Votre chatbot IA pourrait divulguer vos conversations à Meta, TikTok et Google

En résumé

• Des chercheurs de l’IMDEA Networks ont découvert plus de 13 traceurs tiers intégrés dans ChatGPT, Claude, Grok et Perplexity, y compris des outils de Meta, Google et TikTok.
• Grok était le pire coupable : les conversations des invités sont publiques par défaut, et le traceur de TikTok a reçu le contenu exact des messages via les métadonnées Open Graph.
• Rejeter les cookies n’aide pas toujours.

Lorsque vous tapez quelque chose dans un chatbot IA, vous supposez probablement que la conversation reste entre vous et la machine. Vous avez tort—et une nouvelle étude explique précisément qui écoute aussi. Des chercheurs de l’Institut IMDEA Networks ont publié le 4 mai des résultats montrant que les quatre plus grands assistants IA—ChatGPT, Claude, Grok et Perplexity—partagent discrètement des données avec des services tiers de publicité et d’analyse, y compris Meta, Google et TikTok. Le projet, appelé LeakyLM, a identifié plus de 13 traceurs intégrés dans ces plateformes. Aucun d’eux n’est divulgué aux utilisateurs en langage clair.

Image : Institut IMDEA Networks

Considérez cela ainsi : chaque fois que vous ouvrez un chat, des outils logiciels invisibles intégrés dans la page web contactent les réseaux publicitaires—envoyant des détails sur qui vous êtes, sur la page sur laquelle vous vous trouvez, et parfois même sur ce que vous avez tapé. Ce qui est réellement divulgué La fuite la plus basique est l’URL de votre conversation—une adresse web pointant vers un chat spécifique. Cela semble inoffensif, n’est-ce pas ? Le problème est que plusieurs plateformes rendent ces URLs accessibles au public par défaut, ce qui signifie que quiconque possède le lien peut lire votre conversation sans se connecter. Lorsque ces URLs sont également envoyées aux systèmes publicitaires de Meta ou Google, ces entreprises ont la capacité d’accéder et de lire vos chats. « Divulguer une URL n’est pas seulement une métadonnée—cela peut être équivalent à divulguer la conversation elle-même », expliquent les chercheurs.  Grok, le chatbot IA d’Elon Musk de xAI, est le plus exposé. Les conversations des invités sont publiques par défaut sur la plateforme—aucune connexion requise pour les lire. Le traceur de TikTok a reçu non seulement des URLs mais aussi le contenu exact des messages via ce qu’on appelle les métadonnées Open Graph, une norme utilisée pour générer des images d’aperçu lorsque vous partagez un lien. En gros, le système de TikTok a reçu une capture d’écran de votre conversation.

Image : Institut IMDEA Networks

Claude (Anthropic) et ChatGPT (OpenAI) ont des contrôles d’accès plus stricts—vos chats ne sont pas publics à moins que vous choisissiez de les partager. Mais ils transmettent toujours des URLs de conversation et des données d’identification comme des cookies publicitaires à Meta et Google. Pour Claude, ces données sont envoyées à 11 plateformes publicitaires via les propres serveurs d’Anthropic, et non via le navigateur, c’est pourquoi un bloqueur de publicité ne l’arrête pas. Perplexity a supprimé son traceur Meta le mois dernier. Ce que vous pouvez faire L’étude reconnaît qu’elle n’a pas prouvé que Meta ou Google ont réellement lu les chats de quelqu’un. Mais l’infrastructure pour le faire existe, et les données sont transmises. « Les LLM étudiés offrent des contrôles de confidentialité pour limiter la visibilité des conversations, mais peuvent induire en erreur les utilisateurs en laissant entendre que des protections plus fortes sont en place qu’en réalité », argumentent les chercheurs. « Bien que nous n’ayons pas encore de preuve que les conversations soient lues par des traceurs, la diffusion de permaliens et, par extension, la capacité de les lire existent, et donc le risque potentiel. » Ce n’est pas la première fois que des plateformes IA sont scrutées pour leur respect de la vie privée. Claude a récemment commencé à exiger une vérification d’identité gouvernementale pour les nouveaux abonnés—une mesure qui a suscité des réactions négatives de la part des mêmes utilisateurs soucieux de leur vie privée, qui avaient quitté ChatGPT en raison de préoccupations de surveillance, comme l’a rapporté Decrypt le mois dernier. Pour l’instant, les mesures pratiques sont limitées. Sur Grok, restreignez la visibilité des conversations dans les paramètres et révoquez explicitement tout lien que vous avez déjà partagé. Sur Claude, rejeter les cookies non essentiels désactive au moins le Meta Pixel. Sur Perplexity, définissez les conversations comme Privées. Sur ChatGPT, rejeter les cookies autant que possible réduit l’exposition, bien que Google Analytics fonctionne toujours pour les utilisateurs connectés gratuitement. Si vous souhaitez aller encore plus loin et être totalement protégé, notre guide sur la confidentialité IA peut être une bonne ressource à consulter. Les chercheurs prévoient d’étendre leur analyse à Meta AI, Microsoft Copilot et Google Gemini—qui ont été exclus de cette étape car ils opèrent à la fois comme fournisseurs d’IA et comme entreprises de publicité, rendant le modèle de menace plus complexe. Les résultats ont été soumis aux Autorités de protection des données le 13 avril 2026. xAI a été notifié le 17 avril. À la publication, aucune entreprise n’a répondu.