Grammarly est-il sûr avec vos données ?
Grammarly envoie votre texte dans le cloud pour l'analyser et son extension lit vos pages. Voici les faits, les zones à risque et comment garder le contrôle.
Voici la réponse en une phrase. Grammarly n'est pas malveillant, mais il voit beaucoup de ce que vous tapez. Un assistant d'écriture lit le texte dans les champs où il est actif. Vos e-mails. Vos documents. Vos messages. Pour vous suggérer des corrections, il envoie souvent ce texte vers ses serveurs dans le cloud. Vos brouillons peuvent donc quitter votre appareil. Grammarly déclare disposer d'un vrai programme de sécurité. C'est rassurant, mais cela ne change pas l'architecture. Pour un texte vraiment confidentiel, la bonne habitude est simple : anonymisez les identifiants avant qu'un assistant ne les lise.
Comment un assistant d'écriture voit votre texte
Le principe est simple. Pour corriger une phrase, l'outil doit d'abord la lire. Grammarly fonctionne dans les champs où vous l'avez activé. Un e-mail. Un document en ligne. Une boîte de chat. Un formulaire. Là où il est actif, il voit ce que vous écrivez.
L'analyse ne se fait pas toujours sur votre appareil. Pour générer ses suggestions, l'outil transmet en général votre texte vers ses serveurs cloud. C'est là que se fait le calcul. Conséquence directe : un brouillon confidentiel peut quitter votre machine. Grammarly précise que son logiciel n'inspecte le texte que pendant que vous utilisez activement un produit Grammarly. Là où il n'est pas actif, il ne lit rien, selon l'entreprise.
Ce que Grammarly déclare sur la sécurité
Soyons justes : Grammarly publie un programme de sécurité détaillé. Sur son Trust Center, l'entreprise déclare ne pas vendre votre contenu à des tiers. Son modèle repose sur des abonnements payants, pas sur la revente de vos textes. Elle décrit un chiffrement en transit (TLS) et au repos (AES-256). Elle mentionne un accès interne restreint et des audits indépendants, dont des rapports SOC 2 Type 2 et SOC 3. Elle affiche aussi une conformité déclarée au RGPD et à HIPAA (la loi américaine sur les données de santé).
Sur l'entraînement, Grammarly déclare offrir un contrôle. Un réglage « Product Improvement and Training » (amélioration du produit et entraînement) peut être désactivé dans votre compte. Une fois coupé, votre contenu n'est pas utilisé pour améliorer ses modèles, selon l'entreprise. Grammarly indique aussi qu'un petit échantillon de texte traité passe par des étapes de dé-identification ou d'agrégation avant un stockage limité dans le temps.
Un dernier point compte : les conditions ne sont pas les mêmes selon la formule. Un compte personnel, une équipe et une entreprise n'ont pas les mêmes termes.
- Compte personnel : conditions grand public standard, peu de contrôle administratif.
- Formule équipe (business) : protections contractuelles ajoutées et contrôles pour l'administrateur.
- Formule entreprise : le plus haut niveau de garanties contractuelles et de gouvernance.
- Pour un usage professionnel, la formule business ou entreprise est plus adaptée qu'un compte personnel.
L'extension navigateur lit vos pages
L'extension navigateur lit le contenu des pages par conception. C'est ainsi qu'elle vérifie ce que vous tapez. Donc son périmètre de permissions compte. OWASP, une autorité reconnue en sécurité applicative, l'explique clairement. Une extension avec des permissions larges peut accéder au contenu des pages. Cela inclut vos e-mails, vos conversations, vos documents et vos champs de formulaire, sur les sites autorisés.
OWASP souligne aussi le vrai danger. Une permission du type « lire et modifier toutes vos données sur tous les sites » devient une exposition sérieuse si l'extension est un jour compromise. Un attaquant hériterait alors du même accès. La leçon n'est pas de bannir l'outil. C'est de connaître son périmètre et de le restreindre.
