5 informations que vous ne devriez jamais coller dans une IA

Quand la commodité devient un risque : l'angle mort de l'IA générative

Vous venez de rédiger un email délicat. Vous avez une analyse financière à résumer. Un contrat à simplifier. Et là, le réflexe est immédiat : ouvrir ChatGPT, coller le texte, laisser l'IA faire le travail. En quelques secondes. Sans friction.

C'est précisément ce réflexe qui pose problème.

L'adoption des outils d'intelligence artificielle générative s'est faite à une vitesse que peu d'entreprises avaient anticipée. Selon les recommandations de la CNIL sur l'IA et les données personnelles, une grande majorité d'utilisateurs saisissent des informations dans des outils dont ils ne maîtrisent ni le fonctionnement technique, ni les conditions de conservation des données. Ce n'est pas une négligence délibérée. C'est simplement que personne ne leur a expliqué où s'arrête la zone de confort et où commence la zone de risque.

L'IA générative est un outil puissant. Mais c'est aussi un service tiers, hébergé sur des serveurs distants, souvent soumis à des juridictions étrangères, et dont les modèles peuvent, selon les paramètres, apprendre à partir de vos entrées. Ce que vous collez n'est pas toujours ce que vous pensez partager. Et les conséquences, elles, peuvent être très concrètes : fuite de données clients, violation du RGPD, atteinte à la confidentialité d'un dossier juridique, ou exposition de secrets industriels.

Voici les cinq catégories d'informations que vous devriez systématiquement protéger, et pourquoi la vigilance sur ce sujet n'est pas une question de paranoïa, mais de responsabilité professionnelle.

---

Vos données personnelles identifiantes et celles de vos clients

Commençons par l'évidence. Ou plutôt, par ce qui devrait l'être.

Les données personnelles identifiantes — nom complet, numéro de sécurité sociale, adresse postale, numéro de téléphone, adresse e-mail, date de naissance — constituent ce que les professionnels appellent les PII, pour Personally Identifiable Information. Ce sont les informations qui permettent, seules ou combinées, d'identifier une personne physique avec certitude.

Le problème n'est pas théorique. Il est inscrit dans le droit européen. Selon l'analyse du ministère de l'Économie sur les IA génératives et le partage de données, coller ces informations dans un service d'IA tiers peut constituer une violation du Règlement Général sur la Protection des Données (RGPD) si aucune base légale ne justifie ce traitement, si aucune analyse d'impact n'a été réalisée, et si l'utilisateur n'a pas obtenu le consentement explicite des personnes concernées.

Concrètement, cela signifie quoi ? Imaginez un chargé de clientèle qui colle un tableau Excel contenant les coordonnées de 200 clients dans ChatGPT pour demander à l'IA de rédiger des relances personnalisées. L'intention est louable. La méthode est problématique. Ces données transitent par des serveurs d'OpenAI, potentiellement soumis au Cloud Act américain, et peuvent, selon les paramètres de l'utilisateur, être utilisées pour améliorer les futurs modèles.

La règle est simple. Avant de coller quoi que ce soit dans une IA, posez-vous cette question : est-ce que je serais à l'aise si cette information était lue par un inconnu ? Si la réponse est non, elle n'a rien à faire dans le champ de saisie.

PrivacySavvy rappelle dans son analyse des informations à ne jamais partager avec l'IA que la responsabilité de la divulgation incombe à l'utilisateur. Ce n'est pas l'outil qui est fautif. C'est la pratique.

---

Les documents financiers sensibles : comptes, budgets, données bancaires

L'argent, c'est le nerf de la guerre. Et aussi l'une des cibles les plus prisées des cybermenaces.

Les informations financières sensibles forment une catégorie à part. Numéros de comptes bancaires, codes d'accès à des plateformes de paiement, bilans financiers non publiés, prévisions budgétaires confidentielles, tableaux de rémunération, structures d'actionnariat : tout ce périmètre mérite une protection maximale.

Pourquoi est-ce particulièrement risqué ? Parce que les données financières ont une double valeur. Une valeur stratégique d'abord, pour tout concurrent ou acteur mal intentionné qui souhaiterait comprendre la santé ou la vulnérabilité d'une organisation. Une valeur opérationnelle ensuite : un numéro IBAN combiné à d'autres informations peut suffire à initier des tentatives de fraude.

Le cas Samsung, en 2023, est devenu une référence en la matière. Des ingénieurs de la firme coréenne ont collé des données techniques et du code source confidentiel dans ChatGPT pour déboguer des applications internes. Samsung a depuis lors interdit l'usage des IA génératives externes pour ses équipes. Un signal fort, envoyé par l'une des plus grandes entreprises technologiques mondiales, sur les limites de la commodité numérique.

Le blog d'Onyri Sanitize identifie les informations financières comme l'une des cinq grandes catégories à ne jamais soumettre à une IA sans traitement préalable, et recommande des techniques de masquage et de pseudonymisation pour conserver l'utilité de l'analyse sans exposer les données réelles.

La solution n'est pas de renoncer à l'IA. C'est de lui soumettre des données nettoyées, anonymisées, sans valeur exploitable pour un tiers. Remplacez les vrais chiffres par des ordres de grandeur. Substituez les noms d'entreprises par des codes. L'IA peut toujours vous aider. Elle le fait simplement sans accès à vos informations les plus sensibles.

---

Les données de santé et les informations médicales

La santé est peut-être la catégorie la plus intime qui soit. Et pourtant, c'est là où la tentation de recourir à l'IA est particulièrement forte.

Chercher à comprendre un diagnostic, rédiger un courrier à une assurance maladie, interpréter des résultats d'analyses, préparer une question pour son médecin : les usages sont légitimes. Mais le vecteur choisi peut transformer une démarche bienveillante en exposition de données ultra-sensibles.

En droit européen, les données de santé font partie des catégories dites "spéciales" au sens du RGPD. Leur traitement est soumis à des règles encore plus strictes que les données personnelles classiques. La CNIL est explicite sur ce point dans ses recommandations sur l'IA et les données personnelles : saisir des informations médicales dans un outil d'IA grand public, c'est risquer de confier des données ultra-sensibles à un tiers qui n'est ni un professionnel de santé, ni soumis aux obligations du secret médical.

Pensez aux implications concrètes. Une personne qui décrit ses symptômes détaillés, son traitement, son historique médical dans ChatGPT peut se retrouver dans une situation où ces informations sont enregistrées, conservées, et potentiellement liées à son compte. Pour un salarié qui utilise l'outil via son compte professionnel, le risque s'étend à l'entreprise.

Le secteur des ressources humaines est particulièrement exposé. Un responsable RH qui colle dans une IA le contenu d'un arrêt de travail, d'un dossier de reconnaissance de handicap ou d'une information sur l'état de santé d'un collaborateur pour "rédiger un mail adapté" commet une faute potentiellement grave au regard du RGPD et du droit du travail.

Même chose pour les professionnels de santé eux-mêmes. PrivacySavvy, dans son analyse des données à ne jamais coller dans une IA, signale que les contenus protégés par le secret médical n'ont aucune place dans un outil d'IA public, quelle que soit la finalité de la démarche.

La règle s'applique dans les deux sens : ne collez jamais vos propres données de santé, et ne collez jamais celles de tiers.

---

Les documents professionnels confidentiels et les secrets d'affaires

C'est probablement la catégorie la plus sous-estimée en entreprise. Et la plus lourde de conséquences.

Les documents internes, par nature, ne sont pas conçus pour circuler hors de l'organisation. Un contrat en cours de négociation, une proposition commerciale destinée à un client, un mémo stratégique sur une acquisition potentielle, le code source d'une application propriétaire, les résultats d'un audit interne : tous ces éléments ont une valeur commerciale, juridique ou concurrentielle que leur divulgation — même involontaire — peut éroder irrémédiablement.

Le secret des affaires est protégé en France par la loi du 30 juillet 2018, transposant la directive européenne sur la protection des savoir-faire et informations commerciales non divulguées. Coller un document couvert par cette protection dans une IA grand public peut constituer une violation de l'obligation de confidentialité, et engager la responsabilité de l'employé comme de l'entreprise.

La réalité terrain est pourtant bien différente de cette mise en garde juridique. Des collaborateurs utilisent chaque jour ChatGPT, Gemini ou Copilot pour reformuler des comptes-rendus de réunion, synthétiser des rapports internes, préparer des présentations pour des comités de direction. Souvent sans se demander ce que ces documents contiennent réellement comme informations confidentielles, et sans vérifier si l'outil utilisé a été approuvé par leur DSI ou leur DPO.

Le ministère de l'Économie français souligne dans son guide sur les IA génératives que les entreprises doivent former leurs collaborateurs à ces risques et mettre en place des politiques d'usage claires. Ce n'est pas une recommandation vague. C'est une nécessité opérationnelle, à l'heure où les outils d'IA se retrouvent dans les mains de chaque salarié équipé d'un navigateur web.

La solution n'est pas d'interdire. C'est d'organiser. Définir quels types de documents peuvent être soumis à l'IA, dans quelles conditions, via quels outils (solutions on-premise, outils souverains, API avec garanties contractuelles), et avec quels traitements préalables de nettoyage ou d'anonymisation.

---

Les mots de passe, identifiants et données d'authentification

La dernière catégorie est aussi la plus directement dangereuse. Et la plus difficile à justifier.

Personne ne devrait coller un mot de passe dans une IA. Et pourtant, cela arrive. Parfois pour demander à l'IA d'analyser la robustesse d'un mot de passe. Parfois parce qu'un identifiant se trouve dans un fichier de configuration que l'on souhaite faire commenter par l'outil. Parfois par simple inattention, lors d'un copier-coller massif.

Les conséquences sont potentiellement immédiates. Un mot de passe exposé dans un historique de conversation peut, en cas de fuite de données côté opérateur, se retrouver accessible. Il peut aussi être mémorisé dans une session non sécurisée, partagé involontairement via un lien de conversation, ou tout simplement stocké dans des logs que vous n'avez aucun moyen d'auditer.

Ce qui vaut pour les mots de passe vaut aussi pour les clés API, les tokens d'authentification, les identifiants de connexion à des bases de données, ou les certificats numériques. Ce sont des données d'accès. Par définition, leur compromission ouvre une porte. Une porte que vous aviez cru fermer à clé.

L'analyse de PrivacySavvy sur les sept types d'informations à ne jamais partager avec l'IA place cette catégorie en tête des risques opérationnels immédiats, notamment pour les développeurs et les équipes techniques qui utilisent des IA pour commenter ou déboguer du code. Le code, justement, constitue souvent un vecteur d'exposition involontaire : il contient des identifiants en dur, des chaînes de connexion, des adresses de serveurs internes.

La réflexe à adopter est celui du "nettoyage avant collage". Avant de soumettre un fichier de code, un script ou une configuration à une IA, vérifiez systématiquement qu'aucune information d'authentification ne s'y trouve. Utilisez des variables d'environnement fictives, des données de substitution. L'IA peut analyser la logique de votre code sans avoir besoin de connaître vos vrais accès.

---

Ce que vous partagez engage plus que vous ne le pensez

L'intelligence artificielle générative a changé la façon dont nous travaillons. Elle a accéléré des tâches, débloqué des créativités, rendu accessibles des capacités autrefois réservées aux grandes structures. Ce serait une erreur de nier ces apports.

Mais l'enthousiasme ne doit pas éclipser la vigilance. Chaque information collée dans une IA est une décision. Une décision sur ce que vous acceptez de partager, avec qui, dans quelles conditions, et avec quelles garanties. Pour l'instant, beaucoup de ces décisions se prennent sans y penser. C'est là que réside le vrai risque.

La CNIL l'a formulé clairement dans ses recommandations sur les bons réflexes face à l'IA : la protection des données personnelles ne s'arrête pas à la porte de l'entreprise. Elle suit l'utilisateur dans chacun de ses usages numériques, y compris — et surtout — dans l'usage des outils d'IA.

La bonne pratique n'est pas complexe. Elle repose sur trois principes : minimiser ce que vous partagez, anonymiser ce qui peut l'être, et choisir des outils dont vous pouvez vérifier les garanties de confidentialité. Des solutions comme Onyri Sanitize existent précisément pour vous aider à nettoyer vos données avant de les soumettre à une IA, afin de conserver tous les bénéfices de l'outil sans en subir les risques.

L'IA est un levier. Comme tout levier, son efficacité dépend de la manière dont on l'utilise. Informé, structuré, et avec les bons garde-fous en place, vous pouvez en tirer le meilleur sans compromettre ce qui vous appartient.