Alors que l’intelligence artificielle conversationnelle s’impose dans les usages quotidiens, une étude récente publiée par Surfshark met en lumière une tendance préoccupante : les applications de chatbots collectent un volume croissant de données personnelles, parfois sensibles.
D’après l’analyse, 100 % des chatbots étudiés collectent des données utilisateurs, avec une moyenne de 14 types de données sur 35 catégories possibles. La progression est notable : 70 % des applications collectent désormais la localisation des utilisateurs, contre 40 % l’année précédente.
Certaines plateformes ont considérablement élargi leur périmètre de collecte. C’est le cas de ChatGPT, dont le volume de données collectées aurait augmenté de 70 % en un an. Les informations recueillies incluent notamment les coordonnées de contact, l’historique de navigation et de recherche, ainsi que les contenus saisis directement par les utilisateurs.
Contrairement aux moteurs de recherche traditionnels, les chatbots sont fréquemment utilisés pour traiter des contenus à caractère sensible, comme des documents fiscaux ou des informations médicales. Selon Tomas Stamulis, responsable de la sécurité chez Surfshark, ces données peuvent être exploitées à différentes fins, notamment publicitaires, et parfois partagées avec des partenaires tiers.
Parmi les applications analysées, Meta AI apparaît comme la plus intrusive, avec 33 types de données collectés sur 35, soit près de 95 % des catégories possibles. Elle est suivie par Google Gemini, qui collecte 23 types de données, incluant les informations de contact, l’historique de navigation, la localisation précise et les contenus utilisateurs.
Ces deux plateformes figurent également parmi celles collectant des données dites sensibles, telles que les opinions politiques, les croyances religieuses, l’orientation sexuelle ou encore certaines données biométriques. Selon les informations disponibles sur l’App Store, ChatGPT collecte désormais 17 types de données, contre 10 l’année précédente.
Si la majorité de ces données servent au fonctionnement du service, certaines sont utilisées pour l’analyse des usages, la personnalisation du produit, ainsi que des finalités marketing ou publicitaires, parfois via des tiers. Certaines catégories, comme les données de santé ou publicitaires, ne sont pas strictement nécessaires au fonctionnement de l’application.
Dans un contexte marqué par le Règlement général sur la protection des données, ces pratiques soulèvent des interrogations quant à la proportionnalité de la collecte, à la transparence des traitements et au partage d’informations avec des acteurs tiers.
L’étude souligne également des disparités selon les plateformes. Par exemple, le chatbot DeepSeek stockerait certaines données sur des serveurs situés en Chine, échappant ainsi aux mêmes cadres réglementaires que les entreprises opérant sous juridiction européenne ou américaine.
Face à cette évolution, Surfshark invite les utilisateurs à adopter des réflexes de prudence : considérer chaque interaction comme potentiellement publique, vérifier les paramètres de confidentialité et limiter le partage d’informations sensibles. Alors que l’IA conversationnelle continue de se démocratiser, la question de la protection des données personnelles s’impose plus que jamais comme un enjeu central.
D’après l’analyse, 100 % des chatbots étudiés collectent des données utilisateurs, avec une moyenne de 14 types de données sur 35 catégories possibles. La progression est notable : 70 % des applications collectent désormais la localisation des utilisateurs, contre 40 % l’année précédente.
Certaines plateformes ont considérablement élargi leur périmètre de collecte. C’est le cas de ChatGPT, dont le volume de données collectées aurait augmenté de 70 % en un an. Les informations recueillies incluent notamment les coordonnées de contact, l’historique de navigation et de recherche, ainsi que les contenus saisis directement par les utilisateurs.
Contrairement aux moteurs de recherche traditionnels, les chatbots sont fréquemment utilisés pour traiter des contenus à caractère sensible, comme des documents fiscaux ou des informations médicales. Selon Tomas Stamulis, responsable de la sécurité chez Surfshark, ces données peuvent être exploitées à différentes fins, notamment publicitaires, et parfois partagées avec des partenaires tiers.
Parmi les applications analysées, Meta AI apparaît comme la plus intrusive, avec 33 types de données collectés sur 35, soit près de 95 % des catégories possibles. Elle est suivie par Google Gemini, qui collecte 23 types de données, incluant les informations de contact, l’historique de navigation, la localisation précise et les contenus utilisateurs.
Ces deux plateformes figurent également parmi celles collectant des données dites sensibles, telles que les opinions politiques, les croyances religieuses, l’orientation sexuelle ou encore certaines données biométriques. Selon les informations disponibles sur l’App Store, ChatGPT collecte désormais 17 types de données, contre 10 l’année précédente.
Si la majorité de ces données servent au fonctionnement du service, certaines sont utilisées pour l’analyse des usages, la personnalisation du produit, ainsi que des finalités marketing ou publicitaires, parfois via des tiers. Certaines catégories, comme les données de santé ou publicitaires, ne sont pas strictement nécessaires au fonctionnement de l’application.
Dans un contexte marqué par le Règlement général sur la protection des données, ces pratiques soulèvent des interrogations quant à la proportionnalité de la collecte, à la transparence des traitements et au partage d’informations avec des acteurs tiers.
L’étude souligne également des disparités selon les plateformes. Par exemple, le chatbot DeepSeek stockerait certaines données sur des serveurs situés en Chine, échappant ainsi aux mêmes cadres réglementaires que les entreprises opérant sous juridiction européenne ou américaine.
Face à cette évolution, Surfshark invite les utilisateurs à adopter des réflexes de prudence : considérer chaque interaction comme potentiellement publique, vérifier les paramètres de confidentialité et limiter le partage d’informations sensibles. Alors que l’IA conversationnelle continue de se démocratiser, la question de la protection des données personnelles s’impose plus que jamais comme un enjeu central.