Le problème du copier-coller
77 % des utilisateurs professionnels d'IA copient-collent des données dans leurs requêtes de chatbot. Ce n'est pas un comportement marginal. C'est la façon dont les employés utilisent les outils d'IA au travail.
Le schéma est simple. Un employé fait face à une tâche. Il ouvre un document, copie le texte pertinent et le colle dans ChatGPT. Il obtient une réponse utile.
Ce flux de travail ne filtre pas les données personnelles. Le collage intervient avant qu'il se demande : « est-ce que cela contient des données à caractère personnel ? » Au moment où il lit la réponse de l'IA, la transmission est déjà effectuée.
La recherche Cyberhaven révèle que près de 40 % des fichiers téléchargés vers les outils d'IA contiennent des données PII ou PCI. La plupart de ces téléchargements ne sont pas imprudents. Les employés travaillent avec le fichier qui leur a été assigné. Les données clients qu'il contient sont accessoires.
Pourquoi la formation ne tient pas à l'échelle
La formation aux politiques se heurte à une limite structurelle. Elle tente de modifier des comportements habituels par des interventions éducatives périodiques.
L'intervalle entre les sessions de formation est le problème. La plupart des programmes d'entreprise se déroulent annuellement. Un employé formé à la gestion des données IA en janvier agit par habitude en octobre. La mémorisation s'érode. Les habitudes persistent.
La mise à jour proposée de la règle de sécurité HIPAA en mars 2025 reflète cela. Elle impose des audits annuels de chiffrement — pas seulement des formations annuelles. Les régulateurs attendent des contrôles techniques comme mesure de protection principale. La formation est le complément.
Les outils d'IA aggravent le problème de formation. Le comportement est nouveau. Les employés n'ont pas développé d'habitudes de gestion des données IA il y a dix ans comme ils l'ont fait avec l'e-mail. Et la fuite est invisible. L'employé voit une réponse utile. Pas de message d'erreur. Pas de retour négatif immédiat.
Sans retour, le comportement ne se corrige pas.
Comment une extension Chrome intercepte le collage
L'extension Chrome opère au niveau du presse-papiers. Elle se place entre l'action de copie et le champ de saisie de l'outil d'IA.
Le fonctionnement est le suivant. L'employée copie du texte depuis son application de travail. Elle bascule vers l'onglet ChatGPT et colle. L'extension détecte les données PII dans le contenu du presse-papiers au moment du collage — avant que le contenu n'apparaisse dans le champ de saisie.
Une fenêtre de prévisualisation apparaît. Elle montre exactement ce qui sera modifié :
« Nom du client 'Maria Schmidt' → '[PERSON_1]' ; E-mail 'maria.schmidt@company.de' → '[EMAIL_1]' »
L'employée peut poursuivre avec la version anonymisée. Elle peut aussi annuler si le remplacement ne convient pas à sa tâche.
Cette conception remplit deux fonctions. Premièrement, elle est transparente. Les employés voient ce que l'outil fait. Cela crée de la confiance et évite la perception que les contrôles de confidentialité sont de la surveillance. Deuxièmement, elle rend la décision de classification explicite. Un humain confirme chaque étape d'anonymisation. La décision n'est pas automatisée.
Un exemple concret
L'équipe support client d'une entreprise européenne de e-commerce utilise ChatGPT pour rédiger des réponses. Les agents collent des e-mails clients contenant des noms, numéros de commande et adresses.
Avec l'extension active, chaque collage déclenche une vérification d'anonymisation. L'agent soumet une requête anonymisée. La réponse de ChatGPT fait référence aux jetons anonymisés. L'agent lit les suggestions et les intègre dans la réponse réelle.
La qualité du support reste élevée. La minimisation des données selon l'article 5 du RGPD est respectée. Les données personnelles du client n'atteignent jamais les serveurs d'OpenAI.
La formation aux politiques ne peut pas produire ce résultat. Un contrôle technique au niveau du presse-papiers le peut.
La politique comme complément, pas contrôle principal
La formation aux politiques a sa place. Elle fixe des attentes. Elle crée une sensibilisation de base. Mais elle ne peut pas intercepter un collage en temps réel.
La mise à jour de la règle HIPAA indique la direction de la conformité. Des contrôles techniques auditables, pas seulement des programmes de formation documentés. Les entreprises qui s'appuient uniquement sur la formation ont un écart d'audit qu'une couche technique peut seule combler.
Voir aussi :
- IA : Le vecteur #1 d'exfiltration de données
- DLP navigateur pour ChatGPT, Claude et Gemini — Comparaison d'outils 2026