La vie privée en IA n'est pas un seul problème — c'est un empilement de problèmes interconnectés qui couvrent l'ensemble du cycle de vie d'un modèle et de tout ce qui le touche. Les données d'entraînement peuvent contenir des informations personnelles récupérées sur le web sans consentement. Le modèle lui-même peut mémoriser et reproduire ces informations textuellement. Les journaux d'inférence capturent ce que les utilisateurs demandent, ce qui révèle souvent bien plus sur eux qu'ils ne le réalisent. Et les modèles d'affaires de nombreux fournisseurs d'IA dépendent de l'utilisation de vos interactions pour améliorer leurs systèmes, ce qui signifie que vos données sont intégrées dans le prochain cycle d'entraînement à moins que vous ne vous excluiez explicitement (et parfois même dans ce cas). Comprendre où la vie privée se brise nécessite d'examiner chaque couche séparément.
Les grands modèles de langage sont entraînés sur des ensembles de données récupérés sur le web ouvert — Common Crawl, les archives Reddit, les forums publics, les blogues personnels, les bases de données fuités qui ont été indexées par les moteurs de recherche. Cela signifie que les données d'entraînement de GPT-4, Claude, Gemini et de tout autre modèle de pointe contiennent de vrais noms, adresses, numéros de téléphone, discussions médicales, documents juridiques et conversations privées que les gens ont publiés sans imaginer qu'ils finiraient à l'intérieur d'un réseau de neurones. Le paysage juridique évolue rapidement ici. L'AI Act européen exige la documentation des sources de données d'entraînement. L'Italie a temporairement banni ChatGPT pour des préoccupations relatives au RGPD. Des recours collectifs sont en cours dans plusieurs juridictions. Mais la réalité technique est qu'une fois que l'information est intégrée dans les poids du modèle par l'entraînement, elle ne peut pas être proprement retirée. Des techniques comme le désapprentissage machine tentent d'oublier sélectivement des données spécifiques, mais elles sont approximatives au mieux — un problème que les régulateurs n'ont pas encore pleinement appréhendé.
Les modèles n'apprennent pas seulement des schémas à partir des données d'entraînement — ils mémorisent parfois des séquences spécifiques textuellement. Des chercheurs de Google DeepMind ont démontré que GPT-3.5 pouvait être amené à émettre des données d'entraînement mémorisées, incluant des numéros de téléphone personnels et des adresses courriel. Les modèles plus grands mémorisent davantage, et les données qui apparaissent fréquemment dans les ensembles d'entraînement sont plus faciles à extraire. Ce n'est pas une préoccupation théorique : si les informations personnelles de quelqu'un sont apparues dans suffisamment de pages web, un prompt suffisamment astucieux peut amener un modèle à les reproduire. La confidentialité différentielle (ajoutant du bruit calibré pendant l'entraînement pour limiter ce qui peut être appris sur un point de données individuel) est la défense technique la plus rigoureuse, mais elle a un coût réel sur la qualité du modèle. Apple utilise la confidentialité différentielle dans ses modèles sur appareil. La plupart des fournisseurs de nuage ne le font pas, parce que le compromis en précision avec les techniques actuelles est trop important pour des modèles de pointe compétitifs.
Même si le problème des données d'entraînement était résolu demain, l'inférence crée sa propre surface de vulnérabilité. Quand vous collez un contrat dans ChatGPT pour en faire un résumé, ce texte atterrit sur les serveurs d'OpenAI. Quand votre entreprise construit un agent conversationnel de support client, chaque interaction client passe par l'infrastructure de votre fournisseur d'IA. Les clients d'entreprise exigent de plus en plus des ententes de traitement des données, la conformité SOC 2 et des garanties contractuelles que leurs données ne seront pas utilisées pour l'entraînement. Les fournisseurs ont répondu : OpenAI, Anthropic, Google et d'autres offrent des niveaux d'entreprise avec des garanties de non-entraînement. Mais l'architecture nécessite toujours d'envoyer des données aux serveurs de quelqu'un d'autre. L'alternative — faire tourner des modèles localement ou dans votre propre environnement infonuagique — devient plus pratique à mesure que les modèles à poids ouverts s'améliorent, mais elle nécessite un investissement technique significatif et signifie typiquement renoncer à l'accès aux modèles les plus performants.
Le domaine ne reste pas immobile. L'apprentissage fédéré permet à plusieurs parties d'entraîner un modèle partagé sans jamais combiner leurs données brutes — vos données restent sur votre appareil ou votre serveur, et seules les mises à jour du modèle sont partagées. Le chiffrement homomorphe, autrefois considéré comme trop lent pour un usage pratique, atteint le point où certaines charges d'inférence peuvent s'exécuter sur des données chiffrées sans jamais les déchiffrer. Les modèles sur appareil comme ceux d'Apple Intelligence traitent les tâches sensibles localement, ne recourant au nuage que pour les requêtes qui dépassent la capacité locale. La génération augmentée par récupération vous permet de garder les documents sensibles dans votre propre infrastructure et d'injecter le contexte pertinent au moment de l'inférence sans qu'il entre dans le pipeline d'entraînement. Aucune de ces approches ne résout tout, et la plupart impliquent des compromis en coût, latence ou qualité du modèle. Mais elles représentent un véritable virage de « faites-nous confiance avec vos données » vers des architectures où la vie privée est assurée par la conception plutôt que par la seule politique.