Vous avez envoyé un CV, un relevé bancaire ou une photo de vacances à ChatGPT ces dernières semaines ? Il y a de bonnes chances que ces fichiers soient encore stockés quelque part sur les serveurs d’OpenAI, sans que personne vous ait rien demandé.
La nouvelle fonctionnalité « Library » de ChatGPT, déployée depuis le 23 mars, transforme le chatbot en coffre-fort numérique personnel. Chaque document, tableur, présentation ou image envoyé dans une conversation est désormais sauvegardé automatiquement dans un espace dédié, accessible depuis la barre latérale. Le détail qui fait tiquer : cette sauvegarde est activée par défaut. Aucune case à cocher, aucune fenêtre de consentement. Vos fichiers sont conservés jusqu’à ce que vous les supprimiez manuellement.
Un stockage activé dans votre dos
D’après la documentation officielle d’OpenAI, Library ne se contente pas de sauvegarder les fichiers que vous uploadez à partir de maintenant. Les documents envoyés au cours des deux dernières semaines ont déjà été archivés rétroactivement. Plusieurs utilisateurs, dont le journaliste Mayank Parmar de BleepingComputer, ont découvert leur bibliothèque pré-remplie de fichiers qu’ils croyaient éphémères.
La fonctionnalité est réservée aux abonnés Plus (20 dollars par mois), Pro et Business. Les utilisateurs gratuits ne sont pas concernés, du moins pour l’instant. Côté technique, la limite est fixée à 512 Mo par fichier, 2 millions de tokens pour les documents texte, et 50 Mo pour les tableurs. Les images générées par l’IA, elles, restent dans un onglet séparé.
OpenAI présente Library comme un outil de productivité : retrouver un fichier ancien sans fouiller l’historique de conversation, réutiliser un document dans un nouveau chat. Sur le papier, c’est pratique. Dans les faits, cela revient à confier à OpenAI le rôle de service cloud, avec toutes les questions de confiance que cela implique.
Supprimer un fichier prend 30 jours
Le mécanisme de suppression pose un problème plus concret. Quand un utilisateur efface un fichier de sa Library, celui-ci disparaît immédiatement de son compte. Mais OpenAI précise que la suppression effective de ses serveurs prend « jusqu’à 30 jours ». Pendant cette période, le fichier reste techniquement stocké, sauf s’il a déjà été « dé-identifié et dissocié » du compte, ou si l’entreprise invoque des « obligations légales ou de sécurité ».
Autre subtilité : supprimer une conversation ne supprime pas les fichiers qu’elle contenait. Avant Library, les documents envoyés à ChatGPT étaient liés au cycle de vie de la conversation. Une fois le chat effacé, les fichiers partaient avec. Ce n’est plus le cas. Les fichiers vivent désormais indépendamment des conversations qui les ont créés.
La seule exception concerne les « chats temporaires » (Temporary Chat), un mode où ni la conversation ni les fichiers ne sont conservés. Mais ce mode doit être activé manuellement à chaque session, ce que la majorité des utilisateurs ne fait pas.
L’Europe tenue à l’écart, et ce n’est pas un hasard
Library est disponible dans le monde entier, à trois exceptions près : l’Espace économique européen (les 27 pays de l’UE plus l’Islande, le Liechtenstein et la Norvège), la Suisse et le Royaume-Uni. La documentation d’OpenAI ne fournit aucune explication, mais le schéma est familier.
Le Règlement général sur la protection des données (RGPD) impose que le traitement de données personnelles repose sur une base légale claire. Le consentement, quand il est invoqué, doit être « libre, spécifique, éclairé et univoque », selon l’article 7 du texte. Un stockage par défaut, sans opt-in explicite, coche difficilement ces cases.
OpenAI a déjà subi les conséquences de cette incompatibilité. En mars 2023, le Garante, l’autorité italienne de protection des données, avait temporairement interdit ChatGPT sur le territoire, reprochant à l’entreprise l’absence de base légale pour le traitement des données et un défaut d’information des utilisateurs. L’interdiction avait été levée un mois plus tard, après qu’OpenAI eut ajouté des options de contrôle. En décembre 2024, le Garante avait infligé une amende de 15 millions d’euros à OpenAI pour des violations persistantes du RGPD.
L’association autrichienne noyb, fondée par le juriste Max Schrems, avait également déposé des plaintes contre OpenAI dans plusieurs pays européens, ciblant le traitement des données personnelles par ChatGPT. Les procédures sont toujours en cours dans certaines juridictions.
Vos fichiers comme carburant d’entraînement
La question qui fâche dépasse le simple stockage. Selon la politique de données d’OpenAI, les contenus soumis par les utilisateurs individuels (par opposition aux clients entreprise) « peuvent être utilisés pour entraîner les modèles ». L’option « Améliorer le modèle pour tout le monde » est activée par défaut dans les paramètres de ChatGPT.
Concrètement, si vous envoyez un contrat, un tableau financier ou des notes médicales à ChatGPT sans avoir désactivé cette option, ces données risquent de servir à affiner les futures versions du modèle. OpenAI indique que les données sont « dé-identifiées » avant entraînement, mais le processus exact reste opaque.
Les utilisateurs Business et Enterprise sont exemptés : par défaut, leurs données ne servent pas à l’entraînement. Ce traitement différencié illustre un modèle économique où les particuliers paient un abonnement tout en fournissant leurs données, tandis que les entreprises paient plus cher pour s’en protéger.
Pour désactiver l’entraînement, il faut soit modifier les réglages dans l’interface ChatGPT, soit passer par le portail de confidentialité d’OpenAI. Les deux procédures sont distinctes et ne se synchronisent pas entre elles, ce qui complique les choses. Même après opt-out, si vous donnez un retour (pouce en haut ou en bas sur une réponse), la conversation entière peut être réutilisée pour l’entraînement.
De chatbot à plateforme cloud, un virage stratégique
Avec Library, OpenAI ajoute une brique de plus à la transformation de ChatGPT en plateforme tout-en-un. L’entreprise a déjà intégré un navigateur web, un éditeur de code (Codex), de la génération d’images et, bientôt selon plusieurs rapports, un outil de recherche avancé. Le stockage de fichiers s’inscrit dans cette logique d’écosystème fermé où l’utilisateur n’a plus besoin de quitter l’application.
Cette stratégie n’est pas sans rappeler ce que Google a fait avec Drive, Gmail et Docs : centraliser les données pour rendre le départ plus coûteux. La différence, c’est qu’OpenAI gère aussi un modèle d’IA qui s’entraîne potentiellement sur ces mêmes données. Aucun service cloud traditionnel ne combine stockage et apprentissage automatique de cette manière.
Pour les Européens, l’exclusion de Library crée un paradoxe : ils n’ont pas accès à une fonctionnalité pratique, mais sont aussi protégés d’un mécanisme de collecte opaque. La prochaine mise à jour du AI Act européen, dont les premières obligations s’appliquent depuis février 2025, pourrait ajouter des contraintes supplémentaires. OpenAI devra notamment documenter les données utilisées pour l’entraînement de ses modèles à usage général, une exigence qui rend le flou actuel de plus en plus intenable.
