Guide7 min de lecture

Peut-on envoyer une photo de sa pièce d'identité à une IA sans risque ?

Non, ce n'est pas sans risque : une pièce d'identité réunit nom, date de naissance et numéro de document — un trésor pour le vol d'identité. Voici la parade.

Par Pierre de ONYRI

Non — envoyer une photo de sa pièce d'identité à une IA n'est pas sans risque. Une pièce d'identité réunit vos données les plus sensibles. Nom, date de naissance, numéro de document. Souvent une adresse et une photo du visage. C'est un trésor pour le vol d'identité. Une image envoyée à une IA publique est traitée comme le reste. Elle est stockée. Elle peut être relue. Elle peut servir à l'entraînement. Le gain — extraire un texte, remplir un formulaire — ne vaut pas ce risque. La parade est simple : ne jamais téléverser une pièce en clair.

Pourquoi une pièce d'identité vaut de l'or pour un voleur

Commençons par le vol d'identité. La Federal Trade Commission (FTC) est l'agence américaine de protection des consommateurs. Sa définition est simple. C'est quelqu'un qui utilise vos informations personnelles ou financières sans votre accord.

La FTC liste les données que les voleurs détournent. Votre nom et votre adresse. Vos numéros de carte bancaire ou de compte. Votre numéro de sécurité sociale. Vos numéros d'assurance santé. Ce sont exactement les champs qu'une pièce d'identité rassemble.

Avec ces données, un voleur peut faire de vrais dégâts. La FTC en donne la liste :

  • Acheter avec vos cartes de crédit.
  • Ouvrir de nouvelles cartes, ou un abonnement téléphone, électricité ou gaz à votre nom.
  • Voler votre remboursement d'impôts.
  • Décrocher un emploi sous votre identité.
  • Obtenir des soins médicaux à votre place.
  • Se faire passer pour vous s'il est arrêté.

Voilà pourquoi une photo de pièce d'identité est si convoitée. Passeport, permis de conduire, carte nationale. Chacun réunit plusieurs de ces données dans une seule image. Nom complet, date de naissance, numéro de document. Le plus souvent une photo du visage. Souvent aussi une adresse. Un seul document scanné porte donc bien plus de données sensibles qu'un simple prompt texte.

Ce que devient votre image une fois envoyée

Beaucoup pensent que l'image disparaît après usage. Ce n'est pas le cas. Le National Cyber Security Centre (NCSC) est l'agence britannique de cybersécurité. Son constat est net. Une requête envoyée à une IA publique est visible par l'entreprise qui la fournit. Pour ChatGPT, c'est OpenAI.

Le NCSC va plus loin. Ces requêtes sont stockées. Elles serviront presque certainement, un jour, à développer le service ou le modèle. Le fournisseur, ses partenaires ou ses sous-traitants peuvent les lire. Ils peuvent aussi les intégrer à de futures versions du modèle. Votre image d'identité entre dans ce circuit comme n'importe quelle autre donnée.

Le NCSC pose aussi le risque de fuite. Les requêtes stockées peuvent être piratées. Elles peuvent fuiter. Elles peuvent devenir accessibles au public par accident. Et cela peut inclure des informations qui permettent de vous identifier.

OpenAI publie sa propre règle. Sur les offres grand public de ChatGPT — Free, Plus, Pro — le contenu que vous fournissez peut servir à entraîner et améliorer les modèles. Cela inclut les images téléversées. Sauf si vous coupez l'entraînement du modèle dans les réglages. Sur les offres business et entreprise, les données ne servent pas à l'entraînement par défaut. Une photo d'identité téléversée est traitée comme n'importe quel autre contenu.

Schéma en deux temps : en haut, une photo de pièce d'identité en clair (ambre) — visage, nom, date de naissance, numéro de document — part vers un stockage sombre où elle est relue et conservée ; en bas, la même pièce anonymisée ne laisse voir que des jetons (cobalt) et une coche, sans donnée exploitable.
D'après la FTC (vol d'identité), le NCSC (requêtes stockées et lisibles) et l'ICO (le visage comme donnée biométrique).

