« AI Sponsored Snaps » : Faîtes gaffe, votre « ami » IA sur Snapchat est peut-être un vendeur

DataGrail : vos fournisseurs envoient peut-être vos données à des modèles d'IA sans votre accord

DataGrail, plateforme de protection de la vie privée basée à San Francisco, a publié son Privacy and AI Trends Report 2026 après avoir analysé 2 400 logiciels d'entreprise parmi les plus répandus. Le constat est sévère : 63,6 % des éditeurs qui mettent en avant leurs fonctionnalités d'intelligence artificielle ne mentionnent aucun sous-traitant IA tiers dans leurs contrats de traitement des données (DPA). Ces documents juridiques constituent pourtant la base sur laquelle les équipes juridiques et de conformité évaluent les risques liés à leurs fournisseurs. Pour établir ce chiffre, les chercheurs ne se sont pas contentés de lire les contrats : ils ont croisé les DPA avec la documentation produit, les dépôts GitHub, les connexions API et les supports marketing de chacun des 2 400 éditeurs. Résultat : un DPA peut mentionner Claude comme modèle utilisé, tandis que la documentation technique révèle en parallèle des intégrations avec OpenAI et Gemini, sans que cela soit reflété dans aucun document contractuel. Les conséquences concrètes de ce décalage sont potentiellement graves. Une entreprise qui adopte un outil de recrutement basé sur l'IA, effectue un audit de sécurité d'Anthropic sur la foi du DPA, et ignore que l'outil transmet en réalité des milliers de CV contenant adresses, données financières et numéros de sécurité sociale à des modèles jamais évalués, s'expose à des violations réglementaires sérieuses, notamment les règles de la FTC sur la prise de décision automatisée en matière d'emploi. Plus largement, selon le rapport IBM 2025 sur le coût des violations de données, les organisations confrontées à du "shadow AI" affichent un coût moyen de violation de 4,63 millions de dollars, soit 670 000 dollars de plus que celles sans IA non déclarée. Aux États-Unis, les amendes liées à la vie privée ont atteint 3,425 milliards de dollars en 2025, davantage que lors des cinq années précédentes réunies, une tendance que Gartner anticipe en accélération jusqu'en 2028. Ce rapport arrive dans un contexte où l'ensemble de l'industrie logicielle cherche à se repositionner comme acteur de l'IA, souvent plus vite que les processus de gouvernance ne peuvent suivre. Daniel Barber, co-fondateur et PDG de DataGrail, résume la situation : le DPA était censé être le document de référence pour évaluer le risque IA, mais ce n'est plus suffisant en 2026. Le problème structurel tient au fait que les sous-traitants IA se multiplient, changent rapidement, et que les éditeurs ne mettent pas systématiquement à jour leur documentation juridique en conséquence. L'enjeu pour les entreprises est désormais d'aller au-delà de la lecture des contrats et d'auditer activement les connexions techniques réelles de leurs fournisseurs pour savoir précisément quels modèles traitent leurs données et celles de leurs clients.

💬 63% des éditeurs IA ne mentionnent aucun sous-traitant dans leur DPA, le chiffre est difficile à avaler. Ton outil de recrutement SaaS audité côté Anthropic peut très bien envoyer tes CV à OpenAI et Gemini en parallèle, sans que rien n'apparaisse dans aucun contrat. Le DPA comme unique référence de risque, c'est fini.

Attention ! Google Chrome télécharge son IA sur votre PC à votre insu

Google Chrome télécharge discrètement un fichier de 4 gigaoctets baptisé « weights.bin » sur les ordinateurs de ses utilisateurs, sans les en informer ni leur demander leur accord. La découverte est signée Alexander Hanff, chercheur en sécurité connu sous le pseudonyme « That Privacy Guy », qui a documenté le phénomène sur un Mac configuré avec un profil Chrome vierge. En une quinzaine de minutes d'inactivité apparente, le navigateur a créé le dossier correspondant et téléchargé l'intégralité du modèle en arrière-plan. Ce fichier est lié à Gemini Nano, la version allégée du modèle d'intelligence artificielle développé par Google, destinée à fonctionner directement sur l'appareil. Chrome analyserait les capacités matérielles de la machine avant de déclencher le téléchargement, ce qui confirme selon Hanff une sélection automatique des appareils compatibles. Plus préoccupant encore : si l'utilisateur supprime le fichier, celui-ci se réinstalle de lui-même, sauf à désactiver certaines options expérimentales du navigateur ou à désinstaller Chrome entièrement. Ce comportement soulève plusieurs problèmes concrets. Sur le plan juridique, Hanff estime que le procédé pourrait contrevenir au RGPD et à la directive ePrivacy européenne, qui imposent une transparence claire pour tout stockage de données sur un appareil. L'absence de consentement explicite constituerait une violation de ces cadres réglementaires. Sur le plan pratique, un téléchargement non sollicité de 4 Go représente une nuisance réelle pour les utilisateurs sous forfait mobile limité ou dans des pays où la bande passante est coûteuse. L'impact environnemental chiffré par Hanff est également frappant : à l'échelle de 100 millions d'appareils, le transfert représenterait 400 pétaoctets de données, 24 GWh d'énergie consommée et environ 6 000 tonnes équivalent CO₂. Ces volumes atteignent 4 exaoctets, 240 GWh et 60 000 tonnes de CO₂ si l'on extrapole à un milliard d'appareils, soit 30 % de la base utilisateurs Chrome. Cette affaire s'inscrit dans une critique plus large adressée aux géants technologiques, et nommément à Google et Anthropic, que Hanff accuse de déployer leurs technologies avant toute explication aux utilisateurs. Que ce soit via l'intégration silencieuse de Claude Desktop dans les systèmes ou le téléchargement automatique de modèles IA, la logique est identique : les appareils des utilisateurs deviennent des infrastructures au service des ambitions IA des plateformes, sans que ceux-ci n'aient eu leur mot à dire. Google n'a pas officiellement commenté ces révélations. La question de savoir si Chrome propose à terme une option de désactivation claire, ou si des régulateurs européens saisiront le sujet, reste ouverte, mais la pression sur les pratiques de déploiement silencieux de l'IA embarquée monte visiblement d'un cran.

💬 4 Go téléchargés sans te prévenir, et qui se réinstallent d'eux-mêmes si tu les supprimes. C'est pas une négligence de déploiement, c'est un choix produit qui part du principe que ton disque dur fait partie de l'infrastructure de Google. Ce genre de truc va finir devant la CNIL, et cette fois-ci ils auront du mal à plaider la bonne foi.

Chrome peut stocker 4 Go associés à Gemini sur votre machine sans crier gare

Des utilisateurs de Google Chrome ont découvert sur leurs machines un fichier baptisé weights.bin, pesant jusqu'à 4 gigaoctets, téléchargé sans la moindre notification ni demande de consentement. Ce fichier est stocké dans un dossier nommé OptGuideOnDeviceModel, accessible sous Windows dans AppData\Local\Google\Chrome\User Data\Default\ et sous macOS dans ~/Library/Application Support/Google/Chrome/Default/. Les premiers signalements remontent à mi-2025, mais le sujet a resurgi le 4 mai 2026 avec la publication d'une analyse détaillée par Alexander Hanff, consultant en sécurité connu sous le pseudonyme ThatPrivacyGuy. Selon ses observations, Chrome télécharge ce fichier dans les quinze minutes suivant l'ouverture du navigateur, et le recrée automatiquement à chaque lancement s'il a été supprimé manuellement. Le phénomène n'est pas universel : les auteurs de l'article source n'ont trouvé aucune trace du fichier sur quatre machines testées sous Windows et macOS. L'absence totale d'information de la part de Google constitue le cœur du problème. Occuper 4 gigaoctets sur le disque d'un utilisateur sans explication ni possibilité simple de refus représente une atteinte directe à la maîtrise que chacun devrait avoir sur son propre matériel. Alexander Hanff va plus loin : il estime que ce comportement contrevient à la directive européenne e-Privacy de 2002, qui encadre précisément les accès aux ressources des terminaux des utilisateurs. Il réclame de Google une communication claire sur la nature du fichier, l'adoption d'un mécanisme d'opt-in exigeant un consentement préalable, et la possibilité de supprimer définitivement ce contenu. L'impact n'est pas seulement individuel : le consultant tente également d'évaluer l'empreinte environnementale de ces téléchargements répétés sur des centaines de millions d'appareils, même si ce calcul reste hautement spéculatif. Ce fichier n'est pourtant pas totalement opaque sur le plan technique. Il correspond à l'intégration de Gemini Nano, le modèle d'intelligence artificielle embarqué de Google, directement dans Chrome, une démarche documentée publiquement depuis fin 2024. Ces poids de modèle servent à alimenter des fonctionnalités comme la détection automatique de langue ou d'autres outils d'IA locale dans le navigateur. Google n'a pas encore réagi publiquement à la controverse. L'affaire s'inscrit dans un contexte plus large de déploiement silencieux de fonctions d'IA par les grands éditeurs : Alexander Hanff avait récemment épinglé Claude Desktop d'Anthropic pour un comportement similaire, pré-autorisant ses extensions de navigateur sans en informer l'utilisateur. La pression réglementaire européenne et la sensibilité croissante du public sur la souveraineté numérique rendent ce type de pratique de plus en plus difficile à maintenir sans déclencher de réaction.

💬 4 Go sans demander, n'importe quelle startup se ferait retourner pour ça. Le fichier en lui-même n'est pas mystérieux, c'est Gemini Nano, documenté depuis fin 2024, mais déposer ça silencieusement sur des centaines de millions de machines sans opt-in, ça ne tient pas face à l'e-Privacy. Reste à voir ce que ça va coûter à Google au niveau réglementaire.

Anthropic joue encore sur les peurs de l’IA toute-puissante pour se mettre en valeur

Alors qu'elle se prépare à entrer en bourse, Anthropic a publié sur son site web un texte alarmiste sur les risques de l'IA générative, signé notamment par Marina Favaro, responsable de son pôle R&D. Le document avance un chiffre frappant : en mai 2026, Claude serait l'auteur de plus de 80 % du code intégré dans la base de code d'Anthropic elle-même. Partant de ce constat, l'entreprise de Dario Amodei extrapole vers le scénario de l'« auto-amélioration récursive » : des systèmes d'IA capables de créer leurs propres successeurs sans intervention humaine. Pour conjurer ce péril, Anthropic propose un moratoire sur la R&D en IA générative et convoque la comparaison avec le traité sur les forces nucléaires à portée intermédiaire signé en 1987 par Ronald Reagan et Mikhaïl Gorbatchev, tout en avertissant que « nous n'avons pas autant de temps devant nous ». Le problème, pour ses critiques, est que ce discours catastrophiste arrive à un moment particulièrement opportun pour l'entreprise. En présentant l'IA comme une force potentiellement incontrôlable, Anthropic se positionne simultanément comme la firme la plus responsable du secteur, celle qui prend au sérieux les risques que ses concurrents minimisent. Cette posture de « safety company » n'est pas nouvelle, mais elle prend une dimension particulière à la veille d'une introduction en bourse qui s'annonce comme l'une des plus importantes de l'histoire de la tech. Le chercheur Irénée Régnauld résume le paradoxe en une formule : « Anthropic agite le drapeau des risques avec la Pause comme horizon moral juste avant la plus vaste IPO du monde », et s'interroge sur les militants de la sécurité de l'IA : « les Pausistes vont-ils se rendre compte qu'ils sont les dindons de la farce ? » Ce type de rhétorique ne surgit pas dans le vide. Dès 2024, les chercheuses Emile Torres et Timnit Gebru avaient documenté la manière dont les discours sur la sécurité de l'IA permettent aux grandes entreprises tech d'attirer des ressources et de détourner l'attention des critiques concrètes, réglementaires ou sociales. Anthropic s'inscrit dans une tradition plus large, héritée des courants TESCREAL (transhumanisme, long-termisme), qui tend à dramatiser des risques spéculatifs à long terme pour éclipser les nuisances actuelles et mesurables. Le texte lui-même contient une contradiction révélatrice : si Claude génère 80 % du code d'Anthropic, c'est bien l'équipe dirigeante qui choisit quelles fonctionnalités développer, pas le modèle. L'entreprise instrumentalise son propre succès commercial pour nourrir une peur qu'elle se propose ensuite, seule, de maîtriser.