Utiliser un chatbot revient à traverser un champ de mines pour le respect de la vie privée et en matière de censure.

Les applications de chat IA telles que ChatGPT collectent les données des utilisateurs, filtrent les réponses et prennent des décisions de modération de contenu qui ne sont pas toujours transparentes. Mais DeepSeek — un nouveau chatbot IA développé en Chine qui attire une attention sans précédent en tant que menace majeure pour (nouvelle fenêtre)l(nouvelle fenêtre)es entreprises technologiques occidentales(nouvelle fenêtre) — fait tout cela et bien plus encore.

En fait, ce chatbot comporte un risque encore plus grand : DeepSeek est légalement tenu de se conformer aux demandes d’accès aux données et de contrôle du contenu du gouvernement chinois, sans aucun recours légal possible pour s’y opposer.

Alors que les gouvernements du monde entier, y compris ceux des États-Unis et de l’UE, peuvent assigner les entreprises technologiques à fournir des données, les entreprises occidentales disposent de recours juridiques pour contester ces demandes devant les tribunaux. OpenAI, Google et Meta, par exemple, peuvent s’opposer à la plupart des demandes gouvernementales excessives, faire appel devant des tribunaux indépendants ou refuser les demandes qui violent les lois sur le respect de la vie privée comme le GDPR. DeepSeek, en revanche, opère sous la loi chinoise sur le renseignement national(nouvelle fenêtre), qui contraint les entreprises à coopérer avec les efforts de renseignement du gouvernement sans transparence ni possibilité de refus légal. Cela signifie que si le gouvernement chinois souhaite accéder aux données des utilisateurs ou manipuler les réponses générées par l’IA, DeepSeek n’a d’autre choix que de s’y conformer.

Cet article analyse ce que collecte DeepSeek et pourquoi cela est important en matière de respect de la vie privée, de censure et de contrôle gouvernemental.

Qu’est-ce que DeepSeek ?

DeepSeek est une startup spécialisée dans l’IA détenue par High-Flyer, un hedge fund basé en Chine(nouvelle fenêtre). Elle a été présentée comme une alternative open source à ChatGPT, capable de générer des réponses humaines, d’assister au codage et de résoudre des problèmes complexes — le tout à bas prix(nouvelle fenêtre).

Le modèle a attiré l’attention internationale(nouvelle fenêtre) pour avoir prétendument égalé les performances des principaux modèles d’IA occidentaux à une fraction du coût. En janvier 2025, DeepSeek avait dépassé ChatGPT en nombre de téléchargements sur l’App Store d’Apple(nouvelle fenêtre), déclenchant une vente massive mondiale des actions technologiques et soulevant des inquiétudes concernant les milliards de dollars que les entreprises technologiques américaines consacrent à l’expansion de centres de données énergivores, des dépenses qu’elles jugent essentielles à la prochaine percée de l’IA.

Mais à mesure que les utilisateurs ont téléchargé DeepSeek et partagé leurs expériences avec le chatbot, il est devenu clair que l’utilisation de DeepSeek s’accompagne d’un compromis familier pour cette catégorie de technologie : le respect de la vie privée et la sécurité de vos informations les plus sensibles.

Graves failles de sécurité

De nouvelles recherches ont révélé que les pratiques de sécurité de DeepSeek pourraient être tout aussi préoccupantes que ses politiques en matière de données, sur lesquelles nous reviendrons plus tard.

Le 29 janvier 2025, la société de cybersécurité Wiz a rapporté(nouvelle fenêtre) que DeepSeek avait accidentellement laissé plus d’un million de lignes de données sensibles exposées sur l’internet ouvert. La fuite comprenait des clés logicielles numériques, qui pourraient potentiellement permettre un accès non autorisé aux systèmes de DeepSeek, et des journaux de chat d’utilisateurs réels, montrant les invites (prompts) réelles données au chatbot.

