Guide8 min de lecture

Peut-on utiliser l'IA pour la recherche utilisateur ? (verbatims, consentement, RGPD)

Oui pour dégager des thèmes, non avec des verbatims bruts : votre participant a consenti à vous, pas à un éditeur d'IA. Anonymisez avant l'envoi.

Par Pierre de ONYRI

La réponse courte : oui pour les thèmes, non avec les verbatims bruts. L'IA sait très bien regrouper des motifs dans un corpus d'entretiens. Mais un verbatim est une donnée personnelle. Votre participant a donné son accord à vous, à votre équipe, à votre étude. Il n'a rien signé pour un éditeur d'IA tiers. Le RGPD appelle ça la limitation des finalités, à l'article 5(1)(b). Vous utilisez les données pour ce que vous aviez annoncé. Et retirer le nom ne suffit pas : l'employeur, le poste et la ville réidentifient la personne. La bonne méthode existe. Anonymisez le verbatim avant l'IA, et dites dans votre formulaire de consentement si vous utilisez des outils d'IA.

Ce qu'un verbatim contient vraiment

Un entretien utilisateur n'est pas un questionnaire. La personne parle librement. Elle raconte son travail, ses outils, ses journées. En chemin, elle lâche des détails que vous n'avez jamais demandés. Ces détails s'accumulent vite dans le fichier texte.

  • Son nom, sa voix, parfois son visage si la séance est enregistrée.
  • Son employeur, son poste, son équipe, la taille de sa structure.
  • Sa ville, son trajet, le fuseau horaire de ses réunions.
  • Ses outils, ses volumes, ses clients, ses chiffres internes.
  • Sa santé, sa famille, son argent, ses opinions — livrés sans qu'on demande.

Le dernier point mérite un arrêt. Un participant explique souvent pourquoi il travaille comme ça. Une pathologie qui impose un rythme. Un parent à charge qui coupe les soirées. Une conviction glissée en passant. Vous n'aviez rien prévu de tout ça. C'est pourtant dans le fichier, mot pour mot.

Votre participant a consenti à vous, pas à une IA

Deux choses portent le même nom. Il faut les séparer. D'un côté, le consentement de recherche : la promesse écrite sur votre formulaire. Qui verra les données, pour quoi faire, combien de temps. De l'autre, la base légale au sens du RGPD, à l'article 6. Beaucoup d'équipes mènent leur recherche utilisateur sur l'intérêt légitime, pas sur le consentement RGPD. Ce sont deux instruments différents.

Cette distinction change la suite. Si votre base légale d'origine était le consentement, l'ICO — le régulateur britannique de la protection des données — décrit des règles de réutilisation plus strictes. En résumé : un usage vraiment nouveau demande un consentement neuf pour cette nouvelle finalité. Sauf si une exception listée s'applique. Si votre base était l'intérêt légitime, la voie de la compatibilité reste ouverte. Mais dans les deux cas, la promesse faite au participant tient toujours.

La limitation des finalités est écrite à l'article 5(1)(b) du RGPD. Les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes. Elles ne sont pas traitées ensuite d'une manière incompatible avec ces finalités. Or voici ce qui se passe en pratique. Vous collectez des verbatims pour les analyser en interne. Puis vous les faites passer par un outil d'IA tiers. C'est un traitement ultérieur. Il doit être confronté à ce que vous aviez annoncé au départ.

L'ICO résume le principe en langage clair. Vous devez être clair dès le départ sur la raison de la collecte. Et sur ce que vous comptez faire des données. Si vous les réutilisez pour une finalité non prévue, le nouvel usage doit être compatible avec l'original avant de vous lancer. L'ICO a mis cette guidance à jour en octobre 2022. Les responsables de traitement doivent désormais se demander si un changement de finalité exige une nouvelle base légale. La base d'origine peut ne pas couvrir le nouvel usage.

Quand aucune exception listée ne s'applique, l'ICO demande une évaluation de compatibilité. Les facteurs qu'elle cite parlent d'eux-mêmes ici. Le lien entre l'ancienne et la nouvelle finalité. Le contexte de la collecte, en particulier votre relation avec la personne et ce qu'elle peut raisonnablement attendre. La nature des données, y compris s'il s'agit de données sensibles. L'ICO note qu'une finalité très différente ou inattendue est probablement incompatible. « Mon entretien sera donné à un modèle d'IA commercial » entre pile dans cette case.

