Alors que la startup Mistral est accusée de capter des données personnelles, Surfshark, spécialiste des VPN et de l’anti malware, a analysé une dizaine d’assistants IA du marché afin d’évaluer leur recueil de données. Les investigations concernent les pratiques des dix chatbots IA les plus populaires disponibles sur l’Apple Store, parmi lesquels Google Gemini, DeepSeek, ChatGPT, Copilot, Poe et Jasper.

lire La startup Mistral accusée de capter abusivement les données des utilisateurs

11 types de données différentes collectées en moyenne

Les résultats montrent que ces applications collectent en moyenne 11 types de données différentes sur leurs utilisateurs, sur un total possible de 35. Certaines vont plus loin. Google Gemini recueille 22 catégories de données, incluant des informations précises de localisation, des coordonnées personnelles (nom, adresse e-mail, numéro de téléphone), des contenus utilisateurs, des contacts, ainsi que l’historique de navigation et de recherche.

Au global, 40 % de ces applications collectent les données de localisation de l’utilisateur, et 30 % pratiquent le suivi des données, c’est-à-dire le croisement des informations recueillies avec celles de tiers à des fins publicitaires ou de métriques publicitaires. Les applications comme Copilot, Poe et Jasper sont notamment concernées par ces pratiques de tracking. Jasper, par exemple, rassemble des identifiants d’appareil, des données d’interaction produit, des informations publicitaires ainsi que d’autres données d’utilisation.

lire Doper la visibilité de sa marque dans les assistants conversationnels

Risque de fuite de données

Le chinois DeepSeek, pour sa part, se positionne dans une situation intermédiaire selon Surfshark. Il collecte 11 types de données, dont l’historique de discussion des utilisateurs. Ces informations sont conservées sur des serveurs situés en Chine. Ce chatbot a déjà subi une fuite massive de données ayant compromis plus d’un million d’enregistrements, incluant des historiques de conversations et des clés API. « Derrière la facilité d’utilisation de ces technologies se cachent des pratiques parfois intrusives, qui exposent potentiellement les données sensibles des utilisateurs à des tiers, voire à des violations de données comme cela a déjà été le cas pour certaines applications » alerte Surfshark.

Deepseek est particulièrement sur la sellette actuellement. La Corée du Sud vient de supprimer Deepseek des magasins d’applications Google et Apple pour des raisons de confidentialité. L’organisme de protection des données personnelles du pays déclaré que le modèle d’IA sera à nouveau disponible lorsque des améliorations et des correctifs seront apportés pour garantir sa conformité avec les lois du pays sur la protection des données personnelles. DeepSeek n’était plus disponible sur l’App Store d’Apple et Google Play samedi 15 février au soir, indique la BBC.

lire La startup chinoise Deepseek chamboule le marché de l’IA en concurrençant ChatGPT

Limitations de Deepseek en Italie

Deepseek est interdit sur les appareils gouvernementaux à Taïwan et en Australie. Plus près de nous, l’Italie demande à Deepseek de se mettre en conformité avec le RGPD tandis que l’app chinoise n’est plus disponible dans les magasins applicatifs mais est encore utilisable en ligne et pour les utilisateurs ayant chargé l’app.

Deepseek doit limiter définitivement les activités de traitement des données personnelles des personnes concernées situées sur le territoire italien. Une enquête est ouverte sur l’affaire. Deepseek affirme de son côté respecter le RGPD. Les données personnelles utilisées sont le nom, l’email, l’adresse IP, le type de navigateur, le système d’exploitation, l’historique des requêtes, les cookies, les appareils utilisés, etc.

Deux poids deux mesures

Il existe toutefois un 2 poids 2 mesures qui guide les réactions des Etats européens vis-à-vis de DeepSeek estime pour sa part Alessandro Fiorentino, spécialiste de la protection des données chez Adequacy. Si l’on ferme la porte à l’IA chinoise, l’IA américaine n’est pas plus vertueuse, exprime-t-il. « La législation chinoise, qui impose aux entreprises de collaborer avec l’État, alimente une méfiance spécifique, mais il ne faut pas oublier que les États-Unis ont adopté le prolongement de 2 ans de la section 702 du Foreign Intelligence Surveillance Act (FISA) » dit-il.

Alessandro Fiorentino rappelle que le texte FISA « autorise les agences de renseignement à collecter sans mandat des données de citoyen et d’entreprises hors US avec l’assistance des fournisseurs de communication électronique ». Il voit dans la réaction à Deepseek une volonté de limiter l’influence chinoise. « Ce traitement différencié révèle une volonté de limiter l’influence technologique chinoise, bien plus qu’une réelle application des principes de protection des données » tranche-t-il.

Des décisions géopolitiques

« L’interdiction de DeepSeek illustre comment la protection des données devient un prétexte à des décisions avant tout géopolitiques. Si la cybersécurité et la confidentialité étaient réellement les seules préoccupations, alors les mêmes restrictions devraient s’appliquer aux géants américains dont les pratiques de collecte et de transfert de données sont similaires » insiste-t-il.

Il évoque cependant le fait que DeepSeek pose des préoccupations majeures en raison de sa politique de gestion des données, similaire à celle de ChatGPT, mais avec apparemment une spécificité inquiétante telles que la législation chinoise obligeant les entreprises à fournir les données des utilisateurs au gouvernement en cas de demande et que la startup collecte des informations sur les frappes au clavier, ce qui soulève des risques de surveillance accrue.

Facebook X LinkedIn

Articles similaires

Laisser un commentaire Annuler la réponse

Luxe

Assurance

Industrie

Banque

Commerce

Transport