Les assistants IA ont promis ce qui manque à la plupart des entreprises : l’efficacité sans aucun coût supplémentaire.
Ils peuvent résumer vos messages, y répondre en votre nom, décider quels messages requièrent une décision, automatiser les événements de votre calendrier, extraire des informations de vos documents, et même les organiser.
Pour le fondateur ou le dirigeant d’une petite ou moyenne entreprise, dont les besoins dépassent les ressources, cela peut ressembler à un vœu exaucé juste à temps. Tout ce que cela vous demande, c’est absolument tout — accéder à votre boite de réception, votre calendrier, vos fichiers, et même à des informations professionnelles confidentielles.
Près de 69 % des entreprises utilisent déjà des assistants IA comme ChatGPT, Claude et Grammarly — mais 30 % d’entre elles hésitent ou ne font pas confiance aux entreprises d’IA pour protéger leurs données commerciales exclusives.
Le compromis n’est pas évident à première vue. Mais ce que les PME gagnent en efficacité, elles le paient en sécurité.
Le prix de l’efficacité
Lorsque vous connectez votre Gmail, Google Drive ou votre calendrier à un outil tel que Comet de Perplexity, vous lui accordez des autorisations OAuth — souvent au-delà d’un simple accès pour « lire ». Selon les autorisations demandées, l’outil peut être en mesure de télécharger vos contacts, de contrôler l’intégralité de votre calendrier, et même de rédiger des messages en votre nom.
Ces autorisations sont techniquement divulguées lors du processus d’autorisation, mais la plupart des utilisateurs n’évaluent pas pleinement ce qu’elles impliquent en pratique. Une fois accordées, l’outil peut accéder aux données sensibles de l’entreprise et les traiter à grande échelle.
Le même schéma s’applique aux autres flux de travail d’assistance par IA. L’indexation des bases de connaissances internes, la synthèse de documents exclusifs ou la contextualisation des données de l’entreprise augmentent votre exposition.
Lorsque vous ne savez pas quel accès vous avez accordé, vous ne pouvez pas évaluer avec précision le risque que vous avez introduit.
Ce que les assistants IA et les navigateurs peuvent voir
Vous savez que les navigateurs IA comme Comet de Perplexity ou Atlas de ChatGPT(nouvelle fenêtre) peuvent lire la page sur laquelle vous vous trouvez, la résumer et réécrire du texte. Mais saviez-vous qu’ils peuvent agir en votre nom ?
Comme l’efficacité dépend d’une intégration profonde, l’assistant a besoin d’une visibilité sur votre activité de navigation et peut demander d’accéder aux comptes connectés. Dans certains cas, il peut déclencher des actions plutôt que de simplement générer du texte.
C’est l’architecture des agents d’IA de manière plus générale. Ils sont conçus pour agir sur l’ensemble des systèmes connectés. Un seul agent compromis ou manipulé peut parcourir successivement vos messages, votre calendrier, vos fichiers et vos identifiants.
C’est une conséquence de la manière dont ces outils sont conçus. Cela crée une surface que les chercheurs trouvent déjà des moyens d’exploiter.
Des chercheurs en sécurité ont déjà démontré comment des instructions cachées intégrées dans le contenu web peuvent manipuler ces systèmes de manière imprévue.
Une faille récente, « CometJacking(nouvelle fenêtre) », a démontré comment des instructions intégrées dans des URL pouvaient manipuler l’IA pour accéder à des données personnelles ou d’entreprise, ou exécuter des actions nuisibles à l’insu de l’utilisateur.
Les fournisseurs réagissent rapidement avec des correctifs et des protections. Dans ce cas, Perplexity a répondu par une approche de protection à quatre niveaux. Mais ce schéma met en évidence quelque chose de plus fondamental : ces outils sont conçus pour interpréter et agir.
Même Perplexity déclare dans sa Politique de confidentialité(nouvelle fenêtre) : « Aucune mesure de sécurité n’est impénétrable, et nous ne pouvons pas garantir une “sécurité parfaite” ». La question n’est pas de savoir si un outil est sécurisé actuellement. Il s’agit de savoir si le niveau d’accès qu’il requiert vous convient.
Où repose la responsabilité du respect de la vie privée
Les fournisseurs d’IA mettent en avant les contrôles du respect de la vie privée et les options d’exclusion. L’assistant Comet de Perplexity, par exemple, assure aux utilisateurs que « l’assistant Comet vous donne le contrôle ».
But those controls assume something incorrectly: that users understand how their data is processed, actively configure the relevant settings, and monitor how policies evolve over time.
En pratique, la plupart ne le font pas. Selon le Rapport 2026 de Proton sur la cybersécurité des PME, 43 % des PME déclarent ne pas pouvoir vérifier de manière indépendante le respect de la vie privée des fournisseurs, et 35 % ne comprennent pas du tout comment les fournisseurs gèrent leurs données.
Certaines informations peuvent être exclues de l’entraînement des modèles. D’autres données peuvent être conservées pour améliorer la personnalisation. Les politiques peuvent différer selon les fonctionnalités et évoluer à mesure que les produits se développent. Désactiver certaines fonctions peut limiter les capacités mêmes qui rendent l’outil attrayant à l’origine.
Dans un tel environnement, le respect de la vie privée n’est plus une promesse produit statique. Il devient une responsabilité opérationnelle continue.
La responsabilité vous incombe désormais, à vous, l’utilisateur. Vous devez décider quelles données peuvent être partagées, surveiller les mises à jour des politiques, configurer les paramètres de manière appropriée et réévaluer les risques à mesure que le produit évolue.
Cette page rassemble des guides pratiques et des explications sur la sécurité et le respect de la vie privée liés à l’IA(nouvelle fenêtre), afin que vous sachiez exactement avec quoi vous travaillez.
Fonctionnalités d’un assistant IA privé ou d’un navigateur basé sur l’IA
Votre équipe devrait pouvoir utiliser un assistant IA sans craindre que chaque interaction ne soit stockée, profilée ou utilisée pour entraîner la version suivante du modèle.
- Aucun enregistrement des données. Par défaut. Votre équipe devrait pouvoir utiliser un assistant ou un agent IA sans craindre que chaque interaction ne soit stockée, profilée ou monétisée. Si un outil développe des « souvenirs » ou des « préférences », vous devriez vous demander : qui contrôle ces données ? Est-ce vraiment désactivé par défaut, ou est-ce caché dans les paramètres ? Et si je le désactive, quelles fonctionnalités du produit vais-je perdre ?
- Aucun entraînement de modèle sur vos informations professionnelles. Les documents commerciaux, les informations sur les partenaires, les rapports ou les plans ne doivent jamais être utilisés pour l’entraînement de modèles d’IA. Il s’agit non seulement d’une question d’équité, mais aussi de sécurité, car les données peuvent réapparaître lors d’incidents que vous ne contrôlez pas.
- Une réelle transparence. La transparence renforce la confiance, mais seulement si elle est réelle. Cela signifie que vous devez être en mesure de comprendre, à chaque étape, comment vos données sont traitées et quels principes guident le produit. Si vous devez passer deux heures à analyser des Conditions générales qui contredisent votre expérience réelle avec l’outil, ce n’est pas de la transparence. C’est juste un slogan.
- Chiffrement à accès zéro. Avec le chiffrement à accès zéro, vos données sont protégées par des clés que vous seul contrôlez — même le fournisseur ne peut pas les lire. Cela retire la nécessité de faire confiance à des politiques ou à des promesses, car l’architecture rend tout usage abusif techniquement impossible.
La plupart des outils d’IA tirent profit des entreprises qui les utilisent. Vos conversations, documents et fichiers alimentent l’entraînement des modèles, le profilage de l’audience et, dans certains cas, les demandes de données gouvernementales — généralement sans divulgation significative ni consentement. Pas Lumo.
Lumo est l’assistant IA conçu pour les entreprises qui refusent de céder leurs données par commodité. Chiffrement à accès zéro, aucun enregistrement de données, aucun entraînement de modèle sur vos informations professionnelles.