Les données sensibles s'invitent toutes seules

L'article 9(1) du RGPD pose une interdiction de principe. On ne traite pas les catégories particulières de données personnelles, sauf exception prévue. La liste est précise.

  • L'origine raciale ou ethnique.
  • Les opinions politiques.
  • Les convictions religieuses ou philosophiques.
  • L'appartenance syndicale.
  • Les données génétiques.
  • Les données biométriques traitées aux fins d'identifier une personne de manière unique.
  • Les données concernant la santé.
  • Les données concernant la vie sexuelle ou l'orientation sexuelle.

Une précision utile : les condamnations pénales ne sont pas à l'article 9. Elles relèvent de l'article 10. Le reste de la liste, en revanche, tombe dans les entretiens tout seul. Un participant explique une contrainte par une maladie. Un autre justifie un horaire par une situation familiale. Votre étude n'avait jamais prévu de collecter ça. Le verbatim, lui, l'a enregistré.

Les enregistrements demandent de la rigueur, pas des raccourcis. Une captation de visage ou de voix n'est pas automatiquement une donnée de l'article 9. L'article 9 vise les données biométriques traitées aux fins d'identifier une personne de manière unique. Une séance analysée pour dégager des thèmes UX n'entre en général pas dans ce cadre. Trois choses restent vraies malgré tout. L'enregistrement brut est une donnée personnelle. Il est bien plus dur à anonymiser qu'un texte. Et il bascule sous l'article 9 dès qu'un traitement en aval fait de la reconnaissance vocale ou faciale. Conclusion pratique : gardez les enregistrements hors des IA grand public.

Retirer le nom ne rend pas un verbatim anonyme

Le RGPD donne le test au considérant 26. Pour savoir si une personne est identifiable, il faut prendre en compte l'ensemble des moyens raisonnablement susceptibles d'être utilisés. Par le responsable de traitement, ou par une autre personne. Pour l'identifier directement ou indirectement. L'individualisation compte : isoler quelqu'un dans un ensemble suffit. Retirer le nom ne règle donc rien à soi seul. La question est de savoir si le reste isole encore la personne.

Le UK Data Service, le service de données de la recherche britannique, dit la même chose côté méthode. Supprimer les identifiants directs est le minimum obligatoire. Ensuite, il faut examiner les identifiants indirects les plus révélateurs. Les dates précises. Les villes. Il faut aussi évaluer si des combinaisons d'identifiants indirects deviennent révélatrices. Son exemple de sous-anonymisation est frappant. Une localisation et un délai laissés en clair (« à 20 minutes de chez moi, à Norwich ») gardent le verbatim identifiant. Même après une première passe de caviardage.

Faites le calcul sur un cas type. Vous retirez le nom. Il reste : responsable produit, éditeur de logiciel de 40 personnes, Lyon, passée par tel secteur. Combien de personnes correspondent ? Souvent une seule. Votre verbatim n'est pas anonyme, il est juste dénominé.

Ce qu'on croitCe que dit la règle
« J'ai retiré le nom, donc c'est anonyme »Le considérant 26 regarde tous les moyens raisonnables d'identifier, individualisation comprise
« Mon formulaire de consentement couvre l'analyse »L'IA tierce est un traitement ultérieur, à confronter à la finalité annoncée (art. 5(1)(b))
« Je n'ai pas collecté de données sensibles »Les participants livrent santé, famille et opinions sans qu'on demande — c'est de l'article 9
« L'employeur et la ville, ce sont des détails »Le UK Data Service traite les combinaisons d'identifiants indirects comme révélatrices
« Un enregistrement, c'est de la biométrie »L'article 9 ne s'applique que si le traitement vise l'identification unique de la personne
Le risque ne vient pas de l'IA qui cherche des thèmes, mais de tout ce que le verbatim traîne avec lui.

La parade : anonymiser avant l'analyse

Bonne nouvelle : l'analyse thématique n'a pas besoin d'identités. L'IA cherche des motifs récurrents dans le discours. Un frein, une attente, un contournement, un mot qui revient. Le nom de l'employeur n'apporte rien à ça. La ville non plus. Les thèmes survivent parfaitement à l'anonymisation.

