Fondamentaux7 min de lecture

L'IA partage-t-elle vos données avec des tiers ?

OpenAI dit ne pas « vendre » vos données, mais sa politique autorise leur partage avec sous-traitants, affiliés, autorités légales et lors d'un rachat.

Par Pierre de ONYRI

Réponse nuancée : les grands fournisseurs d'IA déclarent ne pas « vendre » vos données personnelles — la politique de confidentialité US d'OpenAI l'écrit noir sur blanc, et Anthropic dit de même —, mais leurs politiques autorisent explicitement le partage avec des tiers dans plusieurs cas précis : prestataires et sous-traitants (hébergement, sécurité, paiement), affiliés du même groupe, divulgation pour raisons légales (réquisitions, obligations), et transfert lors d'une fusion ou d'un rachat. S'ajoute le partage que vous déclenchez vous-même, comme les liens de conversation rendus publics. « Pas de vente » n'est donc pas « pas de partage ».

« Vendre » vos données : ce que les fournisseurs disent vraiment

Sur la requête « OpenAI vend-il vos données », la réponse officielle est non : la politique de confidentialité US d'OpenAI affirme « We don't 'sell' Personal Data », et Anthropic indique de même ne pas vendre les données de ses utilisateurs. Mais « vendre » a un sens juridique étroit. Ne pas vendre n'interdit pas de partager : les mêmes politiques décrivent ensuite plusieurs catégories de tiers à qui les données peuvent être transmises. La nuance compte, parce qu'un utilisateur qui lit « nous ne vendons pas » en conclut souvent, à tort, que rien ne sort.

Avec qui vos données sont réellement partagées

Au-delà du fournisseur lui-même, plusieurs catégories de tiers apparaissent dans les politiques :

  • Prestataires et sous-traitants : hébergement, sécurité, paiement et partenaires qui aident à faire tourner le service (catégorie « fournisseurs » chez OpenAI, « service providers » et « business partners » chez Anthropic pour Claude).
  • Affiliés : les entités du même groupe corporate, citées par les deux fournisseurs.
  • Autorités et tiers pour raisons légales : pour se conformer à la loi, répondre à une obligation, défendre des droits, détecter ou prévenir une fraude, ou en cas d'urgence mettant en jeu un danger de mort ou de blessure grave.
  • Repreneurs : en cas de fusion, acquisition, réorganisation, faillite ou cession d'actifs, les données peuvent être divulguées en diligence raisonnable puis transférées au successeur.
  • Partenaires marketing : un partage d'identifiants limités (cookie IDs, device IDs) introduit récemment chez OpenAI pour la publicité tierce — sans le contenu des conversations.

Sur ce dernier point, la politique de confidentialité US d'OpenAI mise à jour (en vigueur au 30 avril 2026) formalise la réception de données d'achat venant d'annonceurs et le partage d'identifiants avec des « marketing partners ». OpenAI précise toutefois que le contenu de vos conversations n'est pas partagé avec les annonceurs : seules des métriques agrégées (vues, clics) le sont. Adweek a couvert ce virage sous le titre « OpenAI is Now Sharing Its Users' Data With Advertisers ».

Le partage que vous déclenchez vous-même

Tout le partage ne vient pas du fournisseur. En 2025, des conversations ChatGPT partagées via la fonction « Share » se sont retrouvées indexées par Google, Bing et d'autres moteurs. Ce n'était pas un comportement par défaut : il fallait cliquer « share », puis « create link », puis cocher « rendre ce chat découvrable » (« Make this chat discoverable »). Mais des chats exposés contenaient des CV, des profils LinkedIn traçables et des détails personnels. OpenAI a qualifié cela d'expérience de courte durée et a retiré la fonctionnalité quelques heures après sa médiatisation, déclarant qu'elle « introduisait trop d'occasions de partager accidentellement des choses non voulues ».

Les fonctionnalités agentiques et les intégrations tierces créent d'autres flux : quand vous connectez un service externe, des données partent vers ce tiers, et le fournisseur d'IA précise qu'il ne contrôle pas et n'est pas responsable des pratiques de ce service — Anthropic invite à lire la politique de chaque tiers avant d'activer une intégration de Claude.

