L’IA est là pour rester, et les entreprises commencent tout juste à comprendre comment exploiter sa puissance pour stimuler leurs activités. Chaque jour, les entreprises se précipitent pour intégrer l’IA dans d’innombrables flux de travail : elle est utilisée pour résumer des documents, automatiser des rapports, créer des analyses prédictives et fournir un support avec des chatbots. Ces changements se produisent rapidement et ouvrent de nouvelles portes aux entreprises, grandes et petites, mais ces changements exposent également potentiellement les précieuses données propriétaires des entreprises à de nouveaux risques.

Lorsque les entreprises rendent leurs informations confidentielles accessibles à l’IA, il n’est pas toujours clair si ces informations pourraient être réutilisées ou indexées par de grands modèles de langage (LLM) comme données d’entraînement. Il existe également de nombreux exemples d’informations sensibles exposées par inadvertance par des outils d’IA. Ce ne sont pas simplement des préoccupations concernant le respect de la vie privée ; ce sont des risques de sécurité que toute entreprise doit prendre en compte avant d’utiliser des outils d’IA sur ses fichiers stockés.

Comment l’IA peut mettre vos fichiers en danger sans que vous le sachiez

L’IA a évolué et s’est propagée à un rythme exponentiel. Alors que la plupart des gens connaissent surtout les chatbots, comme ChatGPT ou Claude, la Big Tech a intégré des systèmes d’IA générative capables d’ingérer, d’indexer et de résumer du contenu dans des services de feuille de calcul, de documents et de messagerie. Cette intégration apporte des capacités puissantes, mais elle introduit un risque important dont peu de gens sont conscients.

Selon une enquête de sécurité sur l’IA de 2025(nouvelle fenêtre), Microsoft Copilot — qui est intégré dans des outils comme Excel, Word et SharePoint — a accédé à près de 3 millions d’enregistrements sensibles par organisation au cours du seul premier semestre de l’année. Elle a également révélé que les organisations avaient en moyenne plus de 3 000 interactions avec Copilot au cours desquelles des informations commerciales sensibles auraient pu être exposées. Et une étude de Google a indiqué que 90 % des travailleurs(nouvelle fenêtre) du secteur technologique utilisent l’IA pour écrire ou modifier du code. Même si ces chiffres sont gonflés, les organisations doivent intégrer les outils d’IA dans leur modèle de menace.

C’est un nouveau type de risque de sécurité. Ces fichiers n’ont pas été partagés en externe. En fait, ils n’ont peut-être pas été partagés du tout. Mais parce qu’ils étaient stockés dans des fichiers auxquels Copilot pouvait accéder, les informations qu’ils contiennent auraient pu être collectées sans que les utilisateurs ne s’en rendent compte.

Cela peut avoir de graves ramifications. La police en Suisse(nouvelle fenêtre) (source en français) et le FBI aux États-Unis(nouvelle fenêtre) ont déjà été surpris en train d’utiliser des journaux ChatGPT dans le cadre de leurs enquêtes. Si les entreprises de la Big Tech sont un exemple, vous pouvez vous attendre à ce que les entreprises d’IA reçoivent bientôt des centaines de milliers de demandes de données du gouvernement américain et de l’UE, si ce n’est déjà fait.

Le stockage sécurisé des données est incroyablement difficile lorsque les outils d’IA sont aussi profondément intégrés dans les applications que vous utilisez tous les jours. Les fichiers stockés dans des drives d’entreprise deviennent consultables, résumables et finalement vulnérables, brouillant les concepts de sécurité traditionnels d’accès, d’autorisation et de surveillance.

Qu’en est-il de Google Workspace et Gemini ?

Ces risques ne se limitent pas à Microsoft Copilot. Google Workspace intègre de la même manière son outil d’IA, Gemini, directement dans Drive, Sheets et Docs.

De nombreuses entreprises considéreront probablement Google Workspace avec l’intégration Gemini comme un choix par défaut solide. Selon le propre site de Google(nouvelle fenêtre) : « Vos données ne sont pas examinées par des humains ni utilisées pour l’entraînement de modèles d’IA générative en dehors de votre domaine sans autorisation. »

Cependant, les règles que Google utilise pour prendre des informations pour entraîner son système d’IA sont décrites d’une manière qui crée une zone grise et soulève des questions :

  • Google utilise désormais effectivement les discussions des consommateurs et les imports de fichiers pour entraîner Gemini par défaut, sauf si vous refusez.
  • Les pages de support de Google Gemini(nouvelle fenêtre) avertissent que les informations partagées avec ses applications Gemini seront examinées par des humains et pourraient être utilisées comme ensemble de données pour entraîner l’IA.
  • Dans son explication sur le respect de la vie privée de Gemini, Google avertit les utilisateurs(nouvelle fenêtre) de ne pas partager d’informations confidentielles.
  • La documentation d’entreprise laisse place à l’interprétation avec des phrases comme « sans autorisation ».
  • Les fournisseurs de sécurité ont signalé des conditions dans lesquelles les données d’entreprise pourraient devenir des données d’entrée d’entraînement, en particulier à mesure que les fonctionnalités d’IA deviennent plus étroitement intégrées au stockage de fichiers, à la recherche et aux outils de flux de travail.

Ce manque de clarté est préoccupant lorsque Gemini est intégré à Drive, Docs et Sheets. Il ne s’agit pas seulement d’une question de mauvais partage de fichiers, mais de la manière dont ces fichiers deviennent par inadvertance partie intégrante des flux de travail de l’IA. Comment l’IA va-t-elle ingérer, indexer, analyser et stocker les invites ou les résultats, et ces journaux seront-ils toujours sous le contrôle de votre organisation ?

Même un système bien gouverné comme Google Workspace est non privé et à source fermée. De tels systèmes peuvent atténuer de nombreux risques, mais pour les entreprises détenant des données hautement sensibles, le niveau de confiance requis pourrait encore être trop élevé.

Comment trouver une IA privée pour votre entreprise

Chaque fichier que vous importez vers ou partagez avec un système compatible IA étend votre surface d’attaque. Le simple fait d’importer des fichiers vers un stockage cloud pourrait exposer ces fichiers à l’entraînement de l’IA, selon votre service et votre abonnement. Si ces imports sont conservés, indexés ou accessibles d’une manière dont vous n’avez pas connaissance ou que vous ne pouvez pas contrôler, votre valeur propriétaire est menacée.

Avant que votre entreprise ne choisisse un outil d’IA, vous devriez demander si vous pouvez garantir que celui-ci ou son système de stockage de fichiers ne conservera ni n’exposera de données critiques.

Voici deux exigences concrètes que vous devriez avoir pour tout outil d’IA d’entreprise :

  • Zéro conservation de données : Le système d’IA ne doit pas enregistrer ni stocker les invites, les réponses ou les imports de fichiers au-delà de la session professionnelle, sauf si cela est explicitement requis — et ces journaux doivent être sous le contrôle total de votre entreprise.
  • Pas d’entraînement externe : Les données de votre entreprise (y compris les fichiers stockés) ne doivent pas être utilisées pour entraîner d’autres modèles en dehors du domaine de l’entreprise ni partagées entre les locataires.

Ce que vous pouvez faire maintenant

Avant de pouvoir choisir les bons outils, vous devez évaluer votre situation et vous assurer que vous n’exposez pas déjà par inadvertance des données sensibles :

  • Réalisez un audit des risques de stockage de fichiers IA : identifiez tous les drives partagés, dossiers d’équipe et stockages cloud où les outils d’IA se connectent, puis cartographiez quels outils ingèrent ou indexent ces fichiers.
  • Définissez une politique de gouvernance claire pour l’ingestion de fichiers dans l’IA : spécifiez quels outils d’IA sont approuvés, quels types de fichiers sont autorisés, si l’indexation des fichiers de référentiel est désactivée, etc.
  • Exigez un fournisseur/une solution qui offre une IA privée avec des contrôles stricts : choisissez un assistant IA qui offre « pas de journaux, pas d’entraînement, pas de partage » comme base.
  • Surveillez et restreignez l’« IA fantôme », ou les membres individuels de votre équipe utilisant l’IA en dehors du cadre de votre équipe de sécurité, et les imports de fichiers non autorisés dans les outils d’IA. Appliquez cela via la prévention de la perte de données et les pratiques de gestion des identités et des accès ainsi que la journalisation d’audit.
  • Choisissez un fournisseur dont le modèle commercial ne repose pas sur la vente ou l’extraction de données. Cela garantit que ses incitations s’alignent toujours sur la sécurité de vos données.

Proton offre la productivité de l’IA sans le risque

Aucune entreprise ne veut transmettre involontairement ses informations sensibles. C’est pourquoi les outils Proton for Business sont construits autour d’un chiffrement puissant qui vous donne le contrôle sur qui peut accéder à vos informations.

Proton Drive utilise le chiffrement de bout en bout sur tous vos fichiers, de sorte que personne, pas même Proton, ne peut y accéder à moins que vous ne les partagiez. Cela empêche vos fichiers d’être exposés ou utilisés pour entraîner l’IA. Proton Drive vous donne également la possibilité de protéger par mot de passe les liens de partage ou de désactiver l’accès en un seul clic, ce qui signifie que vous gardez le contrôle.

Nous avons également construit Lumo for Business, un assistant IA privé qui ne travaille que pour vous, et non l’inverse. Sans journaux conservés et avec chaque discussion et fichier que vous importez chiffré, Lumo garde vos conversations confidentielles et vos données entièrement sous votre contrôle — jamais partagées, vendues ou volées.

Chez Proton, nous construisons tous nos produits avec le respect de la vie privée dès la conception. Les entreprises devraient pouvoir stocker des fichiers et utiliser l’IA en toute confiance, sachant que leurs informations les plus sensibles restent protégées.

Contrairement à la Big Tech, Proton ne gagne pas d’argent en vendant vos données. Nous sommes soutenus exclusivement par notre communauté, et non par des annonceurs, et notre base en Europe respectueuse de la vie privée nous donne les protections juridiques pour garantir que nous pouvons tenir nos promesses. Plus important encore, nous appartenons à l’organisation à but non lucratif Proton Foundation, dont la seule mission est de faire progresser le respect de la vie privée et la liberté.

En utilisant Lumo for Business(nouvelle fenêtre), vous pouvez profiter des avantages d’un assistant IA avancé sans risquer que vos données soient mal utilisées.