Une nouvelle étude menée par des équipes britanniques et italiennes révèle que les assistants IA intégrés aux navigateurs web, comme ChatGPT, collectent des informations personnelles sensibles sur des sites que beaucoup considèrent comme privés.
Les chercheurs ont examiné dix navigateurs et extensions populaires compatibles avec l'IA, parmi lesquels ChatGPT d'OpenAI, Microsoft Copilot et Merlin AI pour Google Chrome, et les ont soumis à des tests sur des sites web ouverts et des portails protégés par mot de passe, tels que le système de dossiers médicaux d'une université.
Des sites privés ont exposé des informations à ChatGPT et à des outils similaires.
Les résultats de l'étude sont alarmants. Ils révèlent que neuf des dix outils ont collecté et transmis des données privées, notamment des antécédents médicaux, des coordonnées bancaires, des relevés de notes universitaires, et même des numéros de sécurité sociale.
Perplexity AI était le seul outil qui ne semblait pas collecter de telles données.
« Ces assistants ont un niveau d'accès à notre activité en ligne sans précédent », a déclaré Anna Maria Mandalari, auteure principale de l'étude et professeure adjointe à l'University College London.
« Ces technologies rendent les choses plus rapides et plus faciles, mais nos preuves montrent que cela se fait parfois au détriment de la vie privée et que, dans certains cas, cela peut même enfreindre la loi. »
Mandalari.
Pour réaliser les tests, l'équipe a simulé la navigation quotidienne, les achats en ligne, la consultation de résultats médicaux, la connexion à des comptes bancaires, puis a posé aux assistants des questions de suivi telles que : Quel était le motif de la dernière visite médicale ?
En interceptant et en décodant les données circulant entre le navigateur de l'utilisateur, les serveurs de la société d'IA et tractiers, les chercheurs ont découvert que certains assistants collectaient et transmettaient encore le contenu intégral de pages provenant de sites censés être sécurisés.
Quant à Merlin, les chercheurs ont découvert un mélange de données sensibles comprenant des dossiers médicaux, des informations bancaires, des résultats d'examens et les numéros de sécurité sociale des contribuables.
L'assistant IA de Peers Sider et TinaMind ont été observés en train d'envoyer des requêtes utilisateur à Google Analytics, ainsi que d'dentdes informations essentielles telles que les adresses IP. Ces données pourraient être utilisées pour la publicité ciblée et tracintersites.
D'après les chercheurs, d'autres assistants comme Copilot et Monica conservaient discrètement l'intégralité des journaux de conversation dans le navigateur, même après la fin des sessions.
Lorsqu'il était accessible via certaines intégrations de navigateur, ChatGPT, développé par OpenAI, établissait le profil des utilisateurs en fonction de leur âge perçu, de leur niveau de revenu, de leur sexe et de leurs intérêts, puis adaptait ses réponses en conséquence.
« Il n’existe tout simplement aucun moyen clair pour les utilisateurs de savoir où ces informations finissent une fois collectées », a averti Mandalari.
Récemment, le PDG d'OpenAI, Sam Altman, a mis en garde les utilisateurs contre les problèmes de confidentialité, les avertissant qu'ils devaient être prudents lorsqu'ils utilisaient des chatbots comme ChatGPT à certaines fins, car ces derniers ne bénéficient pas des mêmes garanties de confidentialité que ceux offerts par un véritable médecin ou avocat, par exemple.
Les outils d'IA pourraient-ils enfreindre la loi ?
L'étude a été menée aux États-Unis, mais l'équipe a conclu que certains assistants IA étaient susceptibles d'enfreindre les lois américaines et européennes sur la protection de la vie privée. Aux États-Unis, certains cas semblaient violer les règles protégeant les informations médicales, tandis qu'au sein de l'UE, les résultats suggéraient des violations potentielles du Règlement général sur la protection des données (RGPD), qui impose des limites strictes au stockage et au partage des données personnelles.
Même lorsque les entreprises publient des avis de confidentialité, les petites lignes peuvent être surprenantes. La politique de Merlin pour l'UE et le Royaume-Uni, par exemple, mentionne les noms, les coordonnées, lesdentde connexion, l'historique des transactions, les informations de paiement et toute donnée saisie au clavier comme étant des données susceptibles d'être collectées. Il est précisé que ces données peuvent être utilisées à des fins de personnalisation, d'assistance client ou de conformité légale.
Sider fait des déclarations similaires, ajoutant que les données des utilisateurs peuvent être analysées pour en tirer des enseignements ou pour contribuer au développement de nouveaux services. L'entreprise cite Google, Cloudflare et Microsoft comme destinataires potentiels des données, tout en assurant que ses partenaires sont liés par destracà la protection des informations personnelles.
Les conditions d'utilisation d'OpenAI confirment que les données des utilisateurs du Royaume-Uni et de l'UE sont stockées en dehors de ces régions, même si la société affirme que les droits des utilisateurs ne sont pas affectés.
« Ces produits sont présentés comme rendant la navigation web plus rapide et plus intelligente », a-t-elle déclaré. « Mais en réalité, ils enregistrent souvent en détail votre vie privée en ligne. »
Avec le renforcement des règles de protection des données par les autorités de réglementation et la course des entreprises technologiques pour intégrer l'IA dans tous les recoins d'Internet, la surveillance de ces outils est susceptible de s'intensifier.
Pour l'instant, les chercheurs recommandent la prudence. Si Perplexity AI a su éviter les problèmes de confidentialité lors de ses tests, la plupart des autres équipes n'y sont pas parvenues. « Si vous autorisez une IA à observer toutes vos activités en ligne », explique Mandalari, « vous devez partir du principe que ces informations sont stockées quelque part, d'une manière ou d'une autre, et peut-être même partagées. »
