Vos données peuvent-elles servir à entraîner une IA ? Ce que le RGPD dit vraiment en 2026

par | 16 Mai 2026 | Protection et vie privée

En 2023, on se demandait surtout si les IA avaient été nourries avec des données récupérées sur le web.

Aujourd’hui, le risque s’est rapproché de l’utilisateur. Les données ne sont plus seulement collectées en amont : elles sont aussi données volontairement, parfois sans réfléchir, dans une conversation avec une IA.

Un contrat copié-collé. Une capture d’écran. Un message privé. Une question médicale. Une confidence à une IA de compagnie. Un document client envoyé pour gagner cinq minutes.

Tout cela peut contenir des données personnelles. Parfois sensibles. Et l’interface conversationnelle donne facilement l’impression d’un échange privé, alors qu’il s’agit bien d’un traitement de données.

C’est cette confusion qui rend le sujet sérieux.

Le RGPD ne bloque pas l’IA, il impose des comptes

Le RGPD n’interdit pas l’intelligence artificielle. Il n’impose pas non plus le consentement dans tous les cas.

C’est une erreur fréquente, et elle brouille le débat. Le RGPD demande surtout qu’un traitement de données repose sur une base légale : consentement, contrat, obligation légale, intérêt légitime ou autre base prévue par le texte.

Dans le domaine de l’IA, beaucoup d’entreprises cherchent à s’appuyer sur l’intérêt légitime. Ce n’est pas forcément illégal. La CNIL reconnaît que cette base peut être utilisée pour développer des systèmes d’IA, mais sous conditions : l’intérêt doit être réel, le traitement nécessaire, et les droits des personnes doivent rester protégés.

C’est là que les choses se compliquent.

Utiliser quelques données techniques pour améliorer un service n’a pas le même poids qu’aspirer des contenus publics à grande échelle, conserver des conversations personnelles ou analyser des documents professionnels. Plus les données sont intimes, sensibles ou inattendues, plus l’entreprise doit justifier ce qu’elle fait.

L’IA ne donne pas un passe-droit. Elle augmente au contraire l’exigence d’explication.

Une donnée publique n’est pas une donnée libre

Le fait qu’une information soit visible sur Internet ne signifie pas qu’elle peut être réutilisée n’importe comment.

Un commentaire de forum, un profil LinkedIn, une photo, une bio, une ancienne page web ou un CV public peuvent rester des données personnelles. Si ces informations permettent d’identifier une personne, directement ou indirectement, le RGPD peut s’appliquer.

C’est particulièrement important pour le scraping. Les entreprises d’IA peuvent collecter de grandes quantités de contenus accessibles en ligne pour entraîner ou améliorer leurs modèles. Mais l’argument “c’était public” ne suffit pas.

La CNIL admet que le moissonnage de données accessibles publiquement peut parfois reposer sur l’intérêt légitime. Mais elle exige des garanties : limitation des données collectées, exclusion des données sensibles quand c’est possible, information des personnes, possibilité d’opposition, protection des mineurs, documentation du traitement.

Autrement dit : le scraping n’est pas automatiquement illégal, mais il n’est jamais neutre.

Ce point est essentiel pour éviter deux erreurs. Dire que tout scraping est interdit serait trop simpliste. Dire que tout ce qui est public est librement exploitable serait faux.

La zone sérieuse se trouve entre les deux : chaque usage doit être justifié.

Les prompts sont devenus une nouvelle source de données

Le débat ne concerne plus seulement les données utilisées pour entraîner les grands modèles. Il concerne aussi ce que les utilisateurs donnent eux-mêmes aux IA.

C’est souvent là que le risque est le plus banal.

  • On colle un e-mail pour le reformuler.
  • On envoie un document pour le résumer.
  • On demande à l’IA d’analyser une capture d’écran.
  • On lui confie un problème personnel.
  • On utilise un chatbot au travail sans vérifier les règles internes.

Chaque geste paraît anodin. Mis bout à bout, cela peut exposer beaucoup d’informations : noms, adresses, clients, contrats, données RH, santé, situation familiale, difficultés financières, informations confidentielles.

La question n’est donc pas seulement de savoir si une IA a été entraînée avec des données personnelles. Il faut aussi regarder ce qu’elle reçoit au quotidien.

Une interface agréable ne change rien au fond : si vous transmettez une donnée personnelle à un service, ce service la reçoit. Il peut la stocker, l’analyser, la conserver ou l’exclure de l’entraînement selon ses propres règles, ses paramètres et son offre commerciale.

