← Retour au blog
Série IA sous attaque · Article 5/10
🤖 IA

Vos données confidentielles ont peut-être déjà quitté l’entreprise

📅 19 May 2026 · ⏱ 5 min de lecture · ✍️ Vincent Piquet

Samsung, OpenAI, DPA : vos données confidentielles partagées avec un LLM peuvent quitter l’entreprise pour toujours.

Série “IA sous attaque” — Article 5/9 : Les fuites de données via IA (AML.T0057)

Thomas est directeur financier d’une PME de 45 personnes. Chaque lundi matin, il copie les indicateurs financiers de la semaine dans ChatGPT pour lui demander un résumé exécutif à envoyer aux associés. C’est plus rapide que de le rédiger lui-même. Cela dure depuis huit mois. Ce qu’il ne sait pas : ces données — chiffres d’affaires, marges par client, projections de trésorerie — ont été intégrées dans les données d’entraînement de futures versions du modèle, conformément aux conditions d’utilisation acceptées lors de l’inscription. Elles ne sont pas “volées”. Elles ont été données.

Ce qui s’est vraiment passé

En mars 2023, Samsung a subi l’un des premiers incidents documentés à grande échelle de ce type. Des ingénieurs avaient partagé du code source propriétaire avec ChatGPT pour débogage. En moins d’un mois, trois incidents distincts avaient conduit à l’exfiltration involontaire de code confidentiel, de notes de réunion internes et de données de performance. Samsung a interdit ChatGPT à l’ensemble de ses collaborateurs le mois suivant.

Mais le vrai risque n’est pas toujours l’utilisation non autorisée. C’est l’utilisation autorisée par les CGU qu’on n’a pas lues. OpenAI, dans ses conditions pour les comptes gratuits, indiquait jusqu’en 2024 que les conversations pouvaient être utilisées pour améliorer les modèles. Des versions professionnelles existent avec des garanties différentes — mais peu d’employés vérifient quelle version ils utilisent.

Un autre vecteur documenté : les plugins et extensions IA. En 2024, des chercheurs ont montré que certaines extensions de navigateur “IA” collectaient et transmettaient l’intégralité du texte saisi, y compris dans des champs de formulaire supposément privés.

Sources : Samsung incident (mars 2023), OpenAI Terms of Service analysis (2024), PrivacySpy AI Extensions Report (2024), MITRE ATLAS AML.T0057

Êtes-vous concerné ?

Oui, si vous répondez oui à l’une de ces questions :

  • Des collaborateurs utilisent des outils IA grand public (ChatGPT, Gemini, Copilot free) avec des données professionnelles, sans politique d’usage formalisée ?
  • Vous avez installé des extensions de navigateur à fonctionnalité IA sans audit préalable ?
  • Votre contrat avec votre fournisseur IA ne mentionne pas explicitement que vos données ne servent pas à l’entraînement des modèles ?

Pourquoi ça marche — l’analogie du dictaphone dans la salle de réunion

Vous invitez un prestataire très compétent à assister à vos réunions de direction pour vous aider à rédiger les comptes-rendus. Il fait un travail excellent. Ce que vous n’avez pas vu dans son contrat, c’est la clause qui lui permet d’utiliser le contenu des réunions pour former ses futurs assistants. Il ne revend pas vos secrets. Il les utilise pour devenir meilleur — et d’autres clients en bénéficieront indirectement.

La fuite de données via IA n’est pas nécessairement une attaque active. C’est souvent une exfiltration consentie par méconnaissance. La donnée ne quitte pas l’entreprise par effraction — elle part par la porte d’entrée, portée par un collaborateur qui essaie juste de gagner du temps.

Les signaux d’alerte

1. Vos collaborateurs utilisent des outils IA personnels pour des tâches professionnelles

C’est le signal le plus fréquent et le plus difficile à détecter, car l’outil est souvent sur le téléphone personnel ou dans un onglet de navigateur. Une politique claire et une sensibilisation régulière sont plus efficaces que la surveillance.

2. Vos données internes apparaissent dans des contextes inattendus

Si un client, un concurrent, ou un article public mentionne des informations qui semblent provenir de vos données internes — formulations, chiffres spécifiques, terminologie interne — enquêtez sur les canaux par lesquels ces données auraient pu sortir.

3. Des extensions IA sont installées sur les postes de travail sans recensement

Auditez régulièrement les extensions de navigateur installées sur vos postes. Une extension “résumé IA” installée par un collaborateur sans validation IT peut lire et transmettre tout ce qui s’affiche dans le navigateur.

Ce que vous pouvez faire

Sans budget — Rédigez une politique d’usage IA en une page

Une politique simple suffit : “Les données confidentielles (financières, clients, RH, juridiques) ne doivent pas être saisies dans des outils IA non approuvés par l’entreprise.” Définissez la liste des outils approuvés. Communiquez-la. Rappelez-la deux fois par an. 80 % des incidents documentés impliquent des collaborateurs qui ne savaient pas que c’était problématique — pas des personnes malveillantes.

Faible coût — Passez aux versions professionnelles avec garanties contractuelles

ChatGPT Team, Microsoft Copilot for Business, Gemini for Workspace — ces versions offrent des garanties contractuelles explicites : vos données n’alimentent pas l’entraînement. Le surcoût est souvent de 10-20€/mois par utilisateur. Pour des usages professionnels réguliers, c’est l’investissement de protection le plus rentable.

Si vous allez plus loin — Déployez une passerelle IA d’entreprise

Pour les PME qui veulent un contrôle fin, des solutions comme Mistral Le Chat Entreprise ou un déploiement sur Azure OpenAI permettent de traiter les données en restant dans votre propre environnement cloud, avec journalisation et contrôle des accès. Vos données ne quittent pas votre tenant.

L’essentiel en 3 lignes

Vos données ne sont pas volées par magie — elles quittent l’entreprise parce qu’un collaborateur les a saisies quelque part sans mesurer les conséquences. Les outils IA grand public ne sont pas des coffres-forts. Définir quels outils sont autorisés pour quels usages est la mesure de protection la plus simple et la plus efficace à déployer dès aujourd’hui.

→ Évaluez votre exposition à ce risque dans notre outil d’analyse de risques IA — ce risque s’applique aux trois profils : intégrateurs, consommateurs et acheteurs de solutions IA.

→ Article suivant : “Comment un employé contourne les garde-fous de votre IA en 30 secondes” — le jailbreak

Série complète : IA sous attaque — Les 9 menaces que toute PME doit connaître

📚 Série : IA sous attaque
Article précédent Votre base de connaissance IA a été contaminée par un… Sommaire de la série Article suivant Comment un employé contourne les garde-fous de votre IA en…

Cet article vous a été utile ?

Restez informé sur les enjeux numériques qui comptent

Newsletter, chatbot, nouvelles publications… Choisissez comment rester dans la boucle.