Fondamentaux7 min de lecture

Voici les 7 métiers exposés qui risquent le plus une fuite de données via l'IA

Certains métiers risquent bien plus qu'une fuite via l'IA grand public : santé, droit et finance en tête. Voici les 7 métiers les plus exposés et la parade.

Par Pierre de ONYRI

Certains métiers risquent bien plus qu'une simple fuite quand ils utilisent l'IA grand public. La règle est simple. Plus la donnée est sensible ou réglementée, plus le risque monte. La santé arrive en tête, avec les dossiers patients. Le droit et la finance suivent de près. Voici les sept métiers les plus exposés, classés par sensibilité des données. Et la bonne nouvelle : la parade est commune à tous.

Le classement en un coup d'œil

Le classement suit une logique claire. Nous classons par sensibilité de la donnée manipulée. Une donnée de santé ou un secret professionnel pèse plus lourd qu'une liste marketing. La parade, elle, ne change pas d'un métier à l'autre. Elle consiste à retirer la donnée sensible avant l'envoi, ce qu'ONYRI Sanitize automatise dans le navigateur.

Voici le classement, du plus exposé au moins exposé :

  1. 1Santé — dossiers patients et données médicales. Les informations les plus protégées qui soient.
  2. 2Juridique — secret professionnel, contrats et dossiers clients confidentiels.
  3. 3Finance et comptabilité — relevés, identifiants fiscaux et salaires nominatifs.
  4. 4RH et recrutement — dossiers salariés et candidatures, riches en données personnelles.
  5. 5Développeurs — code, clés API et secrets techniques collés pour aller vite.
  6. 6Support client — données clients et tickets, manipulés toute la journée.
  7. 7Marketing — listes et données de campagne, souvent collées sans réfléchir.

Voici les mêmes sept métiers, en tableau.

RangMétierPourquoi
1SantéDonnées patients (PHI) ; ChatGPT grand public n'est pas conforme HIPAA
2JuridiqueSecret professionnel ; l'ABA exige le consentement éclairé du client
3Finance / comptabilitéRelevés et identifiants fiscaux, données nominatives très réglementées
4RH / recrutementDossiers salariés et candidats ; chaque champ exige une base légale
5DéveloppeursCode, clés API et secrets ; un fabricant a banni l'outil après des fuites
6Support client40 % des fichiers envoyés à l'IA contiennent des données personnelles
7MarketingListes clients collées depuis des comptes personnels non gérés
Comptes d'IA grand public. D'après The HIPAA Journal, le rapport LayerX (The Register) et Euronews. La parade est commune aux sept : anonymiser avant l'envoi, ce qu'ONYRI Sanitize fait dans le navigateur.

Le haut du classement : les professions réglementées

Commençons par le sommet : la santé. Médecins, infirmiers et cliniques manipulent des données patients. Ce sont les informations les plus protégées qui soient. Or ChatGPT grand public n'est pas conforme à la loi américaine HIPAA. OpenAI ne signe pas l'accord requis (le Business Associate Agreement) pour ses versions grand public. Y saisir des données de santé protégées n'est donc pas permis, même si rien ne fuite ensuite. Nous détaillons la marche à suivre dans notre guide pour anonymiser les données patients avant l'IA.

Vient le droit. Les avocats sont tenus au secret professionnel. Ils manipulent des contrats et des dossiers clients confidentiels. L'American Bar Association l'a rappelé dans son Avis formel 512, publié le 29 juillet 2024. Un avocat doit garder confidentielle toute information liée à un dossier. Il doit comprendre comment l'outil d'IA utilise ses saisies. Et il doit obtenir le consentement éclairé du client avant d'y entrer ses confidences. Une clause standard dans la lettre de mission ne suffit pas. Notre article sur l'IA pour les cabinets d'avocats développe ce point.

La finance et la comptabilité ferment le haut du classement. Relevés bancaires, identifiants fiscaux, salaires : ces données sont nominatives et très réglementées. Le régulateur italien, le Garante, l'a montré en décembre 2024. Il a infligé une amende de 15 millions d'euros à OpenAI. Le motif : des données personnelles traitées sans base légale suffisante pour entraîner ChatGPT, et un manque de transparence. Nous expliquons comment protéger ces données dans notre article pour les comptables.

Schéma en deux temps : en haut, plusieurs cartes de métiers (sombres) laissent fuir des données sensibles en clair (ambre) vers un document exposé marqué d'une croix ; en bas, les mêmes métiers n'envoient que des jetons (cobalt), avec une coche verte — données anonymisées.
D'après The HIPAA Journal, le rapport LayerX (The Register) et Euronews. Les réglages ne couvrent pas le contenu ; seule l'anonymisation avant l'envoi le protège.

Le risque quotidien : RH, développeurs, support, marketing

Descendons d'un cran. Les RH et le recrutement traitent des dossiers salariés et des candidatures. Nom, adresse, numéro fiscal, santé, évaluations : le dossier est très riche. Chaque champ est une donnée personnelle qui exige une base légale. Notre guide explique comment anonymiser les données RH avant l'IA.

Les développeurs viennent ensuite. Ils collent du code, des clés API et des secrets dans l'IA pour aller vite. Le risque est réel et documenté. En 2023, un grand fabricant d'électronique, Samsung, a interdit ChatGPT à ses employés. En cause : des ingénieurs avaient collé du code source de puces et le contenu d'une réunion interne. Cela s'est produit en une vingtaine de jours à peine. L'entreprise de sécurité Cyberhaven a mesuré le phénomène. Les données sensibles représentaient environ 11 % de ce que les employés collaient dans ChatGPT. Et près de 4 % des employés y avaient collé des données d'entreprise sensibles au moins une fois. Notre guide montre comment coller du code sans fuiter de secrets.

Le support client suit. Les agents manipulent des données clients et des tickets à longueur de journée. Le rapport de LayerX est parlant. 40 % des fichiers envoyés vers des sites d'IA générative contiennent des données personnelles ou de paiement. Et 82 % des collages viennent de comptes personnels non gérés. L'entreprise n'a alors presque aucune visibilité sur ce qui sort. Notre article couvre le support client sans exposer les données clients.

Le marketing ferme le classement, sans être hors de danger. Les équipes manient des listes clients et des données de campagne. Segments, e-mails, historiques d'achat : tout cela reste de la donnée personnelle. Coller une liste dans l'IA pour rédiger un message paraît anodin. Ça ne l'est pas. Notre guide explique comment utiliser l'IA en marketing sans exposer les données clients.

Comment vous en servir

Les sept métiers partagent un même risque. Ils confient des données sensibles à une IA externe. Ils partagent donc aussi la même parade. Retirez la donnée sensible avant l'envoi, quel que soit votre métier.

  • Santé et droit : n'entrez jamais de donnée patient ou de secret client en clair.
  • Finance et RH : retirez noms, identifiants fiscaux et salaires avant l'envoi.
  • Développeurs : masquez clés API, secrets et identifiants dans votre code.
  • Support et marketing : n'envoyez jamais une liste ou un ticket brut.
  • Pour un usage régulier, anonymisez à la source, dans le navigateur.

C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping jeton↔valeur restent dans votre navigateur. Seul un texte anonymisé atteint l'outil. Quel que soit votre métier, l'IA n'y trouve que des jetons — pas vos informations réelles.

Questions fréquentes

Quels métiers risquent le plus une fuite de données via l'IA ?
Les plus exposés manipulent les données les plus sensibles ou réglementées. La santé arrive en tête, avec les dossiers patients. Viennent ensuite le droit, la finance, les RH, les développeurs, le support client et le marketing. Plus la donnée est sensible, plus le risque est élevé. La parade est commune : anonymiser la donnée avant l'envoi.
ChatGPT est-il conforme à la loi HIPAA pour la santé ?
Non, pas dans ses versions grand public. Elles n'offrent pas les garanties requises ni l'accord obligatoire (le Business Associate Agreement). OpenAI ne signe pas cet accord pour le ChatGPT grand public. Y saisir des données de santé protégées n'est donc pas permis, même si rien ne fuite ensuite.
Un avocat peut-il utiliser ChatGPT avec des informations client ?
Avec prudence. L'Avis formel 512 de l'American Bar Association le rappelle. L'avocat doit garder l'information confidentielle, comprendre comment l'outil utilise ses saisies, et obtenir le consentement éclairé du client. Une clause standard ne suffit pas. Anonymiser les données avant l'envoi réduit fortement ce risque.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi