Habr AI→ original

Des employés font fuiter des données d’entreprise dans ChatGPT : le volume a été multiplié par 30 en un an

Solar Group a analysé le trafic de 150 entreprises russes des secteurs public, financier et informatique et a constaté que le volume de données d’entreprise que les employés chargent eux-mêmes dans ChatGPT et d’autres outils d’AI publics a été multiplié par environ 30 en un an. Dans le même temps, 60 % des organisations n’ont aucune règle interne à ce sujet. Contrats, noms complets, numéros d’identification fiscale, données de passeport — tout cela part vers des centres de données tiers, à l’insu même de ceux qui, dans l’entreprise, sont formellement responsables des données personnelles.

Traité par IA depuis Habr AI ; édité par Hamidun News
Des employés font fuiter des données d’entreprise dans ChatGPT : le volume a été multiplié par 30 en un an
Source : Habr AI. Collage: Hamidun News.
◐ Écouter l'article

Les Employés Divulguent des Données Corporatives à ChatGPT : Le Volume a Augmenté 30 Fois en un An

Le groupe « Solar » a analysé le trafic de 150 organisations russes et constaté : le volume de données corporatives que les employés envoient indépendamment vers des services d'IA publics a augmenté d'environ 30 fois — tandis qu'environ 60% des entreprises n'ont aucune règle interne à ce sujet.

Qu'est-ce qui va exactement dans les data centers étrangers

Le schéma est simple : il faut extraire un résumé d'un contrat — vous le téléchargez dans ChatGPT. Vous devez traiter une liste de clients — vous l'insérez dans un tableur avec des fonctions d'IA. Le résultat est bon, cela prend moins de temps. Le problème est qu'avec les documents, ce qui suit va vers un data center tiers :

  • Noms des employés et clients
  • Données de passeport et numéros d'identification fiscale
  • Coordonnées bancaires et montants des transactions
  • Conditions commerciales et correspondance interne
  • Informations constituant des secrets commerciaux

Habituellement, le service n'affiche aucun avertissement. Formellement, l'utilisateur a accepté les conditions stipulant que les données peuvent être utilisées pour entraîner le modèle — mais peu de gens les lisent.

Où se situe le vrai risque et où il y a de l'alarmisme

Les grands fournisseurs d'IA déclarent qu'ils n'utilisent pas les données corporatives du mode API pour entraîner les modèles. Mais pour les entreprises russes, cela n'élimine pas le problème.

«

Environ 60% des entreprises n'ont aucune règle interne à ce sujet : le processus n'est contrôlé ni techniquement ni formellement », — de l'étude de Solar.

Les vrais risques se répartissent selon trois directions.

Réglementaire. Selon la loi russe 152-ФЗ « Sur les Données Personnelles », la transmission de données personnelles à des tiers sans le consentement du sujet et sans contrat approprié est une violation. À partir du 30 mai 2025, les amendes pour violations répétées pour les personnes morales atteignent 15 millions de roubles.

Commercial. Si un contrat avec un client stipule la confidentialité, et qu'un employé a envoyé un document à ChatGPT — l'entreprise a violé son obligation contractuelle. Le tiers a le droit d'exiger une compensation pour les dommages.

Réputationnel. Les fuites de données des partenaires suite à un usage imprudent de l'IA deviennent motif de résiliation de contrats.

Ce que les entreprises doivent faire maintenant

La bonne nouvelle : des solutions existent et ne nécessitent pas d'interdire l'IA.

La première étape est une politique interne : un document d'une page énumérant quelles données peuvent être traitées dans les services d'IA externes et lesquelles ne le peuvent pas. Sans cela, l'entreprise n'a aucun outil pour des mesures disciplinaires et aucun argument dans une conversation avec les régulateurs.

La deuxième étape est la formation des employés. Pas d'interdire, mais d'expliquer : ce qui constitue exactement des données personnelles et des secrets commerciaux, pourquoi cela ne peut pas être téléchargé dans un service public, et quelles alternatives corporatives existent.

La troisième étape concerne les mesures techniques : les systèmes DLP qui bloquent ou enregistrent la transmission de certaines catégories de données hors du périmètre ; les outils d'IA corporatifs sur votre propre infrastructure ou dans un cloud russe chez un fournisseur ayant signé un accord de traitement de données conforme à la loi 152-ФЗ.

Ce que cela signifie

Le passage massif des employés aux outils d'IA ne peut pas être arrêté — et ne devrait pas l'être. Mais une augmentation de 30 fois du volume de transmission de données en un an indique que la plupart des entreprises ont raté le moment où cela a cessé d'être une initiative privée pour devenir un risque corporatif systémique. Les règles sont nécessaires non pas « un jour », mais maintenant.

Questions fréquemment posées

L'entreprise risque-t-elle une amende si un employé a téléchargé des données dans

ChatGPT de sa propre initiative ?

Oui, potentiellement. Selon la loi 152-ФЗ, la responsabilité du traitement des données personnelles incombe à l'opérateur — c'est-à-dire l'entreprise, pas l'employé spécifique. Si le fait de la transmission de données personnelles à un tiers est établi, le régulateur a le droit d'infliger une amende à la personne morale. À partir du 30 mai 2025, pour les violations répétées, elle atteint 15 millions de roubles.

Existe-t-il une alternative sûre aux services d'IA publics ?

Oui : les solutions d'IA corporatives déployées sur vos propres serveurs ou dans un cloud russe chez un fournisseur ayant conclu un accord de traitement des données. Dans ce cas, les données ne quittent pas le périmètre contrôlé.

ZK
Hamidun News
Actualités IA sans bruit. Sélection éditoriale quotidienne de plus de 400 sources. Produit de Zhemal Khamidun, Head of AI chez Alpina Digital.

Vous voulez cesser de lire sur l'IA et commencer à l'utiliser?

AI News est un fil d'actualité IA. Hamidun Academy vous apprend à utiliser l'IA dans votre travail.

Qu'en pensez-vous ?
Chargement des commentaires…