Ce qu'il ne faut jamais coller dans un chatbot IA
Un chatbot IA n'est pas un bloc-notes privé. Ce que vous y écrivez peut être conservé, relu, et parfois réutilisé.
Le cas qui a marqué les esprits
En 2023, des ingénieurs de Samsung ont collé du code source confidentiel et des notes de réunion internes dans ChatGPT pour gagner du temps. En quelques semaines, l'entreprise découvrait que ces informations avaient été transmises aux serveurs d'OpenAI, sans moyen technique de les faire retirer. La réponse a été radicale : interdiction totale des chatbots IA grand public pour l'ensemble des employés. D'autres grandes entreprises (Apple, JPMorgan, Goldman Sachs, Amazon) ont depuis suivi la même voie de prudence.
Ce qui se passe réellement avec vos données
Sans réglage particulier, la plupart des IA grand public conservent les échanges et peuvent les utiliser pour améliorer leurs modèles. Concrètement, un message envoyé peut être relu par des équipes humaines de contrôle, intégré à des données d'entraînement, et dans certains cas conservé indéfiniment sur des serveurs situés hors d'Europe. Une étude Cyberhaven souvent citée estime qu'environ 11% des contenus collés par des salariés dans ChatGPT contiennent des informations confidentielles, dont une partie de données personnelles directement identifiantes.
Ce qu'il ne faut jamais partager
- Code source et secrets professionnels — le cas Samsung reste l'exemple le plus parlant du risque.
- Données clients ou salariés nommées — contrats, fiches de paie, dossiers médicaux, coordonnées bancaires.
- Mots de passe et identifiants, même temporaires ou de test.
- Comptes-rendus de réunion internes contenant des informations stratégiques ou non publiques.
- Vos idées originales non protégées (projet, scénario, concept de produit) si vous n'acceptez pas qu'elles puissent, dans certains cas, nourrir les réponses données à d'autres utilisateurs.
La technique la plus simple : anonymiser avant de coller
Remplacer les noms réels par des termes génériques ("Client A", "le salarié", "l'entreprise X") permet dans la grande majorité des cas d'obtenir une aide tout aussi utile de l'IA, sans qu'aucune donnée identifiante ne sorte de votre poste. C'est le réflexe le plus simple qui évite la majorité des incidents.
Les réglages à vérifier
La plupart des grands éditeurs (ChatGPT, Gemini, Claude, Copilot, Mistral) proposent une option pour s'opposer à la réutilisation de vos échanges à des fins d'entraînement, généralement dans les paramètres de confidentialité du compte. Pour un usage professionnel régulier avec des données internes, une offre entreprise (comme ChatGPT Business ou Enterprise) offre des garanties contractuelles nettement supérieures à la version gratuite grand public, qui reste déconseillée dès qu'une donnée sensible entre en jeu.
Le cadre réglementaire en 2026
L'AI Act européen impose depuis février 2025 une obligation de "culture IA" : les personnes qui utilisent l'IA dans un cadre professionnel doivent en comprendre les limites et les bons réflexes, quelle que soit la taille de l'entreprise. Les sanctions nationales deviennent applicables à partir d'août 2026, avec un contrôle assuré par la CNIL en France.