offrir des conseils personnalisés. Cependant, une question cruciale se pose : à quel prix cette commodité nous est-elle offerte ? La réponse est claire, et souvent inquiétante : en interagissant avec ces plateformes, les utilisateurs sont soumis à une collecte de données massive et continue.

La plupart des gens pensent que leurs conversations avec un chatbot sont privées, mais la réalité est bien différente. Chaque question, chaque commentaire, chaque échange est enregistré et stocké par les entreprises qui gèrent ces services. L'objectif avoué est d'améliorer le service, d'analyser l'utilisation des produits et de perfectionner les modèles de langage (LLM) sous-jacents.

Contexte : l'illusion de la confidentialité et la réalité de la rétention des données

Un exemple frappant de la méconnaissance des utilisateurs concernant la confidentialité a été révélé par l'affaire des conversations de ChatGPT apparaissant dans les résultats de recherche Google. Il s'avère qu'une option permettant de rendre les conversations « découvrables » sur le web était activée par défaut pour de nombreux utilisateurs. Bien qu'OpenAI ait depuis retiré cette fonction et s'efforce de désindexer ce contenu, le mal est fait. La donnée, une fois collectée, persiste.

De plus, un fait troublant mis en lumière par une ordonnance d'un tribunal fédéral est qu'OpenAI est légalement tenu de conserver l'ensemble des conversations des utilisateurs, y compris celles des « chats temporaires » qui étaient censées être effacées. Cela prouve que même les options de confidentialité apparentes peuvent être contournées par des obligations légales ou des pratiques de conservation de données non divulguées.

Une découverte qui secoue les utilisateurs : ChatGPT indexé dans Google

Récemment, les utilisateurs d'OpenAI ChatGPT ont été choqués de découvrir que leurs requêtes (ou prompt, si vous préférez) formulées auprès du chatbot IA apparaissaient dans les résultats de recherche Google.

La situation est survenue notamment après la contestation par OpenAI d’une décision de justice exigeant la sauvegarde de tous les journaux de ChatGPT, y compris les conversations supprimées. C’est en principe un positionnement de nature à rassurer les utilisateurs quant à ce que les pratiques en vigueur chez OpenAI n’exposent pas leurs conversations privées.

C’est cette confiance qu’OpenAI a failli à maintenir en implémentant une fonctionnalité par rapport à laquelle l’entreprise elle-même reconnaît qu’elle ouvrait la porte à l’exposition des données des utilisateurs. Certains observateurs estiment néanmoins que le tort revient aux utilisateurs qui ne prennent pas la peine de lire les conditions d’utilisation des services

En réalité, cette indexation n’est que la partie émergée de l’iceberg. La plupart des plateformes d’IA collectent, stockent et analysent déjà les conversations afin :

• d'améliorer les modèles (affiner les réponses, réduire les erreurs, élargir la base de connaissances),
• d'entraîner de nouvelles versions de leurs IA avec un corpus plus riche,
• de monétiser les données en les intégrant à des produits dérivés ou à des services publicitaires.

L’indignation des internautes révèle surtout une naïveté persistante : croire que l’IA est un outil désintéressé, alors qu’elle est avant tout un service industriel qui vit de la donnée.

En pratique, lorsque vous demandez une réponse à un chatbot IA, que ce soit sur le rôle des droits de douane dans la baisse des prix, sur le fait que votre petite amie soit vraiment amoureuse de vous ou toute autre question, OpenAI enregistre vos questions. Et, jusqu'à récemment, Google conservait ces enregistrements à la disposition de toute personne douée en recherche pour les trouver.

Ce n'est pas comme si OpenAI ne vous avait pas prévenu que si vous partagiez vos requêtes avec d'autres personnes ou les enregistriez pour une utilisation ultérieure, il ne les copiait pas et ne les rendait pas potentiellement consultables. L'entreprise a explicitement déclaré que c'était le cas. L'avertissement disait : « Lorsque les utilisateurs cliquaient sur "Partager", ils avaient la possibilité de « Rendre cette conversation consultable ». En dessous, en petits caractères, se trouvait l'explication selon laquelle vous autorisiez sa « diffusion dans les recherches sur le Web ».