Schéma : en haut, une conversation contenant des données sensibles (ambre) se diffuse vers plusieurs tiers — sous-traitant, autorité, repreneur, partenaire marketing ; en bas, une conversation anonymisée ne propage que des jetons (cobalt) avec une coche, rien d'exploitable à partager.
D'après TechCrunch (liens ChatGPT indexés), PPC Land (politique OpenAI) et Cape (politique de Claude), et les politiques d'OpenAI (US Privacy Policy, Government User Data Request Policy) et d'Anthropic.

Ce qui dépend du palier — et la parade

La portée du partage varie selon le produit et le palier. Chez OpenAI, les cookies marketing sont activés par défaut pour le tier d'entrée, mais les abonnés Plus et Enterprise en sont exemptés, et chacun peut se désinscrire (Manage Cookies, Global Privacy Control). Pour les offres entreprise et l'API, les inputs et outputs ne servent pas par défaut à entraîner les modèles. Mais les paliers ne changent rien à la divulgation légale ni au partage que vous déclenchez vous-même.

  1. 1Vérifiez votre palier et vos réglages cookies — c'est une bonne hygiène, mais ça ne couvre que le volet publicitaire.
  2. 2Ne comptez pas sur « nous ne vendons pas » pour une donnée vraiment sensible : le partage légal et opérationnel reste possible.
  3. 3Anonymisez ce qui pourrait être transmis — noms, emails, identifiants, clés API, données financières — avant de le coller dans l'outil.
Vous pensezLa réalité
« OpenAI ne vend pas, donc rien ne sort »Pas de vente, mais partage avec sous-traitants, affiliés, autorités
« Mes conversations restent privées par défaut »La fonction « Share » a rendu des chats indexables par Google
« Un rachat ne concerne pas mes données »Les données peuvent être transférées au repreneur avec les actifs
« Le contenu de mes chats part aux annonceurs »Non — seuls des identifiants et métriques agrégés sont partagés
« Pas de vente » n'est pas « pas de partage » : la nuance change la décision de ce qu'on colle dans l'outil.

La parade tient en une idée : puisque le risque porte sur les données que vous saisissez ou partagez, retirez le sensible avant l'envoi. Qu'il s'agisse d'un partage déclenché par le fournisseur (sous-traitants, partenaires, divulgation légale, rachat) ou par vous-même (lien de partage indexable), un texte sans donnée en clair ne révèle rien d'exploitable, où qu'il aille.

C'est exactement le rôle d'ONYRI Sanitize : le moteur remplace les données sensibles par des jetons réversibles avant l'envoi ; la détection et le mapping jeton↔valeur restent dans votre navigateur, et seul un texte anonymisé atteint le modèle. Qu'un sous-traitant traite la requête, qu'une réquisition arrive ou qu'un lien soit rendu public, il n'y a que des jetons à partager — pas vos informations réelles.

Questions fréquentes

OpenAI vend-il vos données et ChatGPT les partage-t-il avec des tiers ?
OpenAI déclare ne pas « vendre » les données personnelles, mais sa politique autorise le partage avec des tiers : prestataires et sous-traitants, affiliés, autorités pour raisons légales, repreneurs en cas de rachat, et des partenaires marketing pour des identifiants limités (sans le contenu des conversations). « Pas de vente » ne veut donc pas dire « pas de partage ».
Mes conversations IA peuvent-elles se retrouver publiques ?
Oui, si vous déclenchez le partage. En 2025, des conversations ChatGPT partagées via « Share » puis rendues découvrables se sont retrouvées indexées par Google et d'autres moteurs. OpenAI a retiré la fonctionnalité, mais cela rappelle qu'un partage que vous activez peut exposer des CV, profils et détails personnels.
Comment éviter que mes données sensibles soient partagées ?
Le partage porte sur ce que vous saisissez : anonymisez la donnée sensible avant l'envoi. Un moteur la remplace par un jeton réversible côté navigateur, et le tiers — sous-traitant, autorité, annonceur ou moteur de recherche — ne voit que des jetons, jamais l'information réelle.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi