Une nouvelle étude montre que les assistants de navigation IA les plus répandus peuvent utiliser des informations bancaires, des dossiers scolaires et même le numéro fiscal des utilisateurs.
PUBLICITÉ
Selon une nouvelle étude, les assistants de navigation à intelligence artificielle (IA) tracent et partagent des données sensibles sur les utilisateurs, notamment des dossiers médicaux et des numéros de sécurité sociale.
Des chercheurs britanniques et italiens ont testé dix des navigateurs dotés d'IA les plus populaires, dont ChatGPT d'OpenAI, Copilot de Microsoft et Merlin AI, une extension pour le navigateur Chrome de Google, dans le cadre de tâches publiques telles que les achats en ligne, ainsi que sur des sites web privés tels que le portail de santé d'une université.
Ils ont découvert que tous les assistants, à l'exception de Perplexity AI, montraient des signes indiquant qu'ils collectaient ces données et les utilisaient pour établir le profil des utilisateurs ou personnaliser leurs services d'IA, ce qui pourrait constituer une violation des règles relatives à la protection de la vie privée.
"Ces assistants de navigation artificielle disposent d'un accès sans précédent au comportement en ligne des utilisateurs dans des domaines de leur vie en ligne qui devraient rester privés", a déclaré Anna Maria Mandalari, auteur principal de l'étude et professeur adjoint à l'University College London, dans un communiqué de presse, "Bien qu'ils soient pratiques, nos résultats montrent qu'ils le sont souvent au détriment de la vie privée des utilisateurs... et parfois en violation de la législation sur la protection de la vie privée ou des conditions d'utilisation de l'entreprise".
Il n'y a aucun moyen de savoir ce qui se passe avec les données de votre navigateur
Les navigateurs intelligents sont des outils qui permettent d'"améliorer" la recherche sur le web grâce à des fonctions telles que les résumés et l'aide à la recherche, selon le rapport.
Pour l'étude, les chercheurs ont accédé à des portails privés et ont ensuite posé aux assistants d'intelligence artificielle des questions telles que "Quel était l'objet de la visite médicale en cours ?" pour voir si le navigateur conservait des données sur cette activité.
Pendant les tâches publiques et privées, les chercheurs ont décrypté le trafic entre les navigateurs d'IA, leurs serveurs et d'autres traceurs en ligne pour voir où allaient les informations en temps réel.
Certains outils, comme Merlin et l'assistant IA de Sider, n'ont pas cessé d'enregistrer l'activité lorsque les utilisateurs sont entrés dans des espaces privés.
Cela signifie que plusieurs assistants "transmettaient à leurs serveurs le contenu intégral de la page web", c'est-à-dire tout contenu visible à l'écran. Dans le cas de Merlin, il a également enregistré les coordonnées bancaires en ligne des utilisateurs, leurs dossiers scolaires et médicaux, ainsi qu'un numéro de sécurité sociale saisi sur un site web fiscal américain.
D'autres extensions, telles que Sider et TinaMind, partageaient avec Google Analytics les invites saisies par les utilisateurs et toute information permettant de les identifier, y compris l'adresse IP (Internet Protocol) de l'ordinateur. L'étude a révélé que cela permettait un "suivi intersite et un ciblage publicitaire potentiels".
Sur les navigateurs Google, Copilot, Monica et Sider, l'assistant ChatGPT a fait des hypothèses sur l'âge, le sexe, les revenus et les centres d'intérêt de l'utilisateur avec lequel il interagissait. Il a utilisé ces informations pour personnaliser les réponses au cours de plusieurs sessions de navigation.
Dans le cas de Copilot, il a stocké l'historique complet des conversations dans l'arrière-plan du navigateur, ce qui a indiqué aux chercheurs que "ces historiques persistent à travers les sessions de navigation".
Selon Anna Maria Mandalari, ces résultats montrent qu'"il n'y a aucun moyen de savoir ce qu'il advient de vos données de navigation une fois qu'elles ont été collectées".
Selon une étude, les navigateurs sont susceptibles d'enfreindre les règles de l'UE en matière de protection des données
L'étude a été menée aux États-Unis et affirme que les assistants d'intelligence artificielle enfreignent les lois américaines sur la protection de la vie privée qui traitent des informations relatives à la santé.
Les chercheurs ont déclaré que les navigateurs enfreignaient probablement aussi les règles de l'Union européenne telles que le règlement général sur la protection des données (RGPD), qui régit la manière dont les données personnelles sont utilisées ou partagées.
Ces conclusions peuvent surprendre les personnes qui utilisent des navigateurs Internet assistés par l'IA, même si elles connaissent les petits caractères.
Dans sa politique de confidentialité pour l'UE et le Royaume-Uni, Merlin indique qu'elle recueille des données telles que les noms, les coordonnées, les identifiants de compte, l'historique des transactions et les informations de paiement. Des données personnelles sont également collectées à partir des invites que les utilisateurs introduisent dans le système ou des enquêtes que la plateforme envoie.
Ces données sont utilisées pour personnaliser l'expérience des personnes qui utilisent le navigateur IA, envoyer des notifications et fournir une assistance aux utilisateurs, poursuit l'entreprise. Elles peuvent également être utilisées pour répondre à des demandes légales.
La page de confidentialité de Sider indique qu'elle recueille les mêmes données et les utilise aux mêmes fins, mais ajoute qu'elles peuvent être analysées pour "mieux comprendre le comportement des utilisateurs" et pour mener des recherches sur de nouvelles fonctionnalités, de nouveaux produits ou de nouveaux services.
L'entreprise précise qu'elle peut partager des informations personnelles, mais qu'elle ne les vend pas à des tiers tels que Google, Cloudflare ou Microsoft. Ces fournisseurs aident Sider à exploiter ses services et sont "contractuellement tenus de protéger vos informations personnelles", poursuit la politique.
Dans le cas de ChatGPT, la politique de confidentialité d'OpenAI indique que les données des utilisateurs de l'UE et du Royaume-Uni sont hébergées sur des serveurs de données situés en dehors de la région, mais que les mêmes droits sont garantis.