anonym.legal
Retour au blogSécurité de l'IA

De FEMA à la finance : Pourquoi la politique d'IA...

77 % des employés partagent des données sensibles au travail avec des outils d'IA malgré des politiques l'interdisant.

April 4, 20268 min de lecture
AI data governancetechnical controlsChatGPT policy failureChrome Extension DLPenterprise AI security

Lorsque la politique rencontre le comportement humain

Un entrepreneur gouvernemental sous pression pour traiter les demandes d'aide aux inondations de FEMA a collé des noms, adresses, coordonnées et données de santé des demandeurs de catastrophe dans ChatGPT pour traiter l'information plus rapidement. L'intention n'était pas malveillante — c'était une décision de productivité prise sous pression. Le résultat a été une enquête gouvernementale, une divulgation publique et un incident documenté qui illustre le mode d'échec fondamental de la gouvernance de l'IA uniquement basée sur la politique.

77 % des employés d'entreprise partagent des informations sensibles au travail avec des outils d'IA au moins une fois par semaine malgré des politiques l'interdisant (eSecurity Planet/Cyberhaven 2025). Le chiffre de 77 % ne reflète pas une main-d'œuvre de violateurs de politiques, mais la réalité de l'adoption des outils d'IA : en tant qu'outils de productivité que les travailleurs utilisent de manière réflexe lorsqu'ils sont confrontés à une pression temporelle, à des tâches répétitives ou à des exigences d'analyse complexes.

L'analyse de Cyberhaven pour le T4 2025 a révélé que 34,8 % de toutes les entrées de ChatGPT contiennent des données commerciales confidentielles. Ce chiffre inclut des employés qui sont conscients des politiques d'utilisation de l'IA et n'ont pas l'intention de les violer — ils n'ont tout simplement pas catégorisé les données qu'ils ont collées comme "confidentielles" au moment de le faire.

Le problème de conformité aux politiques

Les politiques d'utilisation de l'IA font face à un écart d'application inhérent. Contrairement aux politiques de contrôle d'accès (qui peuvent être appliquées techniquement par l'authentification) ou aux politiques de classification des données (qui peuvent être appliquées par DLP au niveau de l'e-mail/de stockage), les politiques d'utilisation de l'IA dépendent du jugement humain au moment de l'entrée des données.

Le moment où un employé décide de coller des données clients dans ChatGPT est une décision comportementale qui se prend en une fraction de seconde. L'employé peut ne pas se souvenir de la politique, avoir calculé que le gain d'efficacité l'emporte sur le risque perçu, ou ne pas reconnaître les données comme couvertes par la politique. La formation sur les politiques réduit la fréquence de cette décision mais ne peut pas l'éliminer à grande échelle.

L'incident de FEMA démontre l'archétype : un entrepreneur confronté à un grand volume de demandes, une date limite et un accès à un puissant outil de synthèse. La conformité à la politique nécessitait de choisir le traitement manuel plutôt que l'assistance de l'IA. Sous pression temporelle, l'outil a gagné.

Contrôles techniques au niveau de l'application

La seule approche de gouvernance qui aborde ce mode d'échec opère au niveau technique plutôt qu'au niveau politique. L'extension Chrome intercepte le contenu du presse-papiers avant qu'il n'atteigne toute interface d'IA basée sur le web — ChatGPT, Gemini, Claude.ai, Perplexity, ou autres. L'interception est automatique ; elle ne dépend pas de l'utilisateur se souvenant d'appliquer une politique.

Lorsque l'entrepreneur de FEMA copie les noms et adresses des demandeurs depuis le système de gestion des cas et les colle dans ChatGPT, l'extension détecte les PII dans le contenu du presse-papiers, les anonymise et soumet la version anonymisée. L'entrepreneur voit un modal d'aperçu montrant ce qui sera substitué avant la soumission. L'IA reçoit des données dé-identifiées et peut toujours effectuer la tâche de synthèse. Le nom, l'adresse et les données de santé du demandeur n'atteignent jamais les serveurs de ChatGPT.

Pour les organisations dont les préoccupations en matière de gouvernance de l'IA se concentrent sur les outils de codage (Cursor, GitHub Copilot), le serveur MCP fournit le contrôle équivalent au niveau de l'application. Le code collé dans le contexte du modèle d'IA est intercepté, les identifiants et identifiants propriétaires sont remplacés par des jetons, et l'IA reçoit la version anonymisée. Les deux canaux — IA basée sur le navigateur et IA basée sur l'IDE — peuvent être protégés par des contrôles techniques qui fonctionnent indépendamment du comportement de l'utilisateur.

Le scénario de l'entrepreneur de FEMA aurait eu un résultat différent avec des contrôles techniques en place. L'entrepreneur aurait pu traiter les demandes efficacement ; les données des demandeurs n'auraient jamais atteint ChatGPT ; l'enquête n'aurait pas été déclenchée. La formation sur les politiques n'a pas empêché l'incident. Une couche d'interception technique l'aurait fait.

Sources :

Articles connexes

Sécurité de l'IA

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Sécurité de l'IA

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Sécurité de l'IA

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités