La fuite de données liée à l’IA se produit lorsque des informations sensibles sont partagées par inadvertance avec des services d’IA via les invites des utilisateurs, le téléversement de fichiers ou des intégrations API. Il s’agit de l’un des principaux risques associés au Shadow AI et à l’utilisation non maîtrisée d’outils d’IA, qui touche les organisations de tous les secteurs.
Les scénarios courants de fuite de données incluent : des collaborateurs qui collent du code source propriétaire dans des assistants de codage IA comme GitHub Copilot ou Claude ; le partage de PII de clients dans des conversations avec un chatbot à des fins d’analyse ; le téléversement de contrats confidentiels ou de documents de conseil d’administration pour en obtenir un résumé ; la saisie de prévisions financières ou de cibles de fusions-acquisitions dans des outils d’IA ; le partage d’identifiants ou de clés API dans des invites de débogage ; et la saisie de dossiers médicaux de patients dans des outils d’IA pour la documentation médicale.
L’ampleur de la fuite de données liée à l’IA est considérable. Une enquête Cisco de 2024 a révélé que 48 % des collaborateurs ont admis avoir saisi des informations non publiques de leur entreprise dans des outils d’IA externes. Par ailleurs, le rapport Cost of a Data Breach Report 2024 d’IBM a constaté que les violations de données liées à l’IA coûtent en moyenne 4,88 millions de dollars, soit 10 % de plus que le coût moyen d’une violation.
Les conséquences réglementaires varient selon le type de données. Les violations du RGPD résultant du traitement de données par l’IA peuvent entraîner des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Les violations de la HIPAA dues à la saisie de données de santé dans des outils d’IA entraînent des sanctions de 100 à 50 000 dollars par violation. Les régulateurs des services financiers (SEC, FCA, APRA) considèrent de plus en plus la fuite de données liée à l’IA comme un risque significatif devant faire l’objet d’une déclaration.
Les stratégies de prévention incluent des outils de DLP qui analysent les interactions avec l’IA, des politiques de classification des données associant les niveaux de sensibilité aux autorisations d’usage de l’IA, la formation des collaborateurs à l’hygiène des données face à l’IA, des listes d’outils approuvés assorties d’accords de traitement des données d’entreprise, ainsi que des plateformes de Workforce AI Security qui assurent une surveillance en temps réel et une application en ligne des politiques de traitement des données.