Aller au contenu principal
Perplexity dans la tourmente : des données personnelles d’utilisateurs auraient fuité vers Meta et Google
ÉthiqueSiècle Digital13sem· 1 min de lecture

Perplexity dans la tourmente : des données personnelles d’utilisateurs auraient fuité vers Meta et Google

Source originale ↗·

Un utilisateur de l'Utah, qui souhaite conserver l'anonymat, a porté plainte contre Perplexity AI, accusant le moteur de recherche basé sur l'intelligence artificielle d'avoir transmis ses conversations privées à Meta et Google sans son consentement. Selon son avocat, l'utilisateur recourait régulièrement à Perplexity pour obtenir des conseils fiscaux, juridiques et financiers, des échanges qu'il considérait confidentiels. Des outils de tracking intégrés à la plateforme auraient permis à des tiers d'accéder à ces données sensibles, à l'insu des utilisateurs.

Cette affaire soulève une question centrale pour l'ensemble du secteur des assistants IA : que deviennent les conversations des utilisateurs lorsqu'ils confient à ces outils des informations personnelles, médicales ou financières ? Contrairement à un moteur de recherche classique où l'on tape des mots-clés, Perplexity incite à formuler des questions détaillées, souvent très révélatrices de la situation personnelle de l'utilisateur. Partager ce type de données avec des régies publicitaires comme Meta ou Google représente une violation grave de la confiance placée dans ces plateformes, avec des implications directes sur la vie privée de millions de personnes.

Perplexity, fondée en 2022 et valorisée à plusieurs milliards de dollars, s'est rapidement imposée comme un concurrent sérieux face à Google Search et ChatGPT. La startup avait déjà fait l'objet de critiques pour ses pratiques de scraping agressif et des accusations de plagiat envers des médias. Cette plainte s'inscrit dans un contexte plus large de régulation croissante des pratiques des entreprises d'IA autour de la collecte et du partage de données personnelles, notamment en Europe avec le RGPD et aux États-Unis où plusieurs États renforcent leurs législations sur la vie privée.

Impact France/UE

Si des pratiques similaires de partage de conversations avec des régies publicitaires concernaient des utilisateurs européens, elles constitueraient une violation caractérisée du RGPD, exposant Perplexity à des sanctions pouvant atteindre 4 % de son chiffre d'affaires mondial.

💬 L'analyse de Mathieu

Perplexity, c'est le genre de produit qu'on conseille à ses proches parce que "c'est mieux que Google" — sauf qu'on vient de découvrir que des conversations sur ses impôts ou sa situation juridique partaient peut-être chez Meta. Le problème, c'est que les gens posent des vraies questions à ces outils, pas des mots-clés détachés de tout contexte, et la différence est énorme côté données. Faut arrêter de traiter les assistants IA comme des moteurs de recherche glorifiés : dès qu'on y colle du contexte personnel, c'est une autre catégorie de risque.

Cet article vous a été utile ?

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Une plainte qualifie le « Mode Incognito » de Perplexity d'imposture
1Ars Technica AI 

Une plainte qualifie le « Mode Incognito » de Perplexity d'imposture

Le moteur de recherche IA Perplexity fait l'objet d'une action en justice qui l'accuse de partager massivement les conversations de ses utilisateurs avec Google et Meta, à leur insu. Selon la plainte déposée, cette pratique concernerait tous les utilisateurs, qu'ils aient ou non créé un compte sur la plateforme. Les outils de développement utilisés lors de l'enquête auraient révélé que les premières requêtes saisies sont systématiquement transmises à des tiers, tout comme les questions de relance générées par l'IA sur lesquelles l'utilisateur clique. Pour les non-abonnés, la situation serait encore plus grave : leurs conversations initiales seraient partagées via une URL permettant à des tiers comme Meta et Google d'accéder à l'intégralité de l'échange. L'enjeu est considérable pour les millions d'utilisateurs qui font confiance à Perplexity pour des recherches potentiellement sensibles, professionnelles ou personnelles. Le mode "Incognito" proposé par la plateforme, censé garantir une confidentialité renforcée, est qualifié de "mascarade" par les plaignants. Si les faits allégués sont avérés, cela signifie que des volumes massifs de données — requêtes médicales, financières, juridiques ou autres — auraient été transmis à deux des plus grandes régies publicitaires du monde sans le consentement explicite des utilisateurs, en violation potentielle des lois sur la protection des données. Cette affaire s'inscrit dans un contexte de scrutin croissant autour des pratiques de confidentialité des outils d'IA conversationnelle. Perplexity, valorisé à plusieurs milliards de dollars et présenté comme un concurrent direct de Google Search, avait déjà été épinglé en 2024 pour des pratiques de scraping contestables. La question de savoir dans quelle mesure les startups IA monétisent les données utilisateurs via des partenariats publicitaires avec les géants de la tech risque désormais de s'inviter au cœur des débats réglementaires, aussi bien en Europe qu'aux États-Unis.

