Guide6 min de lecture

Voici les 5 questions essentielles à se poser avant de coller un texte dans une IA

Avant de coller un texte dans une IA, posez-vous cinq questions simples. La cinquième — envoyer une version anonymisée — neutralise le risque à la source.

Par Pierre de ONYRI

Avant de coller un texte dans une IA, prenez trente secondes. Posez-vous cinq questions simples. Elles tiennent en un réflexe. La plus importante est la dernière : « pourrais-je envoyer une version anonymisée à la place ? » Si oui, le risque disparaît presque entièrement. Les quatre premières questions repèrent ce qui est sensible. La cinquième vous donne la parade. Voici les cinq questions, dans l'ordre.

Les 5 questions en un coup d'œil

Voici le classement, de la première question à la dernière :

  1. 1Est-ce que ça contient les données personnelles de quelqu'un ? Un nom, un e-mail ou un numéro suffit.
  2. 2Serais-je à l'aise si c'était conservé des années, ou lu par un humain ? Les deux arrivent.
  3. 3Y a-t-il un nom, un identifiant, un numéro ou un secret que je peux retirer ? Enlevez-le d'abord.
  4. 4Mon employeur, mon client ou la loi l'autorisent-ils ? Sinon, ne collez pas.
  5. 5Pourrais-je envoyer une version anonymisée à la place ? Si oui, faites-le — c'est le rôle d'ONYRI Sanitize.
RangQuestionPourquoi elle compte
1Contient-il des données personnelles ?Un nom ou un numéro suffit à identifier quelqu'un — c'est une catégorie légale (RGPD)
2Seriez-vous à l'aise si c'était gardé ou lu ?Les prompts peuvent être conservés longtemps et relus par une personne
3Puis-je retirer noms, identifiants et secrets ?Retirer un seul nom suffit rarement ; nettoyez tout avant d'envoyer
4Est-ce autorisé (employeur, client, loi) ?Coller la donnée d'un tiers la divulgue à un service extérieur
5Puis-je envoyer une version anonymisée ?Un « oui » neutralise le risque à la source — la parade d'ONYRI
Cinq questions-réflexe avant de coller un texte dans une IA. D'après le texte du RGPD (article 4), les conseils de l'ICO sur la pseudonymisation et le cas Samsung rapporté par Forbes.

Questions 1 et 2 : ce que devient votre texte

La première question a une réponse légale, pas seulement un ressenti. Le RGPD (Règlement (UE) 2016/679) définit la « donnée personnelle » à son article 4. C'est toute information qui se rapporte à une personne identifiée ou identifiable. Un nom, un numéro d'identification, une donnée de localisation, un identifiant en ligne : tout cela compte. Si votre texte contient l'un de ces éléments, vous manipulez de la donnée personnelle. Ce n'est plus une impression. C'est une catégorie de droit.

La deuxième question est un test de confort. Imaginez votre texte gardé plusieurs années. Imaginez qu'une personne le lise un jour. Les deux sont possibles. OpenAI indique que les conversations peuvent servir à entraîner ses modèles, sauf si vous le refusez. Ses modèles sont bâtis en partie sur ce que les utilisateurs fournissent (voir l'OpenAI Help Center). Et des relecteurs humains peuvent lire des échanges pour faire respecter les règles et améliorer la sécurité. Votre texte n'est donc pas vu que par une machine.

« Conservé des années » n'est pas une exagération. Dans le litige New York Times contre OpenAI, un tribunal américain a ordonné à OpenAI de préserver ses journaux de sortie. Cela incluait des conversations que des utilisateurs avaient supprimées, normalement effacées sous une trentaine de jours. En novembre 2025, le tribunal a ordonné la production d'environ 20 millions de journaux dé-identifiés aux plaignants. Bloomberg Law et le National Law Review l'ont rapporté. Un texte collé peut donc rester, puis finir sous les yeux d'un tiers.