Mais, comme pour toutes ces centaines de lignes de contrats de licence utilisateur final (CLUF) que nous acceptons tous en cliquant sur le bouton « Accepter », il semble que la plupart des gens ne les aient pas lues. Ou ne les aient pas comprises. Choisissez l'une ou l'autre. Peut-être les deux.

Le responsable de la sécurité informatique d'OpenAI, Dane Stuckey, a ensuite tweeté qu'OpenAI avait supprimé cette option car elle « offrait trop d'occasions aux utilisateurs de partager accidentellement des informations qu'ils ne souhaitaient pas divulguer ». L'entreprise « s'efforce également de supprimer le contenu indexé des moteurs de recherche concernés ». Il semble qu'OpenAI ait réussi.


Alors, tout va bien maintenant, n'est-ce pas ? Bien sûr que non

Pour l'instant, personne ne peut trouver sur Google les questions embarrassantes que vous avez posé au chatbot d'OpenAI. Cela ne signifie pas pour autant que les requêtes que vous avez saisies ne risquent pas d'apparaître à la suite d'une violation de données ou de refaire surface d'une manière ou d'une autre dans une recherche Google ou IA. Après tout, OpenAI est légalement tenu de conserver toutes tes requêtes, y compris celles que tu as supprimées. Ou, enfin, celles que vous pensiez avoir supprimées.

En effet, OpenAI est actuellement soumis à une ordonnance d'un tribunal fédéral, dans le cadre d'un procès en cours pour violation du droit d'auteur, qui l'oblige à conserver toutes les conversations des utilisateurs de ChatGPT sur ses niveaux destinés aux consommateurs : Free, Plus, Pro et Team. L'ordonnance du tribunal signifie également que les sessions de « chat temporaire », qui étaient auparavant effacées après utilisation, sont désormais stockées. Elles n'ont plus rien de « temporaire » désormais.

Avant l'entrée en vigueur de l'ordonnance à la mi-mai, OpenAI ne conservait l'historique des conversations que pour les utilisateurs de ChatGPT qui n'avaient pas choisi de ne pas conserver leurs données. Désormais, OpenAI a été contraint de conserver ces données même lorsque les utilisateurs choisissent de ne pas conserver certaines conversations en les supprimant manuellement ou en lançant une conversation éphémère, qui disparaît une fois fermée.

Auparavant, les utilisateurs pouvaient également demander à supprimer entièrement leur compte OpenAI, y compris tout l'historique des conversations, qui était alors purgé dans un délai de 30 jours. Dans un document déposé au tribunal, les avocats d'OpenAI ont fait valoir que l'ordonnance créerait une « charge substantielle » et exigerait de l'entreprise qu'elle apporte « des changements significatifs à son infrastructure de données ».

En obligeant l'entreprise à conserver toutes les conversations supprimées, l'ordonnance pourrait même obliger OpenAI à violer ses propres politiques de protection de la vie privée. Si l'ordonnance est maintenue, les utilisateurs de ChatGPT devront supposer que toutes leurs conversations avec le chatbot sont désormais conservées, ce qui soulève de graves problèmes de confidentialité pour des centaines de millions de personnes.

Chatbots : des agents doubles entre service et surveillance

L’illusion du dialogue amical

Le ton amical, l’écriture fluide et la capacité à « comprendre » les émotions donnent l’impression que les chatbots sont des confidents numériques. Mais derrière cette apparente empathie, les IA remplissent une autre mission : archiver vos échanges. Chaque question, chaque demande devient un signal exploitable. Demander une recette de cuisine, parler de santé, évoquer des inquiétudes professionnelles : toutes ces informations dessinent peu à peu un profil comportemental et psychologique.

La donnée comme carburant

Cette logique rejoint celle des réseaux sociaux : si c’est gratuit, c’est que vous êtes le produit. La différence est qu’ici, les données ne sont pas seulement vos clics ou vos likes, mais vos pensées exprimées par écrit, vos hésitations, vos erreurs, vos habitudes linguistiques. Autrement dit, des informations beaucoup plus profondes et révélatrices.