UESi les pratiques décrites sont avérées, elles constitueraient une violation du RGPD, exposant Perplexity à des sanctions de la CNIL et des autorités européennes de protection des données au détriment des millions d'utilisateurs européens de la plateforme.

ÉthiqueReglementation
1 source
DataGrail : vos fournisseurs envoient peut-être vos données à des modèles d'IA sans votre accord
2VentureBeat AI 

DataGrail : vos fournisseurs envoient peut-être vos données à des modèles d'IA sans votre accord

DataGrail, plateforme de protection de la vie privée basée à San Francisco, a publié son Privacy and AI Trends Report 2026 après avoir analysé 2 400 logiciels d'entreprise parmi les plus répandus. Le constat est sévère : 63,6 % des éditeurs qui mettent en avant leurs fonctionnalités d'intelligence artificielle ne mentionnent aucun sous-traitant IA tiers dans leurs contrats de traitement des données (DPA). Ces documents juridiques constituent pourtant la base sur laquelle les équipes juridiques et de conformité évaluent les risques liés à leurs fournisseurs. Pour établir ce chiffre, les chercheurs ne se sont pas contentés de lire les contrats : ils ont croisé les DPA avec la documentation produit, les dépôts GitHub, les connexions API et les supports marketing de chacun des 2 400 éditeurs. Résultat : un DPA peut mentionner Claude comme modèle utilisé, tandis que la documentation technique révèle en parallèle des intégrations avec OpenAI et Gemini, sans que cela soit reflété dans aucun document contractuel. Les conséquences concrètes de ce décalage sont potentiellement graves. Une entreprise qui adopte un outil de recrutement basé sur l'IA, effectue un audit de sécurité d'Anthropic sur la foi du DPA, et ignore que l'outil transmet en réalité des milliers de CV contenant adresses, données financières et numéros de sécurité sociale à des modèles jamais évalués, s'expose à des violations réglementaires sérieuses, notamment les règles de la FTC sur la prise de décision automatisée en matière d'emploi. Plus largement, selon le rapport IBM 2025 sur le coût des violations de données, les organisations confrontées à du "shadow AI" affichent un coût moyen de violation de 4,63 millions de dollars, soit 670 000 dollars de plus que celles sans IA non déclarée. Aux États-Unis, les amendes liées à la vie privée ont atteint 3,425 milliards de dollars en 2025, davantage que lors des cinq années précédentes réunies, une tendance que Gartner anticipe en accélération jusqu'en 2028. Ce rapport arrive dans un contexte où l'ensemble de l'industrie logicielle cherche à se repositionner comme acteur de l'IA, souvent plus vite que les processus de gouvernance ne peuvent suivre. Daniel Barber, co-fondateur et PDG de DataGrail, résume la situation : le DPA était censé être le document de référence pour évaluer le risque IA, mais ce n'est plus suffisant en 2026. Le problème structurel tient au fait que les sous-traitants IA se multiplient, changent rapidement, et que les éditeurs ne mettent pas systématiquement à jour leur documentation juridique en conséquence. L'enjeu pour les entreprises est désormais d'aller au-delà de la lecture des contrats et d'auditer activement les connexions techniques réelles de leurs fournisseurs pour savoir précisément quels modèles traitent leurs données et celles de leurs clients.

UELes entreprises européennes utilisant des SaaS intégrant l'IA s'exposent à des violations du RGPD si leurs fournisseurs sous-traitent des données à des modèles d'IA non déclarés dans les DPA, contournant les obligations de traçabilité et de transparence imposées par le règlement européen.

💬 63% des éditeurs IA ne mentionnent aucun sous-traitant dans leur DPA, le chiffre est difficile à avaler. Ton outil de recrutement SaaS audité côté Anthropic peut très bien envoyer tes CV à OpenAI et Gemini en parallèle, sans que rien n'apparaisse dans aucun contrat. Le DPA comme unique référence de risque, c'est fini.

ÉthiqueReglementation
1 source
Microsoft, Meta et xAI collectent des données d'entraînement auprès de leurs propres employés
3The Information AI 

Microsoft, Meta et xAI collectent des données d'entraînement auprès de leurs propres employés

Microsoft, Meta et xAI ont recours à une source de données d'entraînement peu conventionnelle pour leurs modèles d'intelligence artificielle : leurs propres salariés. Microsoft est la dernière entreprise à avoir formalisé cette approche, en annonçant qu'elle prévoit d'exploiter le code propriétaire produit par ses quelque 100 000 ingénieurs logiciels pour entraîner ses modèles de programmation. Cette stratégie s'inscrit dans une tendance plus large observée chez les grands acteurs du secteur, qui cherchent à contourner la pénurie de données de qualité sur le marché ouvert. L'enjeu est considérable pour Microsoft, dont GitHub Copilot a perdu une partie de son avance initiale face à des concurrents comme Anthropic ou Cursor. En mobilisant les productions internes de ses développeurs, l'entreprise espère constituer un corpus de données riche, contextualisé et propriétaire, que ses rivaux ne peuvent tout simplement pas répliquer. Pour les salariés concernés, cette pratique soulève des questions sur la propriété intellectuelle et le consentement éclairé : leurs contributions professionnelles quotidiennes deviennent du carburant pour des systèmes commerciaux. Ce phénomène révèle une tension croissante dans l'industrie de l'IA : les jeux de données publics s'épuisent ou font l'objet de litiges juridiques, forçant les entreprises à se tourner vers des données internes ou synthétiques. Meta et xAI ont adopté des démarches similaires, transformant leurs effectifs en contributeurs involontaires à l'effort d'entraînement. La question de la gouvernance de ces données employés, et des droits qui s'y rattachent, devrait s'imposer comme un nouveau terrain de friction entre entreprises, syndicats et régulateurs dans les mois à venir.

UELa collecte de données professionnelles d'employés à des fins d'entraînement sans consentement explicite pourrait tomber sous le coup du RGPD, ouvrant la voie à des enquêtes des autorités européennes de protection des données et à de nouveaux contentieux syndicaux en Europe.

ÉthiqueOpinion
1 source
4Next INpact 

☕️ OkCupid épinglé pour un transfert de photos d’utilisateurs vers une société d’IA

En mars 2026, OkCupid et sa maison mère Match Group ont conclu un accord avec la Federal Trade Commission (FTC) américaine après la révélation que le site de rencontres avait transmis illégalement les données de ses utilisateurs à une société d'intelligence artificielle. Au cœur de l'affaire : 3 millions de photos d'utilisateurs, accompagnées de données démographiques et de géolocalisation, livrées à Clarifai, une entreprise spécialisée dans la reconnaissance faciale. Les faits remontent à 2014, lorsque Matthew Zeiler, fondateur de Clarifai, contactait Maxwell Khron, cofondateur d'OkCupid, pour obtenir un accès massif aux données du site, dont des dirigeants d'OkCupid étaient par ailleurs actionnaires. Ce transfert s'est effectué sans aucune restriction sur l'usage ultérieur des informations, sans notification aux utilisateurs et sans possibilité pour eux de s'y opposer. L'accord avec la FTC, finalisé fin mars 2026, oblige OkCupid et Match à ne plus induire en erreur leurs membres sur l'utilisation de leurs données personnelles, mais n'implique aucune sanction financière, la FTC ne disposant pas de ce pouvoir. Le scandale illustre une pratique qui touche directement des millions de personnes ayant confié leurs photos et informations intimes à une plateforme de rencontres, sans jamais imaginer que ces données alimenteraient des modèles de reconnaissance faciale commerciaux et militaires. Clarifai compte en effet parmi ses clients l'armée américaine, ce qui soulève des questions sérieuses sur l'usage final de ces données biométriques. L'absence totale de consentement, combinée à la violation explicite de la propre politique de confidentialité d'OkCupid, place cet accord dans la catégorie des manquements les plus graves aux droits des utilisateurs : non seulement les règles internes ont été bafouées, mais une loi fédérale interdisant les pratiques commerciales trompeuses l'a également été. L'enquête de la FTC, ouverte en 2019, aura mis cinq ans à aboutir à un règlement qui, pour beaucoup d'observateurs, reste insuffisant face à l'ampleur des faits. Clarifai, qui n'était pas formellement mise en cause dans la procédure, a affirmé avoir supprimé les données reçues d'OkCupid, mais seulement douze ans après les faits, et sans préciser combien de modèles avaient été entraînés sur ces données ni pendant combien de temps ils avaient été utilisés ou commercialisés. L'affaire s'inscrit dans un contexte plus large de monétisation opaque des données issues des applications de rencontres : des enquêtes parallèles ont révélé que des données similaires ont été revendues pour identifier des membres du clergé catholique. Match Group, qui opère également Tinder, Hinge et plusieurs autres plateformes, se retrouve ainsi au centre d'un débat croissant sur la gouvernance des données personnelles sensibles dans le secteur des applications de rencontres.

UELes utilisateurs français et européens de Tinder, Hinge et OkCupid (Match Group) sont concernés par des pratiques de partage de données biométriques similaires potentiellement contraires au RGPD, soulevant des questions sur la gouvernance des données sensibles par les plateformes de rencontres opérant en Europe.

ÉthiqueReglementation
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour

Gratuit · 1 email le matin, l'essentiel de l'IA · désinscription en un clic