Schéma en deux temps : en haut, une feuille de verbatim d'entretien dont la ligne du locuteur nommé, la ligne employeur et la ligne lieu apparaissent en clair (ambre) part vers une carte IA qui reçoit le verbatim exposé, avec une alerte ambre de réidentification ; en bas, le même verbatim voit ces trois lignes remplacées par des jetons cobalt, et l'IA ne reçoit que des jetons avec une coche.
D'après le RGPD (art. 5(1)(b), art. 9, considérant 26 — EUR-Lex), la guidance de l'ICO sur la limitation des finalités et le guide du UK Data Service sur l'anonymisation des données qualitatives.
  1. 1Décidez la question de l'IA avant le terrain, pas après les entretiens.
  2. 2Écrivez-la en clair dans votre formulaire de consentement.
  3. 3Repérez les identifiants directs : nom, e-mail, téléphone, identifiant participant.
  4. 4Traitez ensuite les indirects : employeur, poste, ville, dates précises, chiffres distinctifs.
  5. 5Remplacez chaque valeur par un jeton réversible, côté navigateur.
  6. 6Gardez un pseudonyme constant par participant, dans toute l'équipe et les publications.
  7. 7N'envoyez au modèle que le verbatim anonymisé.
  8. 8Agrégez quand vous le pouvez, et laissez les enregistrements bruts dehors.

Le UK Data Service insiste sur le calendrier. Planifiez l'anonymisation tôt, pas après coup. Cela permet des échanges plus constructifs avec les participants. Où leurs données seront partagées, quelles mesures seront prises. Traduction pour vous : tranchez la question de l'IA avant le terrain. Pas quand les verbatims dorment déjà dans un dossier.

Un point à ne pas confondre. Anonymiser réduit l'exposition côté protection des données. Cela ne solde pas la promesse faite au participant. Si vous comptez utiliser des outils d'IA, votre formulaire doit le dire. Les deux dettes se règlent séparément.

Côté outils, restez sobre et vérifiez par vous-même. Un contrat de sous-traitance signé. Des conditions qui excluent l'entraînement sur vos données. Une durée de rétention connue. Ne croyez aucun fournisseur sur parole — nous compris. Lisez les conditions en vigueur au moment où vous décidez.

C'est le rôle d'ONYRI Sanitize. Le moteur repère les données sensibles d'un verbatim — nom, employeur, lieu, coordonnées, montants — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. Les thèmes, eux, survivent : l'analyse thématique n'a jamais eu besoin de savoir qui parle. Vous restaurez les vraies valeurs en local pour votre restitution. Reste une chose que nous ne ferons pas à votre place : écrire l'IA dans votre formulaire de consentement.

Questions fréquentes

Peut-on utiliser l'IA pour la recherche utilisateur sans risque ?
Oui pour dégager des thèmes, non avec des verbatims bruts. L'analyse thématique n'a pas besoin de savoir qui parle. Mais votre participant a consenti à vous, pas à un éditeur d'IA tiers. Envoyer son verbatim à un outil externe est un traitement ultérieur, que la limitation des finalités de l'article 5(1)(b) du RGPD oblige à confronter à la finalité annoncée. Anonymisez avant l'envoi, et dites dans votre formulaire si vous utilisez des outils d'IA.
Faut-il mentionner l'IA dans le formulaire de consentement ?
Si vous comptez en utiliser, oui, dites-le. L'ICO place au cœur de son évaluation de compatibilité le contexte de la collecte : votre relation avec la personne et ce qu'elle peut raisonnablement attendre. Un participant n'attend pas que son entretien parte chez un éditeur d'IA. L'ICO note aussi qu'un changement de finalité peut exiger une nouvelle base légale. Le UK Data Service recommande d'ailleurs de planifier l'anonymisation tôt, pour en parler avec les participants avant le terrain.
Retirer le nom suffit-il à anonymiser un verbatim ?
Non. Le considérant 26 du RGPD demande de tenir compte de tous les moyens raisonnablement susceptibles d'être utilisés pour identifier une personne, directement ou indirectement — y compris l'individualisation. Le UK Data Service traite la suppression des identifiants directs comme un minimum, puis demande d'évaluer les identifiants indirects et leurs combinaisons. Employeur, poste, ville et dates précises réidentifient souvent une personne à eux seuls.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi