Outils & IA7 min de lecture

Peut-on envoyer des documents à ChatGPT sans risque ?

Envoyer un PDF à ChatGPT n'est pas plus sûr qu'un copier-coller : le fichier part sur les serveurs d'OpenAI, peut servir à l'entraînement et survivre à une suppression. La parade.

Par Pierre de ONYRI

Envoyer un document à ChatGPT n'est pas plus sûr que d'en coller le texte : le fichier est transmis aux serveurs d'OpenAI et conservé dans votre compte exactement comme un message. Sur les comptes grand public (Free et Plus), son contenu peut servir par défaut à l'entraînement des modèles, sauf refus explicite. Et même supprimé, un fichier peut être retenu environ 30 jours — voire bien plus en cas d'obligation légale. Or un PDF de contrat ou de finance concentre bien plus de données sensibles qu'un simple prompt. La seule protection certaine : retirer ou caviarder le sensible avant l'envoi.

Ce qui arrive à un fichier envoyé à ChatGPT

Un fichier — PDF, image, tableur — déposé dans ChatGPT est traité comme n'importe quel autre contenu de conversation : il monte sur les serveurs d'OpenAI et reste rattaché à votre compte, au même titre qu'un texte collé dans le champ de message. Le geste « téléverser » ne crée donc aucune bulle protégée : il n'offre aucune garantie supplémentaire par rapport à un copier-coller. La différence, c'est le volume — un document apporte d'un coup tout ce qu'il contient.

Entraînement, rétention : ce qui se passe par défaut

Sur les comptes Free et Plus, le contenu des conversations et des fichiers peut alimenter par défaut l'amélioration des modèles d'OpenAI — sauf si vous désactivez explicitement l'option. À l'inverse, les offres Enterprise, Business, Edu et l'API n'utilisent pas les données pour l'entraînement par défaut. Pour refuser côté grand public, il faut ouvrir Paramètres → Contrôles des données et couper « Améliorer le modèle pour tout le monde » ; ce refus ne vaut que pour les conversations futures, pas rétroactivement.

La suppression, elle, n'est pas instantanée. Une fois l'entraînement désactivé ou une conversation effacée, les données ne disparaissent pas immédiatement : un chat ou un fichier supprimé est conservé puis retiré des systèmes d'OpenAI sous un délai d'environ 30 jours, sauf obligation de conservation pour des raisons de sécurité ou légales. Le mode « Temporary Chat » garde l'échange hors de l'historique et de la mémoire, mais ce n'est pas une garantie d'absence totale de traitement, ni une dispense des autres obligations de conservation. (cf. OpenAI Help Center — Chat and File Retention Policies in ChatGPT, et Data Controls FAQ.)

  1. 1Paramètres → Contrôles des données → désactiver « Améliorer le modèle pour tout le monde » : vos futurs envois cessent d'alimenter l'entraînement.
  2. 2Préférer les comptes Enterprise, Business, Edu ou l'API si la confidentialité est critique (pas d'entraînement par défaut).
  3. 3Garder en tête qu'un fichier supprimé reste conservé environ 30 jours, et davantage en cas d'obligation légale.

Pourquoi un document supprimé peut survivre

Le délai de 30 jours n'est pas un plafond absolu. Une décision de justice rendue dans le litige The New York Times contre OpenAI a contraint l'éditeur à préserver des journaux de conversations ChatGPT — y compris des échanges que les utilisateurs pensaient supprimés. L'ordonnance, datée du 13 mai 2025, visait les comptes Free, Plus, Pro et Team ainsi que l'usage de l'API sans accord de « Zero Data Retention » ; le tribunal a ordonné la production d'un échantillon anonymisé de plus de 20 millions de logs. Seules les offres à rétention nulle et certaines offres entreprise y échappaient. Autrement dit, un contenu envoyé peut survivre à une suppression et passer hors de votre contrôle. (cf. Ars Technica — « OpenAI says court forcing it to save all ChatGPT logs is a privacy nightmare ».)

Schéma : en haut, un document (PDF) chargé dans ChatGPT en clair (ambre) part sur les serveurs et y est conservé avec ses données sensibles visibles ; en bas, le même document caviardé ne laisse passer que des jetons (cobalt) et une coche, sans rien d'exploitable à stocker.
D'après Nightfall AI (stockage, rétention, entraînement), Fortune (fuite Samsung) et Thurrott / Ars Technica (logs préservés dans l'affaire New York Times), ainsi que les politiques d'OpenAI (rétention, contrôles des données).

Un PDF expose plus qu'un prompt : l'exemple Samsung

Un contrat, un dossier financier ou un compte rendu interne concentre bien plus de données sensibles qu'un prompt rédigé à la main : noms, adresses, RIB/IBAN, identifiants fiscaux, montants, clauses confidentielles ou secrets d'affaires y figurent souvent tous dans un même fichier. L'impact d'une fuite ou d'une réutilisation est donc démultiplié. En avril 2023, des ingénieurs de Samsung en ont fait l'expérience : un employé a collé du code source propriétaire pour le déboguer, un autre du code lié à des équipements de semi-conducteurs, un troisième le contenu d'une réunion interne pour en générer un compte rendu. Samsung a réagi en restreignant l'usage des IA génératives, sous peine de sanctions pouvant aller jusqu'au licenciement.

Vous pensezLa réalité
« Téléverser un PDF est plus sûr qu'un copier-coller »Le fichier est traité et stocké exactement comme du texte collé
« Mon document ne sert pas à l'entraînement »Sur Free/Plus, il y sert par défaut sauf refus explicite
« Je supprime le fichier, il est effacé »Conservé ~30 jours, et davantage en cas d'obligation légale
« Un document, c'est comme un prompt »Il concentre noms, IBAN, montants et clauses d'un seul coup
Le geste « téléverser » ne crée aucune protection supplémentaire.

La parade : anonymiser avant d'envoyer

Puisque ni l'entraînement, ni la rétention, ni la survie d'un fichier supprimé ne sont entièrement sous votre contrôle, la seule garantie porte sur le contenu. Les sources spécialisées recommandent de retirer ou caviarder les informations sensibles avant tout envoi, ou de recourir à la pseudonymisation pour qu'aucune donnée réelle ne soit transmise — n'envoyer que du contenu anonymisé ou résumé plutôt qu'un document brut. Si le fichier ne contient aucune donnée sensible en clair, ni l'entraînement ni un stockage prolongé n'exposent quoi que ce soit d'exploitable.

  • Faites le réglage d'opt-out : c'est une bonne hygiène de base.
  • Mais ne comptez pas dessus pour un contrat ou un dossier financier.
  • Caviardez ou pseudonymisez noms, IBAN, identifiants et secrets avant l'envoi.

C'est exactement le rôle d'ONYRI Sanitize, côté texte comme côté tableaux : le moteur repère les données sensibles d'un document et les remplace par des jetons réversibles avant l'envoi ; la détection et le mapping restent dans votre navigateur, et seul un texte anonymisé atteint ChatGPT. Que le fichier serve à l'entraînement, soit conservé 30 jours ou réclamé par un tribunal, il n'y reste que des jetons — pas vos informations réelles. Pour aller plus loin, voir notre guide pour anonymiser un document avant de le confier à une IA.

Questions fréquentes

Peut-on envoyer des documents à ChatGPT sans risque ?
Pas en l'état : un fichier (PDF, image, tableur) envoyé dans ChatGPT est traité et stocké comme du texte collé, peut servir par défaut à l'entraînement sur les comptes Free et Plus, et reste conservé environ 30 jours après suppression. Un document brut n'est sûr que s'il a été anonymisé ou caviardé avant l'envoi.
Mes fichiers ChatGPT servent-ils à entraîner les modèles ?
Sur les comptes grand public (Free et Plus), oui par défaut, sauf si vous désactivez « Améliorer le modèle pour tout le monde » dans Paramètres → Contrôles des données. Les offres Enterprise, Business, Edu et l'API n'utilisent pas les données pour l'entraînement par défaut. Le refus ne vaut que pour l'avenir, pas rétroactivement.
Un document supprimé de ChatGPT est-il vraiment effacé ?
Pas immédiatement : un fichier supprimé est conservé puis retiré sous environ 30 jours, sauf obligation de sécurité ou légale. Une décision de justice dans l'affaire New York Times contre OpenAI a d'ailleurs contraint l'éditeur à préserver des logs que des utilisateurs pensaient supprimés.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi