X et vie privée : ce que le réseau social peut vraiment collecter en 2026

X, anciennement Twitter, n’est plus seulement un réseau social où l’on publie des messages courts. C’est une plateforme de contenus, de messagerie, de vidéo, de publicité, de paiement, de profils professionnels, d’identification et désormais d’intelligence artificielle. Cette évolution change la manière dont il faut lire sa politique de confidentialité.

Quelles données X peut-il associer à votre compte, à votre appareil, à vos habitudes et à votre identité probable ?

Et surtout : que pouvez-vous réellement limiter ?

La politique de confidentialité actuelle de X, applicable depuis le 15 janvier 2026, confirme plusieurs catégories sensibles : informations de compte, activité sur la plateforme, adresse IP, données d’appareil, localisation approximative, interactions publicitaires, données issues de partenaires, identité inférée, informations biométriques avec consentement, données professionnelles et usage possible des informations collectées ou publiques pour entraîner des modèles de machine learning ou d’intelligence artificielle.

Un VPN peut réduire une partie de l’exposition réseau, notamment l’adresse IP visible, mais il ne protège pas contre ce que vous publiez, ce que vous aimez, les comptes que vous suivez, les cookies déjà présents, les identifiants d’appareil ou les données que vous fournissez volontairement.

Ce que X collecte quand vous créez un compte

Lorsque vous créez un compte X, vous fournissez au minimum des informations permettant de vous identifier ou de gérer votre accès : nom affiché, nom d’utilisateur, mot de passe, adresse e-mail ou numéro de téléphone, date de naissance, langue d’affichage, et éventuellement informations liées à une connexion via un service tiers. X précise aussi que les informations de profil, comme le nom affiché et le nom d’utilisateur, sont publiques.

Ce premier niveau de collecte paraît classique. Pourtant, il est déjà important pour la vie privée. Une adresse e-mail réutilisée partout, un numéro de téléphone personnel ou un nom d’utilisateur identique sur plusieurs plateformes facilitent les recoupements.

X indique aussi que les comptes professionnels peuvent fournir une catégorie professionnelle, une adresse, un e-mail de contact ou un numéro de téléphone, certains de ces éléments pouvant être publics. Les utilisateurs qui achètent des services payants ou de la publicité fournissent également des informations de paiement.

La donnée la plus visible n’est donc pas toujours la plus sensible. Votre pseudonyme public peut être banal. Votre e-mail, votre numéro, vos habitudes de connexion et vos informations de paiement, eux, peuvent créer un rattachement beaucoup plus durable.

« Sérieusement, que deviennent mes données ? » – © X Corp.

Données biométriques et informations professionnelles : le point sensible

X indique pouvoir collecter et utiliser des informations biométriques, sur la base du consentement, pour des finalités de sécurité, d’identification et de sûreté.

Il faut être précis ici. Cela ne veut pas dire que X collecte automatiquement le visage ou les empreintes de tous les utilisateurs. Mais cela signifie que la politique prévoit cette possibilité dans certains cas, par exemple pour des fonctionnalités d’identification, de vérification ou de sécurité.

Même prudence pour les données professionnelles. X indique pouvoir collecter et utiliser des informations comme la biographie, l’historique professionnel, l’historique éducatif, les préférences d’emploi, les compétences, les capacités, l’activité de recherche d’emploi ou les interactions liées aux candidatures. Ces données peuvent servir à recommander des opportunités, permettre des candidatures, connecter candidats et employeurs, ou afficher de la publicité plus pertinente.

Ce n’est pas anodin. Une plateforme sociale qui connaît déjà vos opinions publiques, vos interactions, vos centres d’intérêt et votre réseau peut, si vous utilisez aussi des fonctions professionnelles, enrichir fortement votre profil.

Le risque, c’est le croisement.

Ce que X observe quand vous utilisez la plateforme

La partie la plus importante de la politique de confidentialité c’est celle qui concerne votre activité.