Le cadre légal : qui traite votre texte
Le droit encadre déjà ce sujet. L'ICO est le régulateur britannique de la protection des données. Sous le RGPD, comme il l'explique, toute organisation qui décide de la finalité d'un traitement en devient responsable. Elle doit avoir une base légale. Elle doit être transparente et loyale. Et elle doit limiter les données au strict nécessaire.
C'est le cadre qui régit un service traitant le texte que vous saisissez. Et c'est pourquoi savoir ce qu'un outil envoie et conserve importe vraiment. Surtout pour un contenu juridique, médical, financier ou confidentiel.
| Zone à risque | Le geste qui protège |
|---|---|
| Brouillon juridique (contrat, litige) | Désactiver l'assistant sur ces pages ; anonymiser les noms et parties |
| Notes médicales ou dossier patient | Ne pas taper d'identifiant en clair ; masquer avant analyse |
| Chiffres financiers non publiés | Retirer montants et identifiants ; préférer les conditions business |
| Texte d'entreprise confidentiel | Revoir l'accès par site de l'extension ; anonymiser les identifiants |
Comment garder le contrôle
Bonne nouvelle : vous gardez la main. Un assistant d'écriture reste utile au quotidien. Il suffit de le cadrer. Voici les gestes concrets, du plus simple au plus fort.
- 1Désactivez l'assistant sur les sites et champs sensibles (juridique, médical, RH, finance).
- 2Ouvrez les réglages de l'extension et revoyez son accès par site ; limitez-le au strict utile.
- 3Pour le travail, choisissez les conditions business ou entreprise, pas un compte personnel.
- 4Vérifiez le réglage d'entraînement dans votre compte et coupez-le si vous le souhaitez.
- 5Pour un brouillon vraiment confidentiel, anonymisez les identifiants avant toute analyse.
Ces gestes couvrent l'essentiel. Mais pour un texte vraiment confidentiel, le plus sûr reste de ne jamais laisser un identifiant en clair passer par un service cloud.
C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles — noms, montants, identifiants, secrets — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. L'assistant ne voit que des jetons, jamais vos vraies valeurs. Vous gardez l'aide à l'écriture, sans exposer le brouillon que vous vouliez garder pour vous.
Questions fréquentes
- Grammarly est-il sûr avec vos données ?
- Grammarly n'est pas malveillant et publie un vrai programme de sécurité : chiffrement, audits SOC 2/3, et il déclare ne pas vendre votre contenu. Mais pour corriger votre texte, il l'envoie souvent dans le cloud, et son extension lit vos pages par conception. Pour un contenu juridique, médical, financier ou confidentiel, désactivez-le sur les sites sensibles et anonymisez les identifiants avant l'analyse.
- Grammarly utilise-t-il mon texte pour entraîner ses modèles ?
- Grammarly déclare offrir un réglage « Product Improvement and Training » que vous pouvez désactiver dans votre compte, pour que votre contenu ne serve pas à améliorer ses modèles. Les politiques évoluent, donc vérifiez la formulation en direct sur grammarly.com/trust. En pratique, coupez ce réglage et anonymisez tout texte vraiment sensible avant de le saisir.
- L'extension Grammarly peut-elle lire tout ce que je tape ?
- L'extension lit le contenu des pages où elle est active — c'est ainsi qu'elle vérifie votre texte. OWASP rappelle qu'une extension avec des permissions larges peut accéder aux e-mails, chats, documents et formulaires des sites autorisés, et que cet accès devient risqué si elle est compromise. Revoyez son accès par site et limitez-le aux pages non sensibles.
Sources et références
- The Grammarly User Trust Center — Security, Privacy & Compliance (chiffrement, audits SOC 2/3, position sur le contenu et l'entraînement) — Grammarly
- Browser Extension Vulnerabilities Cheat Sheet (permissions larges, accès au contenu des pages, risque en cas de compromission) — OWASP
- A guide to lawful basis for processing personal data (responsable de traitement, base légale, transparence, minimisation) — UK Information Commissioner's Office (ICO)
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt