Chatbots IA : des pratiques de collecte de données très disparates

Quelles données personnelles les chatbots IA collectent-ils sur leurs utilisateurs ? Alors que l'usage de ces outils devient omniprésent, la transparence sur leurs pratiques de collecte reste souvent opaque. Une étude* menée par Surfshark, éditeur de solutions de cybersécurité, sur les pratiques de collecte de données des dix principaux chatbots IA disponibles sur l'Apple Store révèle des disparités importantes en matière de protection de la vie privée, avec Meta AI en position de leader pour la collecte de données utilisateur.

Etude Surfshark - mai 2025

L'étude se base sur les déclarations obligatoires des développeurs sur l'App Store, qui impose aux applications de divulguer leurs pratiques de collecte de données via les "étiquettes de confidentialité". Cette classification comprend 35 types de données potentiellement collectées par les applications elles-mêmes. Ces catégories couvrent un large spectre allant des informations basiques (coordonnées, identifiants d'appareil) aux données les plus sensibles que les chatbots peuvent recueillir via les conversations ou les profils utilisateur : informations financières, de santé, ainsi que des données particulièrement intimes comme l'origine raciale ou ethnique, l'orientation sexuelle, les informations liées à la grossesse, le handicap, les convictions religieuses ou philosophiques, l'appartenance syndicale, les opinions politiques, les informations génétiques et les données biométriques. S'ajoutent les données de localisation, les contenus utilisateur, les contacts, l'historique de navigation et de recherche, ou encore les données d'usage et de diagnostic.

Meta AI : le collecteur le plus intrusif

Meta AI se distingue par sa collecte particulièrement extensive, rassemblant 32 types de données sur les 35 catégories possibles, soit plus de 90% du total analysé. L'application de Meta est la seule à collecter des informations dans des catégories sensibles incluant les données financières, de santé, et même des informations hautement personnelles telles que l'origine ethnique, l'orientation sexuelle, les convictions religieuses ou encore les opinions politiques.

L'application se distingue également par son utilisation de ces données à des fins publicitaires, pouvant exploiter jusqu'à 24 types de données différents pour l'affichage de publicités tierces, contre seulement deux pour Microsoft Copilot, seule autre application à pratiquer ce type d'exploitation commerciale.

Google Gemini : collecte étendue mais ciblée

Avec 22 types de données collectées, Google Gemini occupe la deuxième position. L'application se caractérise par la collecte de données de géolocalisation précises, unepratique partagée uniquement avec Meta AI, Copilot et Perplexity. Gemini rassemble également des informations détaillées incluant coordonnées personnelles, contenus utilisateur, contacts téléphoniques, historiques de recherche et de navigation.

ChatGPT : approche plus mesurée

OpenAI adopte une stratégie différente avec ChatGPT, limitant la collecte à 10 types de données : coordonnées, contenus utilisateur, identifiants, données d'utilisation et diagnostics. L'application évite le suivi publicitaire et propose des fonctionnalités de protection comme les conversations temporaires, supprimées automatiquement après 30 jours, et la possibilité de demander l'effacement des données personnelles des modèles d'entraînement.

DeepSeek : positionnement moyen avec spécificités géographiques

L'application chinoise DeepSeek collecte 11 types de données, se situant dans la moyenne du secteur. Elle conserve notamment l'historique des conversations "aussi longtemps que nécessaire" sur des serveurs situés en Chine, soulevant des questions spécifiques liées à la souveraineté des données.

Pratiques de suivi publicitaire

Trois applications pratiquent le suivi de données à des fins commerciales : Copilot, Poe et Jasper. Ces plateformes associent les données collectées à des informations tierces pour la publicité ciblée ou les revendent à des courtiers en données. Jasper se montre le plus intrusif dans cette catégorie, collectant identifiants d'appareils, données d'interaction, informations publicitaires et autres données d'usage.

Selon l'étude, l'ensemble des applications de chatbots IA collectent des données utilisateur, avec une moyenne de 13 types de données sur 35 catégories. Près de la moitié (45%) collectent des données de géolocalisation, tandis que 30% pratiquent le suivi de données à des fins commerciales.

Méthodologie
* L'étude Surfshark s'est appuyée sur l'identification des 10 chatbots IA les plus populaires, avec l'ajout de Meta AI comme application supplémentaire le 20 mai 2025. L'analyse a porté sur les données de confidentialité disponibles sur l'App Store d'Apple, en comparant le nombre de types de données collectées par chaque application, les pratiques de suivi des utilisateurs et l'intégration d'annonceurs tiers. Les politiques de confidentialité de DeepSeek et ChatGPT ont également été consultées pour préciser les modalités de stockage des données sur les serveurs et leur durée de conservation.