X indique collecter des informations sur les contenus que vous publiez, la date, l’application utilisée, la version, votre activité dans les Spaces, vos listes, vos bookmarks, les communautés auxquelles vous appartenez, ainsi que vos interactions avec les contenus : reposts, likes, bookmarks, partages, téléchargements, réponses, mentions, tags, historique d’écoute ou de visionnage, commentaires et réactions.

Autrement dit, même quand vous ne publiez rien, vous produisez des signaux.

Un like, un bookmark, un temps passé sur un contenu, une participation à un Space, une réaction à une publicité ou une consultation répétée d’un même type de sujet peuvent contribuer à construire un profil comportemental.

C’est une erreur fréquente de croire que la vie privée sur un réseau social dépend seulement de ce que l’on poste. En réalité, une grande partie du profilage se construit à partir de ce que l’on consulte, évite, répète, suit, masque ou enregistre.

Messages privés : privés ne veut pas toujours dire invisibles

X distingue les messages chiffrés et les messages directs classiques. Sa politique mentionne la collecte de métadonnées liées aux messages chiffrés, ainsi que, pour les messages directs, les contenus des messages, les destinataires, les dates et heures d’envoi.

C’est un point essentiel pour les utilisateurs : un message privé n’est pas automatiquement un message confidentiel au sens strict.

Un message direct peut être privé vis-à-vis du public, mais cela ne signifie pas qu’il échappe à tout traitement par la plateforme. Et même lorsqu’un chiffrement est proposé, les métadonnées restent souvent révélatrices : qui parle à qui, quand, à quelle fréquence, depuis quel appareil ou dans quel contexte.

Pour les conversations sensibles, les messageries conçues autour du chiffrement de bout en bout restent plus adaptées que les DM d’un réseau social généraliste.

Adresse IP, appareil, cookies : ce que X peut voir techniquement

X collecte des informations sur la connexion et l’appareil : adresse IP, navigateur, système d’exploitation, opérateur, langue, identifiants d’appareil et publicitaires, applications installées, niveau de batterie, carnet d’adresses si vous choisissez de le partager, et localisation approximative.

L’adresse IP permet généralement d’obtenir une localisation approximative et d’associer des connexions à un fournisseur d’accès ou à un réseau. Elle ne donne pas votre adresse exacte à elle seule, mais elle reste un signal technique fort.

X collecte aussi des informations de journalisation lorsque vous consultez ou interagissez avec ses services, même sans compte ou sans être connecté : IP, navigateur, langue, système, page de provenance, heures d’accès, pages visitées, localisation, opérateur mobile, identifiants d’appareil ou d’application, recherches, publicités vues, identifiants générés par X et identifiants associés aux cookies.

Un VPN masque votre adresse IP réelle aux services que vous consultez et à certains intermédiaires réseau. Mais son rôle doit être correctement compris. Si vous êtes connecté à votre compte X, avec les mêmes cookies, le même navigateur, le même appareil et les mêmes habitudes, changer d’adresse IP ne suffit pas à vous rendre méconnaissable.

Identité inférée : le point que beaucoup sous-estiment

La politique de X mentionne explicitement l’identité inférée. X peut associer un navigateur ou un appareil à votre compte lorsque vous vous connectez. Selon vos réglages, la plateforme peut aussi associer votre compte à d’autres navigateurs ou appareils, ou associer un appareil non connecté à d’autres identifiants générés par X.

X indique aussi pouvoir utiliser les informations fournies, comme un e-mail ou un numéro de téléphone, pour inférer d’autres informations sur vous ou votre identité. Par exemple, la politique mentionne l’association possible avec des hachages d’adresses e-mail partageant des composants communs avec l’adresse fournie.

C’est technique, mais très concret : une plateforme moderne ne dépend pas d’un seul identifiant. Elle peut s’appuyer sur une combinaison de signaux : compte, e-mail, numéro, appareil, cookies, IP, comportement, contacts, publicité, partenaires et historique de navigation.

C’est pour cette raison que croire en l’anonymat absolu est dangereux. Un VPN peut casser ou brouiller un signal réseau. Il ne supprime pas tous les autres.

Données venues de partenaires publicitaires et de sites tiers

X ne collecte pas uniquement ce qui se passe sur X. Sa politique indique que des partenaires publicitaires, développeurs et éditeurs peuvent partager des informations avec la plateforme. Ces données peuvent inclure des identifiants de cookies, des identifiants publicitaires mobiles, des adresses e-mail hachées, des informations démographiques ou d’intérêt, ainsi que des contenus consultés ou des actions réalisées sur d’autres sites et applications. Ces informations peuvent être combinées avec les données que X collecte, reçoit, génère ou infère par ailleurs.

La plateforme peut aussi recevoir des informations lorsque vous interagissez avec du contenu X intégré sur des sites tiers, comme une timeline intégrée ou des boutons de partage.

Beaucoup d’utilisateurs pensent à la confidentialité uniquement lorsqu’ils ouvrent l’application. En réalité, l’écosystème publicitaire permet souvent de prolonger l’observation au-delà de la plateforme elle-même.

Là encore, un VPN ne supprime pas les cookies, les pixels, les identifiants publicitaires ou les données déjà transmises par des partenaires.

X, intelligence artificielle et entraînement des modèles

La politique de X indique que l’entreprise peut utiliser les informations collectées ainsi que les informations publiquement disponibles pour aider à entraîner ses modèles de machine learning ou d’intelligence artificielle, dans les objectifs décrits par sa politique.

C’est un sujet à traiter sans exagération. Il ne faut pas écrire que tous vos messages privés sont automatiquement aspirés dans un modèle IA si la politique ne permet pas de l’affirmer précisément. En revanche, il est légitime de dire que les contenus publics et certaines informations collectées peuvent être utilisés dans des systèmes d’amélioration, de recommandation, de personnalisation ou d’entraînement IA.

Pour un utilisateur, la conséquence pratique est simple : ce qui est public sur X doit être considéré comme durablement exploitable. Même supprimé plus tard, un contenu public peut avoir été vu, capturé, indexé, cité, archivé ou réutilisé.

La meilleure protection reste donc la plus ancienne : ne pas publier ce que vous ne voulez pas voir réapparaître ailleurs.

Faut-il quitter X pour protéger sa vie privée ?

Pas forcément. Ce serait une réponse trop simple.

Tout dépend de votre usage.

Si vous utilisez X pour lire l’actualité, suivre quelques comptes et publier peu, vous pouvez réduire une partie de l’exposition avec de bons réglages, un navigateur propre et un VPN.

Si vous utilisez X pour débattre, publier souvent, liker massivement, envoyer des messages, gérer un compte professionnel, postuler, vérifier votre identité ou connecter des services tiers, votre empreinte devient beaucoup plus riche.

Le problème c’est l’accumulation.

Une donnée isolée peut sembler banale. Une adresse IP seule n’est pas toute votre identité. Un like seul ne dit pas tout de vous. Un appareil seul ne suffit pas toujours. Mais l’ensemble peut devenir très parlant : compte, appareil, IP, comportement, contacts, contenus, publicités, partenaires, messages, historique et signaux inférés.

C’est cette logique de combinaison qu’il faut comprendre.

Conclusion : X n’est pas seulement ce que vous publiez

X est une plateforme publique, publicitaire, sociale, technique et algorithmique. Elle ne voit pas seulement vos posts. Elle peut traiter vos interactions, vos appareils, votre adresse IP, votre localisation approximative, vos messages selon leur type, vos signaux publicitaires, vos données issues de partenaires et certaines informations permettant d’inférer votre identité.

Un VPN peut aider à protéger une partie de votre confidentialité réseau, surtout votre adresse IP réelle et votre exposition sur des connexions non fiables. Mais il ne protège pas contre votre comportement, votre compte, vos cookies, vos contenus publics ou les données que vous fournissez vous-même.