Lorsque vous parlez à un chatbot comme ChatGPT, vous ne devez jamais supposer que vos conversations sont privées. De nombreux chatbots utilisent par défaut vos discussions pour entraîner les modèles d’IA sous-jacents, mais même si vous désactivez la formation ou utilisez un chat temporaire, ces conversations sont souvent stockées sur les serveurs de l’entreprise pour une durée limitée. La règle générale est d’éviter de partager avec un chatbot quoi que ce soit que vous ne voudriez pas rendre public. (Informations confidentielles sur l’entreprise, secrets personnels, etc.) Mais que se passe-t-il si le chatbot en question dispose déjà de vos informations privées ? Et si ChatGPT, Gemini ou Claude était heureux de partager votre numéro de téléphone avec toute personne qui le demande ?
C’est la discussion sur laquelle je suis tombé cette semaine, suite au reportage d’Eileen Guo du MIT Technology Review. Dans cet article, Guo passe en revue une série d’affirmations d’utilisateurs affirmant que les chatbots partageaient des informations personnelles, telles que des numéros de téléphone, sur demande. Dans certains cas, les chatbots partageaient l’information lorsque la personne en question la demandait ; dans d’autres cas, cependant, ce sont des étrangers qui demandent des détails. Dans un exemple, un ingénieur logiciel israélien a reçu un message d’un contact inconnu via WhatsApp, demandant de l’aide avec son application de paiement. Lorsque l’ingénieur a demandé comment l’étranger avait obtenu ses informations WhatsApp, il a renvoyé une capture d’écran, montrant comment Gemini partageait les détails sur demande. L’ingénieur a ensuite trouvé une seule source sur Internet contenant son numéro de téléphone : une publication Quora de 2015.
Comment les chatbots obtiennent-ils nos informations privées ?
Les chatbots comme ChatGPT sont formés sur d’énormes quantités de données. Bien entendu, une grande partie de ces données proviennent d’Internet. Il est donc tout à fait possible que des sites Web contenant vos informations personnelles, comme un message aléatoire sur un forum datant d’une décennie auparavant, se soient retrouvés dans l’ensemble de données d’un chatbot et soient renvoyés dans le cadre d’une requête concernant vos informations. Même si cela ne faisait pas partie des données de formation, les chatbots ont désormais la possibilité d’effectuer des recherches sur le Web depuis des années. Ces modèles peuvent parcourir un très grand nombre de sites Web pour renvoyer les résultats d’une demande, et s’ils trouvent vos informations, ils pourraient simplement les partager.
Le problème le plus profond est que nos informations apparaissent partout sur Internet, que nous le sachions ou non. Nous pouvons avoir des coordonnées personnelles présentes sur des sites Web sur lesquels nous pouvons ou non nous souvenir d’avoir publié des informations ; Les sites Web de villes et de villages peuvent avoir nos informations personnelles jointes à des archives publiques, même si ces résultats n’apparaissent pas généralement en haut d’une recherche Google typique. Étant donné que l’IA est capable d’effectuer des analyses approfondies de tous ces résultats Web, elle est cependant capable de trouver des résultats obscurs et de les faire apparaître, exposant potentiellement vos informations.
Aujourd’hui, comme l’explique Guo, la plupart des chatbots ont mis en place des garde-corps de sécurité pour les empêcher de nuire – ou peut-être aussi. beaucoup nuire. J’ai été confronté à cela lorsque j’ai demandé à ChatGPT quel était mon numéro de téléphone. Elle m’a dit qu’elle ne pouvait pas divulguer les informations personnelles de particuliers, car cela irait à l’encontre de ses mesures de sécurité. Cependant, l’entreprise a trouvé deux numéros de téléphone de « Jake Peterson » qui étaient « publics », peut-être répertoriés ouvertement sur les sites Web d’entreprises individuelles. (Pour mémoire, aucun des deux résultats n’était mon numéro de téléphone.)
Mais ces garde-fous sont loin d’être parfaits. Guo met en lumière un cas dans lequel un doctorant de l’Université de Washington a recherché les coordonnées de son ami sur Gemini. Le robot est revenu avec les recherches de cet ami, mais aussi son numéro de téléphone. L’amie a confirmé plus tard qu’elle avait partagé son numéro de téléphone en ligne dans le cadre d’un atelier technologique, mais qu’elle n’avait jamais eu l’intention qu’il soit visible par quiconque le demandait. (Gemini n’a pas pu trouver ou n’a pas voulu partager mes coordonnées personnelles non plus, mais était heureux de partager mon compte X.)
Pouvez-vous supprimer votre numéro de téléphone des ensembles de données des chatbots ?
Malheureusement, nous n’avons pas beaucoup de bonnes options pour protéger notre vie privée contre les chatbots. À leur honneur, OpenAI dispose d’un portail qui vous permet de demander la suppression de vos informations personnelles des réponses, mais, comme le note Guo, la société se réserve le droit de refuser votre demande pour diverses raisons. Anthropic ne dispose que d’un document d’assistance expliquant comment il utilise vos informations, tandis que Google vous permettra de demander de vous désinscrire du traitement des données personnelles, mais uniquement en fonction de votre juridiction. (La société interpelle spécifiquement l’UE et le Royaume-Uni sur la base de leurs lois sur la protection des données.)
L’approche la plus réaliste à adopter consiste donc peut-être à retirer autant que possible ces informations de l’Internet public. Si vous habitez en Californie, vous pouvez utiliser ce portail pour demander aux courtiers en données de supprimer vos informations de leurs bases de données. Vous pouvez également consulter un certain nombre d’outils de suppression de données personnelles, comme Incogni ou DeleteMe, pour tenter d’accomplir la même chose. Cependant, même si ceux-ci peuvent supprimer vos informations de certains coins d’Internet, vous ne pouvez pas faire grand-chose si les sociétés d’IA ont déjà vos informations dans leurs ensembles de données.
La triste réalité est que la technologie de l’IA a dépassé les réglementations en matière de confidentialité personnelle. Si les législateurs avaient pris les mesures nécessaires pour garantir que nous avions tous la possibilité de nous retirer de ces pratiques de collecte de données, nous aurions peut-être pu étouffer le problème dans l’œuf. Mais pour l’instant, le mieux que nous puissions faire est de demander que nos informations soient supprimées et non utilisées – et, si la situation devient trop grave, de modifier complètement nos coordonnées.
