Ce que vous ne devez jamais partager avec les chatbots IA

Un guide pratique sur les secrets, dossiers et documents qui doivent rester hors de ChatGPT, Claude, Gemini, Copilot et d'autres conversations IA.

Lecture : 10 min Mis à jour : avril 2026

La règle courte

Les chatbots IA sont utiles pour rédiger, résumer, coder, faire de la recherche et traduire. Ils ne sont pas le bon endroit pour tous les types d'informations. L'habitude de travail la plus sûre est simple : si le partage de quelque chose peut exposer une personne, un compte, une entreprise ou une obligation légale, ne le collez pas dans un chatbot IA à moins d'avoir une raison claire, le bon type de compte et les sauvegardes appropriées.

Cela ne veut pas dire que tous les chatbots IA sont dangereux. Cela signifie que vous devriez les considérer comme des outils en ligne puissants, et non comme des coffres-forts sécurisés. Si vous avez besoin d'un guide de configuration plus large, lisez Paramètres de confidentialité du chat IA. Si votre risque provient d'outils, d'actions personnalisées ou de connecteurs, associez ce guide à Les GPT, Agents et connecteurs MCP sont-ils sûrs ? .

Important : Un paramètre de confidentialité peut réduire le risque, mais il ne rend pas tout type de données approprié à partager. Si vous ne voudriez pas que l'information soit copiée, examinée, transférée, stockée ou mélangée avec d'autres données hors contexte, ne la collez pas par défaut.

Ce que vous ne devez jamais partager avec les chatbots IA

Les catégories ci‑dessous sont les façons les plus courantes dont les gens partagent trop dans les chats IA. Certaines sont évidemment sensibles. D'autres paraissent inoffensives jusqu'à ce que le contexte en fasse un problème de confidentialité, juridique ou de sécurité.

1. Mots de passe, identifiants de connexion et codes de récupération

Ne collez jamais de mots de passe, de codes à usage unique, de codes de sauvegarde, de liens de réinitialisation, de jetons de session ou de réponses secrètes. Ce sont des éléments d'accès direct aux comptes. Si vous avez besoin d'aide, utilisez des espaces réservés tels que [PASSWORD] or [2FA CODE] et décrivez la situation sans partager le vrai secret.

2. Clés API, clés privées, jetons et autres secrets

Ne collez pas de clés API, jetons OAuth, clés privées SSH, secrets de webhook, .env valeurs, mots de passe de base de données ou identifiants de compte de service. Dans la plupart des cas de dépannage, le modèle a seulement besoin de la structure de la configuration, pas du secret réel.

3. Informations bancaires, de carte et de paiement

Évitez les numéros de carte, les CVV, les coordonnées bancaires complètes, les informations d'identification des processeurs de paiement, les phrases de récupération de portefeuille ou les captures d'écran de facturation complètes. Si vous avez besoin d'aide pour lire une charge ou un relevé, masquez les détails et ne conservez que le contexte minimum nécessaire pour poser la question.

4. Pièces d'identité gouvernementales, déclarations fiscales et documents officiels

Ne téléversez pas et ne collez pas de scans de passeport, cartes d'identité nationales, permis de conduire, fichiers de visa, déclarations fiscales, numéros de sécurité sociale ou identifiants similaires. Si vous avez besoin d'aide pour un formulaire, demandez le type de formulaire ou la signification des champs au lieu de partager le document complet.

5. Informations médicales, de santé et données hautement personnelles

Les dossiers médicaux, diagnostics, ordonnances, résultats de laboratoire, notes de thérapie et identifiants d'assurance doivent rester hors des chatbots IA à usage général par défaut. Une pratique plus sûre est de poser des questions éducatives générales en termes non identifiants plutôt que de coller un rapport nommé.

6. Documents de travail confidentiels et informations internes de l'entreprise

Ne collez pas de feuilles de route internes, présentations stratégiques, plans tarifaires, notes d'incident, documents de sécurité, documents de conseil d'administration ou détails de produits non publiés dans un compte IA grand public à moins que votre organisation n'approuve explicitement ce flux de travail. Le contenu sensible au travail appartient à des environnements de travail approuvés, pas aux outils de commodité personnels.

7. Données clients, données d'employés et toute PII liée à des personnes réelles

Noms, adresses e‑mail, numéros de téléphone, adresses postales, tickets client, détails de paie, dossiers étudiants et fichiers RH doivent être traités avec la plus grande prudence. Un enregistrement n'a pas besoin d'un numéro de passeport pour devenir sensible. Le contexte peut le rendre identifiant.

