Répondre aux questions clés de sécurité de GenAI : les conversations ChatGPT sont-elles privées ?

L’utilisation de services d’IA générative a augmenté dans les environnements d’entreprise ces dernières années. Mais si les employés disposent de nombreuses options, une plateforme se démarque particulièrement : ChatGPT. Selon Sam Altman, PDG d'OpenAI, en octobre 2025, cette plateforme comptait désormais plus de 800 millions d'utilisateurs chaque semaine, contre 400 millions en seulement six mois. Cela se traduit par 3,2 milliards d'interactions par mois, soit plus du double du nombre d'utilisateurs de Meta AI, Gemini, Grok, Perplexity et Claude réunis.

Un grand nombre de ces sessions se dérouleront sur le lieu de travail, les équipes informatiques devraient donc être très intéressées. Et l’une des questions les plus courantes qu’ils se posent est la suivante : « Ces conversations sont-elles vraiment privées ? » Lorsque les équipes d'entreprise utilisent ces outils pour rédiger des documents, fournir un support client ou obtenir des informations internes, il est essentiel de comprendre ce qu'il advient des données qu'elles envoient.

Surtout pour les équipes de conformité et de cybersécurité, savoir si les sessions ChatGPT restent confidentielles ou si elles sont examinées et stockées pourrait faire une différence dans la gestion des risques. Voici ce que vous devez savoir sur la confidentialité sur la plateforme.

Lorsqu'un utilisateur envoie un message ou télécharge un fichier sur ChatGPT, les données sont traitées sur l'infrastructure cloud d'OpenAI. Pour les comptes Free et Plus, ces interactions sont stockées par défaut et peuvent être examinées par le personnel d'OpenAI pour améliorer la sécurité du système et former les futurs modèles. Cela peut être évité si les utilisateurs désactivent l'historique des discussions, mais même dans ce cas, OpenAI peut conserver temporairement les données pour détecter les abus ou résoudre des problèmes techniques.

Les utilisateurs d'Enterprise ChatGPT sont traités différemment : les conversations sont exclues de la formation par défaut et la gestion des données est régie par des contrôles plus stricts. Cependant, la confidentialité dépend toujours de la façon dont le service est configuré. Les entreprises doivent comprendre qu’à moins que des paramètres au niveau de l’entreprise ne soient en place, les interactions risquent de ne pas être aussi privées que le pensent les utilisateurs.

La visibilité des conversations ChatGPT dépend du niveau utilisé. Dans les versions gratuite et Plus, OpenAI affirme pouvoir examiner les conversations pour surveiller la sécurité ou améliorer le système lorsque l'historique des discussions est activé. Ces discussions ne sont pas visibles par un employeur ou l'équipe informatique, ce qui signifie que toute entreprise qui s'appuie sur des comptes non gérés n'a aucun moyen de voir ce que les employés partagent ou téléchargent.

Enterprise ChatGPT fonctionne différemment. Les administrateurs informatiques ont accès à des contrôles centralisés qui leur permettent de gérer les comptes d'utilisateurs, d'appliquer les paramètres de sécurité, de surveiller les volumes d'utilisation et de configurer les politiques de données. Pour des raisons de confidentialité des données, les conversations professionnelles ne sont pas utilisées par défaut pour entraîner les modèles OpenAI. Il est important de noter que même s'il n'existe pas de vue frontale pour les administrateurs, l'organisation contrôle les espaces de travail et les administrateurs peuvent accéder à un journal d'audit du contenu de la conversation via l'API Enterprise Compliance. Cela garantit que l'activité se déroule sous la supervision de l'entreprise et non dans des comptes personnels isolés.

Si le personnel utilise des comptes ChatGPT personnels ou non autorisés, toute visibilité administrative au sein de l'entreprise est perdue, mais les conversations et les données téléchargées peuvent rester sur les serveurs et être visibles par les utilisateurs externes. Par conséquent, il est essentiel d’imposer uniquement l’utilisation par l’entreprise pour conserver le contrôle, conserver des pistes d’audit et empêcher le partage non surveillé d’informations sensibles.

ChatGPT est devenu une cible privilégiée pour les cybercriminels, car les informations saisies par les utilisateurs contiennent souvent des informations économiques de grande valeur. Dans de nombreuses organisations, les employés s'appuient sur la plateforme pour rédiger des communications internes, résumer des documents, générer du code ou analyser des documents sensibles. Pour les attaquants, accéder à ces conversations peut révéler des discussions stratégiques, des données client, des informations d’identification ou des informations exclusives qui seraient normalement difficiles à obtenir.

L’une des voies d’attaque les plus courantes est l’utilisation abusive des informations d’identification. Les acteurs malveillants ont souvent recours à la réutilisation de mots de passe ou de données de connexion volées achetées sur des forums clandestins pour compromettre leurs comptes, en particulier lorsque les employés utilisent des comptes personnels en dehors de la supervision de l'entreprise.

L’urgence de ce risque a été soulignée en 2025, lorsqu’un acteur malveillant a affirmé vendre en ligne des millions d’identifiants de compte OpenAI. Bien que les données aient ensuite été liées à des violations plus anciennes et sans rapport, l'incident a démontré avec quelle facilité les attaquants peuvent accéder aux comptes LLM.

Les méthodes les plus sophistiquées ciblent les systèmes d’IA eux-mêmes. Par exemple, les attaques par injection rapide peuvent manipuler des modèles pour révéler des informations ou effectuer des actions indésirables. Les attaquants peuvent également exploiter des plugins non sécurisés, des extensions de navigateur, des intégrations d'API ou des implémentations mal configurées pour extraire des conversations sensibles.

Ces risques mettent en évidence pourquoi les données ChatGPT sont si attractives : elles centralisent les connaissances commerciales en un seul endroit, ce qui en fait une cible précieuse qui doit être protégée en conséquence.

Garder les conversations ChatGPT privées nécessite plus que de simplement s'appuyer sur les protections intégrées de la plateforme. L’étape la plus importante consiste à établir des politiques internes claires définissant comment l’IA générative peut être utilisée, quels types de données sont interdits et quelles versions de l’outil sont approuvées. Sans processus cohérents, même les implémentations d’entreprise peuvent exposer des informations sensibles à travers de simples erreurs d’utilisateur.

Par conséquent, les employés doivent être formés pour traiter ChatGPT comme tout autre service cloud externe, où la prudence est de mise. Les bonnes pratiques consistent notamment à limiter ce qui est partagé, à comprendre comment les comptes sont gérés et à garantir que l'activité reste visible pour les équipes informatiques et de sécurité.

Les étapes clés pour améliorer la confidentialité et la sécurité comprennent :

• Utilisez uniquement des outils d’IA approuvés par l’entreprise avec une surveillance administrative centralisée.
• Évitez de saisir des données clients sensibles, réglementées ou identifiables.
• Désactivez l’historique des discussions le cas échéant et vérifiez régulièrement les paramètres de conservation.
• Appliquez l’authentification unique et l’authentification forte.
• Enregistrez et surveillez l'utilisation des activités de compte cachées ou personnelles.
• Proposer une formation régulière sur la rédaction sécurisée de messages et la gestion des données.

Les conversations ChatGPT ne sont pas privées par défaut. De plus, s'appuyer uniquement sur les protections intégrées de la plateforme expose les entreprises à des risques inutiles. Les informations sensibles peuvent être accidentellement partagées, conservées plus longtemps que prévu ou accessibles via des comptes compromis si des mesures de sécurité appropriées ne sont pas mises en œuvre.

C'est pourquoi ChatGPT doit être traité comme n'importe quel autre service informatique. Elle doit être garantie, surveillée et régie par des politiques claires. Avec une surveillance appropriée, y compris des contrôles d'accès, des règles de traitement des données et une surveillance continue, les organisations peuvent prévenir les violations de données et garantir que l'IA générative soutient l'entreprise sans la mettre en danger.