Sophie est comptable agréée dans une petite firme de Laval. Lundi matin, elle ouvre ChatGPT, copie-colle le bilan financier d’un client et demande à l’IA un résumé exécutif pour sa rencontre de 11h. Une minute plus tard, c’est fait.

Magnifique!

Sauf qu’elle vient de transmettre des renseignements confidentiels à un serveur américain, sans chiffrement de bout en bout et sans accord du client. La protection des données avec l’IA n’est pas un débat de geek. La question touche tout professionnel qui utilise un outil d’IA générative pour sauver du temps au bureau. ChatGPT, Claude, Gemini, Copilot... tous fonctionnent sur le même principe.

Quelle protection de données quand on confie ses données à une IA?

Quand on lance une requête dans un outil d’IA générative, on peut s’imaginer une conversation privée, mais ce n’est pas vraiment le cas.

Avec la plupart des versions gratuites, les échanges sont stockés sur les serveurs du fournisseur. Certains les utilisent pour améliorer leurs modèles. D’autres les conservent pour des durées variables, dans une zone grise contractuelle et plusieurs les transmettent à des sous-traitants pour la modération, l’ajustement fin ou l’analyse de sécurité.

D’ailleurs, une enquête de Radio-Canada a rappelé que plusieurs utilisateurs ignorent encore ce qui arrive réellement aux données envoyées dans ChatGPT et les risques liés à la vie privée lorsque des renseignements personnels ou professionnels sont transmis sans précaution.

Autrement dit, un courriel qu’on copie-colle dans ChatGPT pour le reformuler peut techniquement se retrouver dans les pipelines d’entraînement des modèles. Un contrat client qu’on glisse dans Gemini peut atterrir dans les journaux d’analyse de Google. Une fiche RH dans Claude peut être consultée par les équipes d’Anthropic pour des inspections de sécurité.

Cette réalité a déjà coûté cher à des entreprises. En 2023, Samsung a interdit ChatGPT à ses employés après qu’un ingénieur ait collé du code propriétaire dans l’outil pour le déboguer. Du jour au lendemain, la confidentialité dans l’IA est passée d’enjeu théorique à une affaire de gouvernance.

Protection de données avec l'IA au Québec: la Loi 25 change la donne

Au Québec, la responsabilité ne tombe pas seulement sur les épaules du fournisseur d’IA. Elle tombe sur celles de la personne qui transmet la donnée. Depuis septembre 2023, la Loi 25 (anciennement projet de loi 64) encadre le traitement des renseignements personnels par les entreprises québécoises. Si on transfère des données personnelles vers un outil dont les serveurs sont hébergés hors Québec, ce qui est le cas de la majorité des outils d’IA grand public:

• on doit avoir évalué les risques,

• on doit en avoir informé les personnes concernées, et

• on doit pouvoir le justifier en cas de plainte.

Dans les faits, peu de PME québécoises ont fait cet exercice. Et pourtant, les sanctions prévues vont jusqu’à 25M$ ou 4% du chiffre d’affaires à l'échelle mondiale. Ce n'est pas exactement un détail administratif.

Les bons réflexes avant de cliquer sur Envoyer

Pas besoin d’être avocat ni développeur pour limiter le risque. Quelques réflexes simples changent tout.

1. Catégoriser ce qu’on s’apprête à transmettre 

Données publiques (un texte déjà sur le Web), données internes (un compte rendu de réunion), données confidentielles (un contrat, des chiffres financiers), données sensibles (un dossier médical, un numéro d’assurance sociale). La règle simple: le contenu publique, ça passe. Les internes, ça dépend du contexte. Les confidentielles, on y pense deux fois. Les sensibles, on ne colle jamais.

2. Toujours anonymiser

Remplacer les noms par «Client A», les chiffres exacts par des ordres de grandeur, les adresses par des codes. L’IA peut travailler avec une version dépersonnalisée sans perdre en utilité.

3. Désactiver l’entraînement

On peut désactiver l’utilisation de ses conversations pour l’entraînement des futurs modèles. On le désactive dans les paramètres, une fois pour toutes.

4. Choisir un abonnement payant 

Les abonnements payants offrent généralement une garantie contractuelle de non-utilisation des données pour l’entraînement, en plus d’un chiffrement renforcé et de zones d’hébergement plus claires.

Par exemple, OpenAI précise que les données des utilisateurs des offres Team, Enterprise et API ne servent pas à entraîner les modèles par défaut. L’entreprise détaille également certaines mesures de sécurité, de chiffrement et de conformité sur sa page Sécurité et confidentialité.

5. Lire la politique de confidentialité au moins une fois. 

Pas en entier, mais au moins pour chercher trois choses: où sont les serveurs, combien de temps les données sont conservées, qui y a accès.

6. Tenir un registre. 

Quels outils, pour quels types de données, sous quelles conditions. Ça aide en cas d’audit et ça oblige à réfléchir avant de cliquer.

Retour au cas de Sophie: ce qu’elle aurait pu faire autrement

Sophie aurait pu reformuler son bilan en remplaçant le nom du client par «Entreprise X» et les montants exacts par des valeurs arrondies. Le résumé aurait été tout aussi bon. Elle aurait pu utiliser la version Team de ChatGPT, qui ne s’entraîne pas sur les conversations et offre un cadre contractuel plus clair pour les firmes professionnelles.

Surtout, elle aurait pu prendre une demi-heure pour s’asseoir avec ces principes avant de les apprendre à la dure. Parce qu’une fuite de données, ça ne se rattrape pas avec un Ctrl+Z.

Une formation pour démêler tout cela

La protection des données avec l’IA n’a rien d’un sujet réservé aux grandes équipes TI. Une compétence du quotidien, au même titre que savoir trier ses courriels ou sécuriser ses mots de passe. Et comme toute compétence, ça s’apprend une étape à la fois. Au final, avant de confier ses données à un outil, il vaut la peine de savoir ce qu’on transmet et à qui.

👀 Une microformation incontournable conçue pour les professionnel·les du Québec qui utilisent l’IA au travail. Pas de jargon ni de panique juridique, juste les bons réflexes pour ne pas mettre n’importe quoi dans la marmite. Ça se passe dans La cuisine d’Info IA Québec, une communauté d’apprentissage francophone sur Skool.

Natasha Tatta, C. Tr., trad. a., réd. a. Spécialiste langagière bilingue, je conjugue la précision des mots et la portée des idées. Infopreneure et consultante en IA générative, j’accompagne les professionnels dans l’adoption de l’IA et le marketing de contenu. En parallèle, j’enseigne la traduction en TI à l’Université de Montréal.