8. Contrats, projets juridiques et matériel couvert par NDA

Ne collez pas de contrats signés, d'historique de négociation, d'avis juridiques, de clauses confidentielles ou d'autres documents sous NDA dans un chatbot général par défaut. Si vous avez besoin d'aide, demandez des structures communes ou utilisez une version rédigée.

9. Code source sensible, architecture interne et détails de sécurité

Le code privé d'un dépôt, les points de terminaison internes, les diagrammes d'infrastructure, la logique de contrôle d'accès, la configuration de production et les playbooks de sécurité ne sont pas des éléments à coller sans précautions. L'IA peut toujours aider pour le codage, mais l'approche la plus sûre consiste à utiliser du pseudocode, des extraits assainis ou des cas de test réduits lorsque c'est possible.

10. Tout ce qui est exposé via des outils connectés, agents, applications ou intégrations que vous ne comprenez pas entièrement

C'est l'un des risques les plus faciles à manquer. Un utilisateur peut dire « Je n'ai pas collé ça manuellement » et oublier qu'un chatbot peut lire des fichiers connectés, du contenu de page partagé, des calendriers, des applications ou des outils externes. Si vous ne pouvez pas répondre clairement à ce qu'une intégration peut lire, écrire et où les données vont ensuite, ne l'utilisez pas avec du matériel sensible.

Exemples en zone grise

Certaines informations semblent inoffensives mais nécessitent néanmoins de la prudence. Les captures d'écran, notes de réunion, feuilles de calcul exportées, tickets de support, e‑mails clients, extraits de code et transcriptions de chat contiennent souvent des noms, horodatages, URL internes, noms de projet ou d'autres signaux cachés qui rendent le contenu identifiant en pratique.

C'est pourquoi « J'ai retiré le mot de passe » n'est pas toujours suffisant. Une capture d'écran d'un tableau de bord ou une feuille de calcul des problèmes clients peut encore révéler suffisamment de contexte pour créer des problèmes de confidentialité, de sécurité ou contractuels. En cas de doute, résumez plutôt que de coller le matériel brut.

Utilisez la classification des données avant de coller

Une manière pratique de réduire les erreurs est de classer l'information avant de décider si un chatbot IA doit la voir. Un modèle simple à quatre niveaux fonctionne pour de nombreuses équipes : Public, Internal, Confidential, et Restricted.

  • Public les informations sont destinées à des audiences externes et présentent généralement un faible risque du point de vue de la confidentialité.
  • Internal les informations sont destinées à l'usage normal de l'entreprise, pas à la distribution publique, et ne doivent pas être accessibles partout par défaut.
  • Confidential les informations peuvent créer un réel préjudice en termes de confidentialité, juridique, commercial ou de confiance si elles sont exposées.
  • Restricted les informations nécessitent la protection la plus forte, y compris les secrets, le matériel juridique à risque élevé ou les données de sécurité à fort impact.

Si vous n'êtes pas sûr qu'une information soit publique ou restreinte, faites une pause avant de la coller. Dans de nombreux cas, la question de classification est plus simple et plus utile que d'essayer de deviner le modèle de confiance complet d'un fournisseur de chatbot sur le moment. Pour la répartition complète, lisez Data Classification Explained .

Que faire à la place

La bonne nouvelle est que l'IA peut rester utile sans voir le secret brut, le contrat brut ou le fichier client brut.

Rédiger d'abord

Supprimez les noms, secrets, identifiants, numéros de compte, URL internes et métadonnées inutiles. Remplacez-les par des espaces réservés tels que [CLIENT_NAME], [API_KEY], [INTERNAL_URL], ou [EMPLOYEE_EMAIL].

Résumer au lieu de téléverser le matériel brut

Demandez un cadre, une liste de contrôle, une réécriture ou un modèle. Par exemple, au lieu de coller une lettre d'avertissement complète à un employé, demandez au modèle de rédiger un modèle neutre de lettre d'avertissement. Au lieu de partager un rapport d'incident complet, demandez un plan de post-mortem.

Utiliser des liens internes plus sûrs et des flux de travail approuvés

Si votre question concerne vraiment les paramètres, commencez par Paramètres de confidentialité du chat IA. Si c'est à propos du risque lié aux outils, consultez Les GPT, Agents et connecteurs MCP sont-ils sûrs ? . Si c'est à propos du fonctionnement des outils externes, le guide de fond sur Model Context Protocol (MCP) aide à clarifier la frontière de confiance. Si vous avez besoin d'une manière plus rapide de décider quel niveau de données vous examinez au départ, utilisez Data Classification Explained comme premier filtre avant de partager quoi que ce soit.

Comptes professionnels vs personnels

Les environnements IA professionnels sont généralement plus sûrs que les comptes personnels, mais « plus sûr » ne signifie pas « sûr pour tout ». Des contrôles d'administration plus stricts, des règles de conservation, des outils approuvés et des limites de gestion des données plus claires aident beaucoup, surtout pour les flux de travail en équipe. La discipline reste importante : minimisez les données sensibles, utilisez l'accès le plus restreint possible et évitez de partager des informations dont l'outil n'a pas vraiment besoin.

Si votre organisation fournit un environnement IA approuvé, c'est le point de départ approprié pour un usage lié au travail. Les comptes IA personnels ne doivent pas devenir un raccourci pour les données clients, les documents confidentiels ou le contexte interne de l'entreprise.

Liste de contrôle rapide avant de coller quoi que ce soit

  • Cela identifie-t-il directement ou indirectement une personne réelle ?
  • L'exposition créerait-elle un préjudice financier, juridique, de confidentialité ou de sécurité ?
  • Sais‑je s'il s'agit de public, interne, confidentiel ou restreint ?
  • Est‑ce couvert par un NDA, une politique d'entreprise ou une confidentialité professionnelle ?
  • Puis‑je rédiger les noms, identifiants, secrets et détails de compte d'abord ?
  • Puis‑je poser la question sans le document brut ou le fichier brut ?
  • Utilisé‑je un compte d'entreprise approuvé plutôt qu'un compte personnel ?
  • Des outils, applications, agents ou connecteurs supplémentaires sont‑ils activés en ce moment ?

Si plusieurs réponses suscitent des inquiétudes, faites une pause et changez d'approche. Cette habitude unique prévient plus de problèmes que n'importe quel seul paramètre de chatbot.

Références officielles et lectures complémentaires

Foire aux questions

Puis-je un jour coller des données sensibles dans un chatbot IA en toute sécurité ?

D'habitude, la réponse la plus sûre est non par défaut. Même lorsqu'un chatbot offre de meilleurs contrôles de confidentialité, la bonne démarche est de minimiser ce que vous partagez, d'utiliser des environnements professionnels approuvés pour les données de travail et d'éviter d'exposer des secrets bruts, des dossiers réglementés ou des documents identifiant des personnes réelles.

Qu'est-ce qui est considéré comme une information sensible en pratique ?

Les informations sensibles incluent les mots de passe, clés API, codes de récupération, informations financières, pièces d'identité gouvernementales, dossiers de santé, documents de travail confidentiels, données clients, documents juridiques et détails techniques internes. Elles incluent aussi des données en zone grise comme les captures d'écran, les notes de réunion ou les exportations qui deviennent identifiantes lorsqu'elles sont combinées avec le contexte.

Les comptes IA professionnels sont-ils plus sûrs que les comptes personnels ?

Généralement oui, parce que les produits destinés aux entreprises ajoutent souvent de meilleures configurations par défaut, des contrôles d'administration, des règles de conservation et des limites de gestion des données plus claires. Mais « plus sûr » ne signifie pas sûr pour tout. Les équipes doivent toujours minimiser les saisies sensibles et suivre la politique d'outils approuvée.

Que dois-je faire au lieu de coller un document réel ?

Rédigez d'abord, résumez le problème et remplacez les vrais noms, secrets, identifiants et URL internes par des espaces réservés. Dans de nombreux cas, le modèle a seulement besoin de la structure du problème, pas du document brut ou des identifiants réels.

Pourquoi les outils connectés et les intégrations représentent-ils un risque à part ?

Parce que la fenêtre de chat n'est pas toute la frontière de confiance. Les lecteurs connectés, calendriers, applications, actions GPT, agents ou outils MCP peuvent étendre ce que le système peut lire ou envoyer ailleurs. Si vous ne comprenez pas ce qu'une intégration peut accéder, ne l'utilisez pas avec des données sensibles.

Que faire si j'ai déjà collé quelque chose de sensible par erreur ?

Si les données étaient un secret tel qu'un mot de passe, un jeton ou une clé API, faites-les pivoter immédiatement. Si les données étaient liées au travail, avertissez le propriétaire interne ou le contact sécurité approprié. Si le produit vous permet de supprimer le chat, faites-le aussi, mais supposez que le contenu a peut-être déjà été traité ou enregistré.

Quelle est l'habitude unique qui prévient la plupart des erreurs de confidentialité avec l'IA ?

Faites une pause avant de coller. Demandez-vous si le chatbot a vraiment besoin des données brutes. Si la réponse est non, rédigez, résumez ou utilisez un flux de travail approuvé plus sûr à la place.