Les modèles de langage (LLM, pour Large Language Models) comme ChatGPT, Claude, Mistral ou Gemini s’imposent aujourd’hui dans les entreprises et le quotidien des professionnels. Rédaction de rapports, génération de code, assistance à la décision, résumé de documents, traduction, analyse de données… les cas d’usage se multiplient à grande vitesse.
Mais une question essentielle reste trop souvent négligée : que deviennent vos données une fois envoyées dans un LLM ?
Car derrière la magie de l’intelligence artificielle se cache une réalité technique et juridique complexe, qui comporte des risques si elle est mal comprise.
Dans cet article, nous allons décortiquer comment un LLM traite vos données, quels sont les risques principaux et surtout les bonnes pratiques pour protéger vos informations sensibles.
#1 Quand vous parlez à un LLM, que se passe-t-il vraiment ?
Chaque interaction avec un LLM commence par une requête (le fameux prompt), qui peut prendre plusieurs formes :
Texte brut : une question, une consigne, du code, un résumé à générer.
Documents : fichiers Word, PDF, présentations.
Tableaux ou données structurées : CSV, JSON, bases de données.
Images : diagrammes, photos, captures d’écran.
Audio : voix, musique, réunions enregistrées.
Quelle que soit la nature de l’input, le LLM convertit tout en tokens – de petites unités de langage qui permettent au modèle de traiter l’information. Par exemple, une phrase en français ou en anglais sera découpée en mots ou fragments de mots. Une image sera transcrite en vecteurs sémantiques.
À chaque requête, la donnée circule vers les serveurs du fournisseur (OpenAI, Anthropic, Google, etc.), où elle est traitée. C’est ici que se joue la différence :
Rétention : la donnée est-elle stockée ? et si oui, combien de temps ?
Réutilisation : la donnée peut-elle servir à réentraîner le modèle ou alimenter ses futures réponses ?
#2 Quels sont les risques selon le type de données ?
Toutes les données ne présentent pas le même niveau de sensibilité. Voici quelques exemples courants :
Texte simple (faible risque) : demander une reformulation ou un résumé d’un article public.
Documents (risque moyen à élevé) : si un fichier contient des données personnelles ou confidentielles (contrats, comptes-rendus, bilans financiers).
Tableaux et bases de données (risque élevé) : souvent riches en informations personnelles ou stratégiques.
Code informatique (risque critique) : un prompt qui contient des mots de passe, des API keys ou des fragments de code propriétaire.
⚠️ Exemple concret :
En 2023, des ingénieurs de Samsung ont accidentellement partagé du code source sensible en utilisant ChatGPT. Résultat : l’entreprise a interdit l’usage des LLM sur ses appareils jusqu’à la mise en place de garde-fous adaptés.
Offrez à vos équipes un callbot qui travaille 24h/24
#3 Les types de LLM et leurs implications pour vos données
Tous les LLM ne se valent pas en matière de sécurité. On distingue quatre grandes catégories :
LLM gratuits
Données envoyées dans le cloud de l’éditeur.
Stockage et réutilisation flous.
Risques de fuite ou de réutilisation commerciale.
LLM payants (versions Plus/Pro)
Conditions plus claires.
Souvent possible de désactiver la réutilisation des données.
Risque : oubli d’un paramétrage (ex. mémoire activée par défaut).
LLM entreprise / dédiés
Hébergés sur des clusters isolés.
Rétention et réutilisation configurables par contrat.
Risque faible si le fournisseur est certifié (SecNumCloud, ISO 27001, SOC 2).
LLM open-source (on-premise, auto-hébergés)
Données qui restent en local.
Contrôle total… mais charge technique et coûts élevés.
Risques internes : mauvaise configuration, logs non sécurisés, fuites réseau.
👉 Règle d’or : plus vous montez en gamme, plus la maîtrise sur vos données s’améliore.
#4 Les bonnes pratiques pour limiter les risques
Heureusement, il existe des réflexes simples pour concilier l’usage des LLM et la protection des données.
a) Identifier la sensibilité des données
Avant d’envoyer quoi que ce soit, posez-vous la question : est-ce que je serais à l’aise si cette information se retrouvait sur Internet ?
- Pour une consigne générique → ok.
- Pour un fichier RH, juridique ou médical → à proscrire sans solution sécurisée.
b) Choisir le bon type de LLM
- Usage léger et non sensible : un LLM payant standard suffit.
- Organisation soumise à forte réglementation (banques, santé, État) : privilégier des solutions dédiées, on-premise ou certifiées.
c) Configurer correctement l’outil
- Désactiver l’historique et la mémoire des conversations si non nécessaire.
- Activer l’option Zero Data Retention (souvent disponible sur demande).
- Ne jamais coller de mots de passe, clés API ou données clients directement dans le prompt.
d) Mettre en place une politique interne
- Sensibiliser les collaborateurs : les erreurs viennent souvent d’une méconnaissance.
- Définir ce qui peut être partagé avec un LLM et ce qui doit rester interne.
- Mettre en place des outils de supervision (logs, monitoring).
#5 Les pièges à éviter
Même avec les meilleures intentions, certaines erreurs sont fréquentes :
Utiliser un LLM gratuit pour traiter des données sensibles.
Confondre chiffrement et traitement : un LLM ne chiffre pas vos données pendant leur utilisation. Le chiffrement intervient uniquement en amont (transit) et en aval (stockage).
Croire les promesses marketing sans vérifier : certains fournisseurs annoncent qu’ils ne réutilisent pas vos données, mais les conditions exactes restent floues.
En bref : l’équilibre entre innovation et cybersécurité
Les LLM ouvrent un champ immense d’innovation. Mais pour en tirer le meilleur, il est indispensable d’adopter une posture de vigilance : ne jamais oublier que toute donnée envoyée circule, et qu’elle peut être réutilisée ou stockée.
La bonne nouvelle, c’est qu’il existe des solutions adaptées à chaque profil d’organisation, du freelance à la grande entreprise. À vous de choisir le niveau de sécurité qui correspond à vos besoins et de mettre en place les bons réflexes.