Questions 3 à 5 : nettoyer, vérifier, anonymiser

La troisième question est pratique. Regardez votre texte et cherchez ce que vous pouvez retirer. Un nom, un identifiant, un numéro, une clé d'API, un mot de passe. Enlevez-le avant d'envoyer. Attention : retirer un seul nom ne suffit souvent pas. L'ICO, le régulateur britannique, le rappelle. Une donnée n'est vraiment anonyme que si l'on ne peut plus identifier personne, et si le risque de ré-identification est « suffisamment faible ». Nettoyez donc tous les identifiants, pas un seul.

La quatrième question porte sur les règles. Votre employeur, votre client ou la loi autorisent-ils cet envoi ? Coller la donnée d'un collègue ou d'un client la divulgue à un tiers. Le RGPD définit ce « tiers » à l'article 4 : toute entité hors de vous et de vos sous-traitants. En 2023, Samsung a interdit ChatGPT à ses employés. En une vingtaine de jours d'usage, des ingénieurs y avaient collé du code source confidentiel et des notes de réunion internes (rapporté par Forbes). En cas de doute, ne collez pas.

La cinquième question est la parade. Pourriez-vous envoyer une version anonymisée à la place ? Presque toujours, oui. L'ICO décrit la pseudonymisation ainsi : remplacer les informations qui identifient directement les gens. On échange par exemple un nom contre un numéro de référence, via des techniques comme le hachage, le chiffrement ou la tokenisation. C'est exactement ce que fait ONYRI Sanitize. Répondez « oui » à cette question, et les quatre précédentes cessent de vous inquiéter.

Deux prompts avant envoi vers une IA. En haut, un prompt qui garde noms et numéros en clair (ambre, avec une croix) : exposé. En bas, le même prompt une fois les identifiants remplacés par des jetons (cobalt) et validé par une coche : anonymisé.
Cinq questions-réflexe avant de coller. D'après le RGPD (article 4), la pseudonymisation selon l'ICO et le cas Samsung rapporté par Forbes.

Comment vous en servir

Faites-en un réflexe de trente secondes. Avant chaque copier-coller, déroulez la liste :

  • Question 1 : y a-t-il une donnée personnelle ? Un nom ou un numéro suffit.
  • Question 2 : seriez-vous à l'aise si c'était gardé ou relu ? Sinon, prudence.
  • Question 3 : retirez chaque nom, identifiant, numéro et secret — pas un seul.
  • Question 4 : vérifiez que votre employeur, votre client ou la loi l'autorisent.
  • Question 5 : envoyez une version anonymisée plutôt que le texte brut.

Les questions 3 et 5 se règlent d'un geste avec le bon outil. Pour rédiger vos prompts sans laisser fuiter de données, lisez notre guide sur l'écriture de prompts d'IA sans fuite. Pour la marche à suivre pas à pas, voyez notre article sur comment anonymiser vos données avant d'utiliser l'IA.

C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping jeton↔valeur restent dans votre navigateur. Seul un texte anonymisé atteint l'outil. Quel que soit le modèle, il n'y trouve que des jetons — pas vos informations réelles.

Questions fréquentes

Que faut-il vérifier avant de coller un texte dans ChatGPT ?
Posez-vous cinq questions. Le texte contient-il une donnée personnelle ? Seriez-vous à l'aise s'il était conservé ou relu ? Pouvez-vous retirer noms, identifiants et secrets ? Est-ce autorisé par votre employeur, votre client ou la loi ? Et pourriez-vous envoyer une version anonymisée à la place ? Un « oui » à la dernière neutralise le risque à la source.
Coller le nom d'un client dans une IA, est-ce un problème ?
Oui, potentiellement. Un nom est une donnée personnelle au sens du RGPD (article 4). Le coller dans un outil extérieur le divulgue à un tiers. Sans autorisation ni base légale, cela vous expose. Mieux vaut anonymiser le nom avant l'envoi.
Supprimer un seul nom suffit-il à rendre un texte sûr ?
Souvent non. L'ICO rappelle qu'une donnée n'est vraiment anonyme que si le risque de ré-identification reste très faible. Un texte peut rester identifiant même sans le nom, via d'autres indices. Retirez tous les identifiants — numéros, e-mails, secrets — pas seulement le nom.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi