Dans cette page

Ce que ChatGPT et Google font avec tes données

Quand tu poses une question à ChatGPT, la conversation est envoyée aux serveurs d'OpenAI aux États-Unis. Par défaut, OpenAI peut utiliser ces échanges pour entraîner ses futurs modèles — sauf si tu désactives cette option manuellement dans les paramètres.

OpenAI ne précise pas de durée maximale de rétention dans ses conditions générales pour les comptes gratuits et Plus. En pratique, les conversations peuvent être conservées indéfiniment, à moins que tu les supprimes ou que tu demandes l'effacement de ton compte.

Google Gemini a une politique plus précise : par défaut, l'activité Gemini Apps est conservée 18 mois. Google utilise également ces conversations pour améliorer ses modèles, et des employés humains peuvent examiner des échanges sélectionnés à des fins de contrôle de qualité. La rétention peut être raccourcie à 3 ou 36 mois, selon ce que tu choisis dans ton compte Google.

⚠️ Ce que ça veut dire concrètement Si tu demandes à ChatGPT d'améliorer une lettre contenant ton adresse, ton employeur et ta situation médicale, ces informations peuvent se retrouver dans les données d'entraînement d'OpenAI. Des fragments pourraient potentiellement ressortir dans les réponses à d'autres utilisateurs.

Claude d'Anthropic a une politique légèrement différente : par défaut, il ne conserve pas les conversations au-delà de 30 jours sur claude.ai, et il n'utilise pas les conversations des comptes payants pour l'entraînement. Pour les comptes gratuits, les conversations peuvent être utilisées pour améliorer les modèles, sauf opt-out. Tu trouveras des conseils pratiques sur comment utiliser Claude sans exposer tes données.

La Loi 25 et les outils IA

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) s'applique à toute organisation qui collecte des renseignements sur des résidents du Québec — y compris les entreprises américaines comme OpenAI et Google.

Selon la Loi 25, tu as le droit de savoir quels renseignements une entreprise détient sur toi, de les corriger, et de demander leur suppression dans certaines circonstances. En théorie, tu peux faire une demande d'accès à OpenAI ou Google via la page Privacy de leur site. En pratique, ces entreprises répondent à ces demandes de manière inégale.

La Loi 25 impose également aux organisations québécoises de s'assurer que leurs sous-traitants — y compris les outils IA qu'elles utilisent — offrent un niveau de protection adéquat des renseignements personnels. Une PME qui fait traiter des données clients par ChatGPT sans analyse des risques pourrait contrevenir à cette obligation.

📋 Tes droits Loi 25 face aux plateformes IA Tu peux envoyer une demande d'accès à OpenAI ([email protected]) ou à Google (à travers ton compte Google → Données et confidentialité). Si la réponse est insatisfaisante, tu peux déposer une plainte auprès de la Commission d'accès à l'information (CAI) du Québec. Voir comment exercer tes droits Loi 25.

Ce qu'il ne faut jamais mettre dans un chat IA

Peu importe l'outil — ChatGPT, Gemini, Claude, Copilot — certaines informations ne devraient jamais se retrouver dans une conversation. Pas parce que l'IA va les « divulguer » immédiatement, mais parce que tu n't as aucun contrôle sur ce qui arrive ensuite.

Numéro d'assurance sociale (NAS)

Si tu demandes à ChatGPT « Comment remplir un formulaire T4 avec mon NAS 123-456-789 », ce numéro se retrouve dans les serveurs d'OpenAI aux États-Unis. En cas de fuite de données chez OpenAI (ça s'est déjà produit en 2023), ton NAS pourrait être utilisé pour ouvrir du crédit en ton nom, accéder à ton dossier à l'ARC, ou usurper ton identité auprès de Service Canada.

Numéro d'assurance maladie (NAM)

Ton NAM (carte soleil) est encore plus sensible que ton NAS dans le contexte québécois. Le combiner avec ton nom complet et ta date de naissance dans un chat IA suffit pour qu'un fraudeur puisse tenter d'accéder à tes services RAMQ ou de créer un dossier médical frauduleux en ton nom.

Données financières

Numéro de compte, numéro de carte de crédit, NIP, mot de passe bancaire — aucune de ces informations ne devrait jamais apparaître dans une conversation IA. Même « aide-moi à analyser mon relevé bancaire » suivi d'un copier-coller de ton relevé réel est risqué : les numéros de compte et les marchands fréquentés constituent un profil financier exploitable.

Données de santé

« J'ai été diagnostiqué avec X, quels médicaments devrais-je éviter? » — ce type de question est légitime, mais si tu y ajoutes ton nom complet, ta date de naissance et ton numéro de médecin, tu crées un profil médical complet dans un système sur lequel tu n'as aucune garantie de contrôle. Les assureurs et les employeurs n'ont pas accès à ces données aujourd'hui. Demain, c'est une autre question.

Données confidentielles de ton employeur

Plans stratégiques, listes de clients, données financières internes, contrats non publics, code source propriétaire — si tu copie-colle ces informations dans ChatGPT pour les résumer ou les analyser, tu les transmets à OpenAI. Ton employeur n'a probablement pas donné son consentement à ça, et tu pourrais être en violation de ton contrat de travail ou d'une NDA.

🚨 Exemple réel : Samsung 2023 Des ingénieurs de Samsung ont copié du code source propriétaire dans ChatGPT pour déboguer un problème. Samsung a confirmé trois incidents distincts en moins d'un mois. Résultat : Samsung a interdit l'utilisation de ChatGPT sur les appareils de l'entreprise, et le code confidentiel était déjà entre les mains d'OpenAI. Au Québec, ce type d'incident peut engager la responsabilité personnelle de l'employé et celle de l'organisation sous la Loi 25.

Utiliser l'IA au travail : le risque Loi 25

Si tu travailles avec des données de clients — noms, adresses, historiques d'achats, dossiers médicaux, numéros de dossier — et que tu les entres dans ChatGPT pour gagner du temps, ton organisation pourrait contrevenir à la Loi 25.

La Loi 25 exige que la communication de renseignements personnels à un tiers (comme OpenAI, une entreprise américaine) soit encadrée par une entente de traitement des données conforme, avec une évaluation des facteurs relatifs à la vie privée (EFVP). La plupart des petites et moyennes organisations au Québec n'ont pas d'entente de ce type avec OpenAI.

Concrètement : une travailleuse sociale qui copie un extrait de dossier client dans ChatGPT pour rédiger un rapport, un comptable qui colle des données financières de clients pour créer une synthèse, un directeur RH qui entre des informations sur un employé pour formuler une lettre — tous ces scénarios posent un problème sérieux sous la Loi 25.

⚠️ Qui est responsable? Sous la Loi 25, la responsabilité repose sur l'organisation, pas sur l'employé individuel. Mais si un employé enfreint délibérément les politiques internes, l'organisation peut se retourner contre lui. Si ton employeur n'a pas de politique claire sur l'IA, c'est le moment d'en demander une — par écrit.

L'exception : Microsoft Copilot for Microsoft 365 et Google Workspace AI sont vendus avec des engagements contractuels de non-utilisation pour l'entraînement des modèles. Si ton organisation utilise ces outils via un contrat d'entreprise, le cadre juridique est différent — mais vérifie quand même les clauses de ton contrat.

Tableau comparatif : vie privée par outil IA

Outil IA Niveau de vie privée Rétention des données Entraînement avec tes données Opt-out disponible
ChatGPT (gratuit) Faible Indéfinie par défaut Oui, par défaut Oui (voir ci-dessous)
ChatGPT Plus / Team Moyen Indéfinie par défaut Oui, mais opt-out disponible Oui
Google Gemini Faible 18 mois par défaut Oui, révision humaine possible Oui (voir ci-dessous)
Claude (gratuit) Moyen 30 jours Possible pour amélioration Oui (paramètres du compte)
Claude Pro / Team Bon 30 jours Non (comptes payants) N/A
DuckDuckGo AI Chat Bon Non conservé (proxifié) Non N/A — pas de compte requis
Brave Leo Bon Non conservé Non N/A — local au navigateur
IA locale (Ollama, LM Studio) Excellent Sur ton appareil seulement Non N/A — aucune donnée transmise

Des alternatives qui respectent ta vie privée

DuckDuckGo AI Chat

DuckDuckGo offre un accès proxifié à GPT-4o mini, Claude 3 Haiku, Llama et Mixtral via duckduckgo.com/aichat. Aucun compte requis. DuckDuckGo agit comme intermédiaire : OpenAI et Anthropic voient les requêtes venir de DuckDuckGo, pas de toi. Les conversations ne sont pas conservées au-delà de la session. C'est la solution la plus accessible pour les questions courantes sans exposer ton identité.

Brave Leo

Si tu utilises le navigateur Brave, l'assistant Leo est intégré dans la barre latérale. Il utilise des modèles locaux ou proxifie les requêtes vers des modèles hébergés, sans lier les conversations à ton compte ou à ton adresse IP. Idéal pour résumer des articles web sans envoyer l'URL à Google.

IA locale avec Ollama ou LM Studio

Si tu as un ordinateur récent avec 8 Go de RAM ou plus, tu peux faire tourner un modèle d'IA complètement hors ligne. Ollama (ollama.ai) permet d'installer des modèles comme Llama 3 ou Mistral en quelques minutes via la ligne de commande. LM Studio offre une interface graphique. Tes conversations ne quittent jamais ton appareil. C'est la seule option qui élimine complètement le risque de fuite vers un tiers.

Pour les documents de travail sensibles, une IA locale est la seule vraie réponse. Tu gardes la puissance de l'IA, sans rien transmettre à l'extérieur. Pour en savoir plus sur l'utilisation d'outils IA en protégeant ta vie privée, consulte aussi notre guide sur le droit à l'anonymat numérique au Québec.

Désactiver l'entraînement dans ChatGPT

Par défaut, OpenAI utilise tes conversations pour améliorer ses modèles. Voici comment désactiver cette option :

  1. Clique sur ton avatar (en bas à gauche de l'interface ChatGPT, ou en haut à droite sur mobile) et sélectionne Paramètres.
  2. Clique sur l'onglet Contrôles des données (Data Controls).
  3. Repère l'option « Améliorer le modèle pour tout le monde » (Improve the model for everyone) et bascule le commutateur sur Désactivé.
  4. Bonus : Dans le même menu, tu peux activer « Contrôles de la mémoire » pour voir et supprimer ce que ChatGPT a retenu de tes conversations passées.
💡 Ça ne suffit pas à tout effacer Désactiver l'entraînement arrête la collecte pour l'avenir, mais n'efface pas les données déjà collectées. Pour ça, tu dois aller dans Paramètres → Contrôles des données → Supprimer toutes les conversations, puis faire une demande d'effacement de compte si tu veux aller plus loin. OpenAI a une page de demande de suppression de données à privacy.openai.com.

Désactiver l'historique dans Google Gemini

Pour Google Gemini, le contrôle passe par ton compte Google :

  1. Rends-toi sur myactivity.google.com et connecte-toi à ton compte Google.
  2. Dans le menu de gauche, clique sur Contrôles d'activité (Activity controls).
  3. Repère « Activité Gemini Apps » et clique dessus. Tu verras l'état actuel (activé avec conservation de 18 mois par défaut).
  4. Clique sur Désactiver. Google te demandera si tu veux aussi supprimer l'historique existant — confirme si tu veux effacer les données passées.
  5. Optionnel : Si tu veux quand même conserver l'historique mais limiter la rétention, tu peux choisir 3 mois plutôt que 18 mois dans les paramètres de la même page.
⚠️ Désactiver n'empêche pas tout Même avec l'activité Gemini désactivée, Google peut conserver des données liées à ta session pour des raisons de sécurité ou de facturation. Et si tu utilises Gemini via Google Workspace (compte professionnel), les paramètres sont gérés par ton administrateur, pas par toi.

Le réflexe à avoir avant d'envoyer quoi que ce soit

Avant d'appuyer sur Entrée dans n'importe quel chat IA, demande-toi une chose : est-ce que je serais à l'aise si cette information se retrouvait dans une base de données américaine accessible à des milliers d'employés?

Si la réponse est non, reformule ta question de façon générique, utilise DuckDuckGo AI Chat ou une IA locale, ou accepte de ne pas avoir la réponse de l'IA pour cette question précise. C'est un petit effort. Les conséquences d'une fuite de NAS ou de données de santé, elles, peuvent durer des années.

Pour aller plus loin sur la protection de tes données personnelles au Québec, consulte notre guide sur les droits que te confère la Loi 25 et notre page sur le droit à l'anonymat numérique.