L'évolution vers une mémoire permanente : la surveillance cachée

Les entreprises d'IA vont encore plus loin avec des fonctionnalités telles que "Memory" chez OpenAI et son équivalent chez Google Gemini ou encore chez Claude d'Anthropic. Ces fonctions sont conçues pour mémoriser automatiquement les informations clés des conversations passées afin de personnaliser les réponses futures. Bien que cela puisse sembler utile pour éviter de répéter des informations, cela soulève de graves problèmes de confidentialité. Des détails sensibles sur les relations personnelles, les finances, la santé ou toute autre information confidentielle sont désormais stockés en permanence.

Le danger est évident. En cas de violation de données, ces informations pourraient être révélées au grand jour et utilisées contre les utilisateurs. Qu'il s'agisse d'usurpation d'identité, de chantage ou de publicités ciblées basées sur des faiblesses personnelles, les risques sont immenses.


Les LLM peuvent être utilisés pour voler des données, selon une recherche d'Anthropic

Comme Anthropic l'a récemment souligné, les grands modèles linguistiques (LLM) peuvent être utilisés pour voler des données comme s'ils faisaient partie des employés de l'entreprise. Plus vous fournissez de données à un service d'IA, plus ces informations peuvent être utilisées à votre détriment. Il ne faut pas oublier que tous les chatbots IA grand public enregistrent vos questions et vos conversations par défaut. Ils le font pour améliorer leurs services, conserver le contexte, analyser leurs produits et, bien sûr, alimenter leurs LLM.

Ce qui a changé aujourd'hui, c'est que maintenant que vous êtes habitué à l'IA, ils vous permettent également de bénéficier de toutes ces données, tout en espérant que vous ne remarquerez pas à quel point les IA en savent long sur vous. Si l'on en prend en considération d'autres éléments comme le fait que Meta a refusé de se conformer aux directives volontaires de l'UE en matière de sécurité de l'IA, l'analyse sur des dérives potentielles peut être encore plus poussée. Il faut quand même précisé que même si Google l'a signé, l'entreprise a émis des réserves par le biais de Kent Walker, le président des affaires internationales chez Google

Walker a reconnu que la version finale du code de bonnes pratiques était meilleure que celle initialement proposée par l'UE mais a déclaré : « Nous restons préoccupés par le fait que la loi sur l'IA et le code risquent de ralentir le développement et le déploiement de l'IA en Europe. En particulier, les dérogations à la législation européenne sur le droit d'auteur, les mesures qui ralentissent les autorisations ou les exigences qui exposent les secrets commerciaux pourraient freiner le développement et le déploiement de modèles européens, nuisant ainsi à la compétitivité de l'Europe ».

Début juillet, Meta a déclaré qu'elle ne signerait pas le code, qualifiant la mise en œuvre par l'UE de sa législation sur l'IA « d'excessive » et affirmant que l'Europe « s'engageait sur la mauvaise voie en matière d'IA ». Pourtant, en avril, Meta a fait un nouveau pas en avant avec ses outils d'intelligence artificielle en Europe, en étendant la formation de l'IA aux publications partagées par les utilisateurs de l'Union européenne.


Conclusion

Les chatbots ne sont pas de simples outils neutres : ce sont des machines de collecte de données, conçues pour apprendre de nous et capitaliser sur nos échanges. Leur utilisation requiert donc une grande vigilance : il est impératif d'être conscient de ce que l'on partage avec eux. Il n'est donc pas superflu pour les non-technophiles d'apprendre à utiliser ces technologies avec discernement, paramétrer la confidentialité, éviter de livrer des données sensibles, voire d'explorer les alternatives plus intéressantes ou convenables (toute question n'est pas obligée de passer par un chatbot IA).

Source : Désalignement agentique : comment les LLM pourraient constituer des menaces internes (recherche d'Anthropic)

Et vous ?

Les utilisateurs devraient-ils être systématiquement avertis que leurs conversations avec une IA sont enregistrées et potentiellement utilisées à des fins commerciales ?

Est-il encore possible de parler de « confidentialité » lorsqu’on utilise un service d’IA en ligne ?

Les options de suppression de l’historique (comme celles proposées par OpenAI ou Google) sont-elles vraiment efficaces ou seulement symboliques ?