Skip to content

Des développeurs collent des données personnelles de clients dans une API LLM tierce pour rédiger des réponses au support. Quelle est la préoccupation et l'action ?

Réponse courte

Envoyer des données personnelles de clients à une API externe les expose au traitement et à la conservation d'un tiers et peut enfreindre des obligations de confidentialité. Minimisez et anonymisez ce qui est envoyé, confirmez les conditions d'usage/conservation du fournisseur et un accord de traitement des données (ou des garanties de non-entraînement), ou passez à un déploiement privé pour les données sensibles. La longueur de la clé n'a aucune importance, et envoyer plus de données personnelles augmente l'exposition.

Le support est lent, alors les développeurs se mettent à coller de vrais dossiers clients — noms, e-mails, numéros de compte, parfois pire — dans une API LLM tierce pour rédiger les réponses plus vite. Cela fonctionne à merveille et c'est un incident de confidentialité qui ne demande qu'à être découvert.

La préoccupation : divulgation de données sensibles

Dès que des données personnelles quittent votre périmètre vers une API externe, vous avez divulgué des données sensibles à un tiers. Ces données peuvent être conservées, journalisées, examinées par des humains ou utilisées pour entraîner les modèles du fournisseur, selon ses conditions. Vous restez généralement le responsable du traitement, avec des obligations légales au titre de réglementations comme le RGPD ou le CCPA, tandis que le fournisseur devient sous-traitant — mais seulement si un accord en bonne et due forme le stipule. Coller au cas par cas signifie qu'aucune de ces garanties n'existe, et vous avez probablement enfreint vos propres engagements de confidentialité envers les clients.

« Ce n'est que du texte » est l'état d'esprit fautif : ce texte est une donnée personnelle réglementée.

L'action

  • Minimisez et anonymisez. Supprimez ou tokenisez les données personnelles avant qu'elles ne quittent vos systèmes ; n'envoyez au modèle que ce dont il a besoin pour rédiger une réponse.
  • Vérifiez les conditions du fournisseur. Confirmez l'usage des données, la conservation, l'examen humain et surtout une garantie de non-entraînement, étayée par un accord de traitement des données (DPA) signé et la bonne région de déploiement.
  • Utilisez un déploiement privé pour les données sensibles. Un point de terminaison auto-hébergé ou contractuellement isolé, sans conservation, maintient les données réglementées dans votre périmètre de confiance.
  • Encadrez la pratique. Donnez aux développeurs un chemin approuvé et anonymisant pour qu'ils n'improvisent pas avec le point de terminaison public grand public.

Pourquoi les distracteurs sont faux

  • « Aucune préoccupation, ce n'est que du texte » : ce texte est une donnée personnelle réglementée ; c'est exactement la rationalisation qui provoque les fuites.
  • « Clé d'API plus longue » : la longueur de la clé ne change rien à l'endroit où vont les données ni à leur usage. C'est un non-sens.
  • « Envoyer plus de données » : plus de données personnelles sorties, c'est plus d'exposition et de risque réglementaire, pas un meilleur service.

Ce que les recruteurs veulent entendre

Que vous le cadrez comme une divulgation de données sensibles aux conséquences réelles en matière de confidentialité et de droit, que vous appliquez la minimisation et l'anonymisation, exigez un DPA et des conditions de non-entraînement/non-conservation, et fournissez un chemin privé autorisé pour les données sensibles.

Questions de suivi probables

  • Quelles réglementations sur la vie privée cette pratique pourrait-elle enfreindre, et qui est responsable du traitement par rapport au sous-traitant ?
  • Que devrait garantir précisément un accord de traitement des données concernant l'entraînement et la conservation ?
  • Comment anonymiseriez-vous de façon fiable les données personnelles avant que le texte ne quitte votre périmètre ?

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.