Votre visage aussi est une donnée sensible

Une pièce d'identité ne porte pas que du texte. Elle porte votre visage. Or une photo de visage est une donnée biométrique. L'Information Commissioner's Office (ICO) est le régulateur britannique de la protection des données. Il traite l'IA, y compris les technologies biométriques, comme un domaine prioritaire.

La raison est claire. Ces technologies peuvent créer un risque élevé pour les droits et libertés des personnes. L'ICO insiste : les données personnelles qui les alimentent doivent être utilisées de façon responsable. Une photo de visage sur une pièce d'identité est une donnée biométrique. Elle relève de la loi britannique sur la protection des données.

Soyons justes. Parfois, l'outil ne conserve pas l'image longtemps. Certaines offres promettent une rétention courte, ou pas d'entraînement. Mais vous n'avez aucun moyen de le vérifier au moment de l'envoi. Et le gain reste faible face au risque. Extraire un numéro ou remplir un champ ne justifie pas d'exposer un document entier.

Vous pensezLa réalité
« L'image sert juste à lire le texte »Elle est stockée et peut servir à l'entraînement du modèle
« Une fois la réponse reçue, l'image disparaît »Le NCSC indique que les requêtes stockées peuvent fuiter
« Ce n'est qu'une photo »C'est une donnée biométrique, encadrée par la loi
« Un prompt texte, une image, même risque »Un scan d'identité concentre bien plus de données qu'un prompt
Une pièce d'identité scannée n'est pas un fichier anodin — c'est un concentré de données sensibles.

La parade : ne jamais envoyer une pièce en clair

La règle tient en une phrase. Ne téléversez jamais une pièce d'identité en clair. Si vous devez traiter le texte d'un document, retirez d'abord les champs sensibles. Ce principe porte un nom : la minimisation des données. Moins vous envoyez de données, moins vous êtes exposé.

  1. 1Repérez les champs sensibles : nom, date de naissance, numéro de document, adresse.
  2. 2Caviardez ou remplacez ces champs avant l'envoi.
  3. 3N'envoyez à l'IA que le strict nécessaire, jamais la pièce entière.
  4. 4Restaurez les vraies valeurs de votre côté, en local.

Faire ce tri à la main est lent et faillible. Un détecteur automatique va plus vite et oublie moins. Les détecteurs d'ONYRI couvrent justement les identités et les numéros de documents.

C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles et les remplace par des jetons réversibles. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. L'IA n'y trouve que des jetons — pas votre nom, ni votre date de naissance, ni votre numéro de pièce. Vous gardez le bénéfice de l'outil sans exposer le document.

Questions fréquentes

Peut-on envoyer une photo de sa pièce d'identité à une IA sans risque ?
Non, ce n'est pas sans risque. Une pièce d'identité réunit nom, date de naissance, numéro de document, souvent une adresse et une photo du visage. C'est un trésor pour le vol d'identité. Une image envoyée à une IA publique est stockée, parfois relue, parfois utilisée pour l'entraînement. Mieux vaut caviarder les champs sensibles avant l'envoi.
Que peut faire un voleur avec une photo de ma pièce d'identité ?
Selon la FTC, la liste est longue. Un voleur peut acheter avec vos cartes. Il peut ouvrir de nouveaux comptes à votre nom. Il peut voler votre remboursement d'impôts. Il peut obtenir des soins ou un emploi sous votre identité. Il peut même se faire passer pour vous. Une pièce d'identité rassemble justement ces données.
ChatGPT utilise-t-il les images que je téléverse ?
Sur les offres grand public (Free, Plus, Pro), OpenAI l'indique. Le contenu fourni, images comprises, peut servir à entraîner et améliorer les modèles. Sauf si vous coupez l'entraînement dans les réglages. Sur les offres business et entreprise, les données ne servent pas à l'entraînement par défaut.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi