Une étude menée par l'Institut IMDEA Networks met en lumière un risque majeur de confidentialité lié à l'utilisation des assistants d'intelligence artificielle générative. Les recherches révèlent que des plateformes majeures telles que ChatGPT d'OpenAI, Claude d'Anthropic, Grok et Perplexity AI intègrent des systèmes de suivi de sociétés comme Meta, Google et TikTok. Cette pratique compromet potentiellement la confidentialité des conversations des utilisateurs, qui partent du principe que leurs échanges avec l'IA sont privés. L'étude souligne que, bien que l'interface ressemble à une conversation personnelle, le fonctionnement technique repose sur les mêmes infrastructures que le web traditionnel, axées sur la collecte de données et le traitement par des services d'analyse et de publicité numérique. Trois problèmes principaux ont été identifiés : l'exposition des liens permanents des conversations aux traqueurs tiers, la capacité de relier ces interactions aux identités réelles des utilisateurs, et l'inadéquation entre les politiques de confidentialité affichées et les flux de données réels. Un des constats les plus inquiétants est la transmission d'informations sensibles aux traqueurs tiers, notamment les titres de chat, les URLs, les métadonnées associées, ainsi que les cookies et autres identifiants. Dans certains cas, des contrôles d'accès défaillants permettent à quiconque disposant d'un lien d'accéder au contenu d'une conversation, rendant les discussions publiquement accessibles aux traqueurs. Les chercheurs notent que Grok et Perplexity envoient des liens de conversation avec un contrôle d'accès faible à des pixels publicitaires comme celui de Meta, tandis que Grok expose même le texte exact des messages via des métadonnées Open Graph collectées par TikTok. En outre, la combinaison de plusieurs techniques de traçage, telles que les cookies, les adresses e-mail hachées et le suivi côté serveur, pourrait permettre la création de profils utilisateurs persistants et faciliter la réidentification des individus. Ces pratiques illustrent la poursuite des modèles économiques basés sur les données au sein de l'écosystème de l'intelligence artificielle. Les auteurs indiquent que la plupart des utilisateurs ignorent cette situation, car l'interface ne signale aucun danger, et que le refus des cookies non essentiels s'avère souvent insuffisant. L'analyse critique également les contrôles de confidentialité proposés par certaines plateformes, qui peuvent induire en erreur sur le niveau réel de protection. Bien que les politiques de confidentialité mentionnent l'utilisation de traqueurs publicitaires et le partage de données avec des partenaires commerciaux, elles n'indiquent pas clairement que le contenu des conversations des utilisateurs fait partie des informations partagées. D'un point de vue juridique, notamment au regard du Règlement général sur la protection des données (RGPD), deux problèmes majeurs se posent : l'absence de base légale claire pour ce partage de données et le défaut d'information adéquate des utilisateurs. Les auteurs concluent que, bien que les résultats soient préliminaires, ils soulignent la nécessité urgente de renforcer la transparence, les mécanismes de contrôle d'accès et la protection des données dans les systèmes d'intelligence artificielle générative. Une avancée dans l'analyse réglementaire de ces technologies est également requise pour garantir la sécurité et la vie privée des utilisateurs face à la collecte de données massives.