C’est pour cela que les versions professionnelles, les paramètres de confidentialité, les options de désactivation de l’entraînement et les politiques de conservation comptent vraiment.

IA de compagnie et “AI girlfriends” : le cas le plus parlant

Les IA de compagnie rendent le problème plus visible.

Un chatbot classique répond à une demande. Une IA de compagnie cherche à créer une relation. Cette différence change tout.

Les “AI girlfriends”, compagnons virtuels et chatbots romantiques peuvent encourager des conversations très personnelles : solitude, sexualité, santé mentale, fantasmes, ruptures, famille, préférences affectives, vulnérabilités. L’utilisateur peut se confier parce que l’interface donne une impression d’écoute, de disponibilité et d’intimité.

Ce ne sont pas des données ordinaires.

Mozilla a déjà pointé les pratiques de plusieurs chatbots romantiques dans son programme Privacy Not Included, en soulignant la collecte possible de données très personnelles et le manque de clarté sur certains usages.

Le cas Replika montre aussi que les autorités regardent ces services de près. L’autorité italienne de protection des données a sanctionné Luka Inc., l’entreprise derrière Replika, pour plusieurs manquements liés au RGPD, notamment l’information des utilisateurs, la base légale, la minimisation et la protection des mineurs.

Replika, l'IA friend

Il ne s’agit pas de juger les personnes qui utilisent ces applications. Ce serait facile, et inutile.

Le vrai sujet est ailleurs : plus une IA ressemble à une relation de confiance, plus l’utilisateur baisse sa vigilance. Une application conçue pour obtenir de la confidence doit donc être beaucoup plus claire sur ce qu’elle fait des données.

Une IA ne devient pas moins intrusive parce qu’elle parle gentiment.

L’AI Act ajoute une couche, sans remplacer le RGPD

Depuis 2023, le cadre européen a évolué. L’AI Act est entré en vigueur et ses obligations s’appliquent progressivement.

Mais il ne remplace pas le RGPD.

L’AI Act encadre les systèmes d’IA selon leur niveau de risque. Le RGPD continue de protéger les personnes lorsque des données personnelles sont collectées, utilisées ou conservées.

Les deux textes ne regardent pas exactement la même chose.

Une IA peut être peu risquée au sens de l’AI Act, mais poser un problème de données personnelles si elle traite des conversations, des documents clients ou des informations sensibles. À l’inverse, un système fortement encadré par l’AI Act devra quand même respecter les règles du RGPD s’il utilise des données personnelles.

C’est une distinction importante. Parler de “conformité IA” ne suffit pas. Il faut regarder les données, les usages, les personnes concernées et les garanties réelles.

Le VPN ne protège pas ce que vous donnez volontairement

Un VPN peut protéger une partie de la connexion réseau. Il peut masquer votre adresse IP visible par certains intermédiaires, chiffrer le trafic entre votre appareil et le serveur VPN, et limiter certains risques sur un Wi-Fi public.

Mais il ne protège pas contre une mauvaise décision de partage.

Si vous copiez un contrat, un message intime, une donnée médicale ou un fichier client dans un chatbot, le service reçoit ces informations. VPN ou non.

C’est une limite importante à rappeler. Le VPN protège le transport. Il ne rend pas confidentiel ce que vous confiez volontairement à une plateforme.

Face aux IA génératives, la meilleure protection commence avant l’envoi : retirer les noms, les données sensibles, les références clients, les documents confidentiels et les informations concernant d’autres personnes.

Conclusion : l’IA ne mérite pas automatiquement votre confiance

Le débat sur l’IA et le RGPD a changé.

Il ne s’agit plus seulement de savoir si les modèles ont été entraînés avec des données récupérées sur Internet. Il faut aussi regarder les usages quotidiens : prompts, documents, captures d’écran, mémoire, outils professionnels, assistants intégrés, IA de compagnie.

La donnée n’est plus seulement aspirée loin de l’utilisateur. Elle est souvent donnée directement, dans une interface qui ressemble à une conversation privée.

Le RGPD reste utile pour cette raison précise. Il oblige les entreprises à expliquer, limiter, sécuriser et assumer ce qu’elles font des données personnelles.

Les IA peuvent être pratiques. Elles peuvent faire gagner du temps. Elles peuvent aussi recevoir beaucoup plus d’informations que nécessaire.

Une IA peut aider. Elle ne mérite pas, par défaut, le même niveau de confiance qu’une conversation privée.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Share This