Vendredi 3 avril, rue Saint-Maurice, centre-ville de Strasbourg. Un homme de 37 ans tape un message dans ChatGPT : il veut acheter une arme pour tuer un agent de la CIA, du Mossad ou de la DGSI. Le message traverse l’Atlantique, atterrit sur les écrans du FBI, rebondit vers la France. Quelques heures plus tard, les hommes du RAID enfoncent sa porte.
Le FBI repère la menace avant la police française
Le mécanisme qui a mené à cette interpellation repose sur le système de modération d’OpenAI. L’entreprise californienne scanne en continu les conversations de ses utilisateurs via des filtres automatisés. Quand un échange franchit un seuil de dangerosité, il remonte vers une équipe de modérateurs humains formés à évaluer le niveau de menace. C’est exactement ce qui s’est produit avec le Strasbourgeois.
Le message a été détecté côté américain, puis transmis au FBI. Les agents fédéraux ont relayé l’alerte à Pharos, la plateforme française de signalement de contenus illicites en ligne, gérée par le ministère de l’Intérieur. Les enquêteurs strasbourgeois ont identifié le suspect et localisé son domicile en quelques heures, selon les informations rapportées par Next.ink et StrasInfo.
« Je voulais tester la surveillance de l’IA »
L’intervention du RAID, l’unité d’élite de la Police nationale spécialisée dans les situations à haut risque, s’est déroulée sans incident. Aucune arme n’a été retrouvée au domicile. L’homme a déclaré souffrir de schizophrénie affective et être en rupture de traitement psychiatrique depuis deux ans. Sa justification : il cherchait à « tester la fiabilité et la surveillance de l’intelligence artificielle ».
Le parquet de Strasbourg a classé l’affaire sans suite. Le trentenaire a été hospitalisé d’office pour évaluation psychiatrique, rapporte StrasInfo. Un dénouement rapide qui masque une réalité plus large : les conversations avec ChatGPT ne sont pas privées, et les conséquences d’un dérapage peuvent être très concrètes.
OpenAI assume la surveillance, noir sur blanc
La politique d’OpenAI sur le sujet est explicite depuis fin 2025. L’entreprise décrit elle-même le processus dans un billet de blog : « Quand nous détectons des utilisateurs qui planifient de nuire à d’autres personnes, nous acheminons leurs conversations vers des pipelines spécialisés où elles sont examinées par une petite équipe autorisée à agir, y compris en référant le cas aux forces de l’ordre. » Exception notable : les cas d’automutilation ne sont pas transmis aux autorités, « par respect pour la vie privée » des utilisateurs, précise OpenAI.
Le système fonctionne en deux étages. Des filtres automatiques passent au crible les échanges et repèrent les conversations suspectes. Des modérateurs humains évaluent ensuite si la menace est « imminente et sérieuse ». Si oui, OpenAI peut transmettre les données à la police du pays concerné, directement ou via les canaux de coopération internationale. Depuis le 1er janvier 2026, l’entreprise exige un mandat ou une commission rogatoire pour répondre aux demandes des forces de l’ordre. Mais en cas de danger jugé imminent, elle se réserve le droit d’agir de sa propre initiative, sans attendre la moindre requête officielle.
La fusillade canadienne qui a forcé OpenAI à réagir
Ce dispositif de signalement n’existait pas sous cette forme il y a un an. En juin 2025, les modérateurs d’OpenAI avaient repéré et suspendu le compte d’une jeune Canadienne de 18 ans, Jesse Van Rootselaar, après avoir détecté des conversations évoquant des projets violents. Une douzaine d’employés avaient débattu en interne de l’opportunité de prévenir la police canadienne. Ils ne l’ont pas fait. L’activité ne constituait pas, selon eux, une « menace crédible et imminente ».
Six mois plus tard, la jeune femme tuait huit personnes, dont plusieurs enfants, dans la petite ville de Tumbler Ridge, en Colombie-Britannique. Le ministre canadien de l’Intelligence artificielle s’était dit « profondément troublé » par la révélation que le compte avait été suspendu sans alerte aux autorités, et avait convoqué les dirigeants d’OpenAI à Ottawa, rapporte CBC News. C’est après cette tragédie qu’OpenAI a durci sa politique et s’est engagé à prévenir les forces de l’ordre dès qu’une conversation franchit « la ligne de la menace imminente et probable », selon TechCrunch.
300 millions d’utilisateurs, un journal intime sous surveillance
Le paradoxe est saisissant. ChatGPT traite des centaines de millions de conversations chaque jour, souvent plus intimes que n’importe quelle publication sur un réseau social. Les utilisateurs écrivent à un chatbot comme ils écriraient dans un journal intime, avec une franchise qu’ils n’auraient jamais sur Facebook ou X. C’est précisément cette confusion entre espace privé et service surveillé qui pose problème.
OpenAI n’est d’ailleurs pas le seul acteur concerné. Anthropic, créateur du modèle Claude, prévoit des clauses similaires dans ses conditions d’utilisation : en cas de « danger grave et imminent », le contenu peut être transmis aux autorités. Google, Meta et les autres grands noms du secteur appliquent des règles comparables, héritées de leur expérience avec les réseaux sociaux. La différence, c’est l’échelle et la nature des échanges. Sur Instagram, on publie pour être vu. Sur ChatGPT, on écrit pour être compris. La frontière entre expression privée et menace caractérisée devient floue.
Un vide juridique que l’Europe commence à combler
Le cadre juridique européen ajoute une couche de complexité. Le RGPD impose des obligations strictes en matière de traitement des données personnelles, et l’AI Act, dont certaines dispositions sont entrées en application, interdit les systèmes de surveillance biométrique de masse. Reste à déterminer si le scan systématique de conversations privées par une entreprise américaine entre dans cette catégorie, ou s’il relève d’une obligation de sécurité légitime.
Le Parlement européen examine actuellement plusieurs amendements visant à encadrer plus strictement la coopération entre entreprises d’IA et services de renseignement étrangers. En attendant, chaque mot tapé dans ChatGPT transite par des serveurs situés aux États-Unis, où le FBI dispose de moyens légaux pour y accéder. L’affaire de Strasbourg a tourné court. La prochaine pourrait soulever des questions bien plus épineuses.