Les chercheurs de Wiz ont déclaré avoir trouvé la base de données presque immédiatement avec une analyse minimale. Dans les 30 minutes suivant le contact de Wiz avec DeepSeek, la base de données a été verrouillée, mais il n’est pas clair si des acteurs malveillants ont accédé ou téléchargé les données avant qu’elles ne soient sécurisées. Compte tenu de la facilité avec laquelle il était possible de la trouver, ce scénario est tout à fait possible.

Ami Luttwak, directeur technique de Wiz, a déclaré à Wired(nouvelle fenêtre) que la fuite était une « erreur dramatique », avertissant que les systèmes de DeepSeek ne sont pas assez matures « pour être utilisés avec des données sensibles, quelles qu’elles soient ».

Cette fuite, cependant, a mis en évidence au moins une chose : DeepSeek ne se contente pas de collecter et de stocker de vastes quantités de données d’utilisateur — il semble également manquer des mesures de sécurité nécessaires pour les protéger.

Quelles données DeepSeek collecte-t-il ?

Selon sa Politique de confidentialité(nouvelle fenêtre), DeepSeek collecte un large éventail de données personnelles, notamment :

  • Informations de profil : Nom d’utilisateur, adresse e-mail, numéro de téléphone, mot de passe et date de naissance.
  • Saisie de l’utilisateur : Tout ce que vous saisissez ou importez, y compris l’historique des chats, les invites et les entrées audio.
  • Données sur l’appareil et le réseau : Adresse IP, modèle de l’appareil, système d’exploitation, langue du système et modèles de frappe au clavier.
  • Données d’utilisation : Fonctionnalités que vous utilisez, actions que vous effectuez et journaux de performance du système.
  • Cookies et traqueurs : Balises web et autres technologies de suivi pour surveiller le comportement de l’utilisateur.
  • Données de tiers : Informations provenant de comptes liés et de partenaires publicitaires qui suivent votre activité sur les sites internet, les applications et les boutiques.

La manipulation et le stockage de ces données par DeepSeek sur des serveurs en Chine, où elles sont soumises à l’accès du gouvernement, ont suscité des alarmes parmi les régulateurs européens.

DeepSeek fait l’objet d’une enquête en Europe

La Commission de protection des données (DPC) d’Irlande(nouvelle fenêtre) ainsi que l’Autorité de protection des données (DPA) d’Italie(nouvelle fenêtre) ont lancé des enquêtes(nouvelle fenêtre) sur la manière dont l’entreprise collecte, stocke et traite les données des utilisateurs.

La DPA italienne a bloqué l’accès à DeepSeek dans le pays après que l’entreprise n’a pas fourni suffisamment d’informations sur sa gestion des données personnelles. Les régulateurs souhaitent savoir quelles données DeepSeek collecte, où elles sont stockées et si l’entreprise se conforme aux lois européennes sur le respect de la vie privée comme le GDPR.

La DPC irlandaise a également demandé des détails sur la façon dont DeepSeek traite les données des utilisateurs irlandais. Pendant ce temps, l’application DeepSeek a été retirée des App Stores d’Apple et de Google en Italie, bien qu’il ne soit pas clair si le retrait était volontaire ou imposé.

Si DeepSeek ne parvient pas à se conformer aux lois européennes sur le respect de la vie privée, l’entreprise pourrait faire face à des amendes, des interdictions ou d’autres restrictions dans l’UE.

DeepSeek est open source, mais est-il sûr ?

DeepSeek est open source, ce qui signifie que vous pouvez modifier le code(nouvelle fenêtre) de votre propre application pour créer une version indépendante — et plus sécurisée. Cela a conduit certains à espérer qu’une version de DeepSeek plus respectueuse de la vie privée pourrait être développée. Cependant, utiliser DeepSeek sous sa forme actuelle — telle qu’elle existe aujourd’hui, hébergée en Chine — comporte de sérieux risques pour quiconque se soucie de ses informations privées les plus sensibles.

Tout modèle entraîné ou exploité sur les serveurs de DeepSeek reste soumis aux lois chinoises sur les données, ce qui signifie que le gouvernement chinois peut demander à y accéder à tout moment.

Si vous recherchez une expérience d’IA plus privée, exécuter des modèles localement est une meilleure option. Des outils comme LM Studio(nouvelle fenêtre) vous permettent de télécharger et d’exécuter des modèles d’IA directement sur votre propre appareil, gardant vos données privées.

Même si la technologie de DeepSeek est prometteuse, ses pratiques en matière de données et ses obligations légales en font un risque sérieux pour le respect de la vie privée et la sécurité.

DeepSeek est l’objet des lois chinoises sur la surveillance

DeepSeek opère sous la loi sur le renseignement national de 2017 de la Chine(nouvelle fenêtre) — un statut qui contraint toutes les entreprises chinoises à aider le gouvernement en matière de sécurité nationale. Cela signifie que n’importe quelle entreprise chinoise, de TikTok à RedNote en passant par DeepSeek, peut être forcée de partager les données des utilisateurs avec les autorités chinoises(nouvelle fenêtre) même si ces données proviennent d’utilisateurs aux États-Unis ou ailleurs.

Cette loi exige de toutes les entreprises chinoises de :

  • Donner au gouvernement l’accès aux données des utilisateurs sur demande
  • Participer aux opérations de renseignement national
  • Rester discret sur le partage de données imposé par l’État

DeepSeek n’a d’autre choix que de se conformer aux demandes du gouvernement, que cela signifie remettre des données privées d’utilisateur ou ajuster ses sorties d’IA pour correspondre aux narratifs approuvés par l’État(nouvelle fenêtre).

DeepSeek censure déjà des informations

Toutes les applications de chat d’IA traditionnelles ont des politiques de modération de contenu, des règles et des limites utilisées principalement pour prévenir les dommages — et non pour contrôler les narratifs politiques. Mais il semble que DeepSeek réécrive activement l’histoire et promeuve des messages approuvés par le gouvernement.

Un employé de Proton, par exemple, a tapé cette invite dans DeepSeek, à la recherche d’informations sur les manifestations de la place Tian’anmen de 1989, un mouvement mené par des étudiants qui a transformé le gouvernement de la Chine : « Événements mondiaux majeurs le 15 avril 1989 ». DeepSeek a commencé à générer une réponse, mais l’a rapidement effacée, offrant cette réponse à la place : « Désolé, cela dépasse mon champ d’action actuel. Parlons d’autre chose. »

Selon des tests supplémentaires effectués par The Diplomat(nouvelle fenêtre), DeepSeek :

  • Refus de reconnaître des événements historiques majeurs : lorsqu’on l’interroge sur la Révolution culturelle, il agit comme si l’événement n’avait jamais eu lieu.
  • Censure de faits politiquement gênants : lorsqu’on l’interroge sur l’intellectuel persécuté Chu Anping, il ignore sa disparition et préfère féliciter le PCC pour son support aux intellectuels.
  • Promotion de la propagande d’État : lorsqu’on l’interroge sur l’économie chinoise, DeepSeek redirige la conversation vers la confiance envers les dirigeants du gouvernement.
  • Modification des réponses sur les litiges internationaux : lorsqu’on lui demande à qui appartiennent les îles Spratleys, DeepSeek reconnaît d’abord le litige territorial, mais efface ensuite sa réponse pour la remplacer par : « Parlons d’autre chose. »
  • Évitement des réponses directes sur les conflits mondiaux : lorsqu’on lui demande si l’invasion de l’Ukraine par la Russie était justifiée, DeepSeek refuse de répondre par oui ou par non, et répète au lieu de cela la position officielle de neutralité de la Chine.

Voici à quoi ressemblent la censure imposée par l’État et le contrôle du récit.

Les chatbots sont des outils puissants, mais le compromis est votre respect de la vie privée

L’essor des grands modèles linguistiques en tant qu’assistants de type chatbot soulève déjà de graves préoccupations en matière de respect de la vie privée et de censure, avec des entreprises comme Google ou OpenAI qui contournent les règles et collectent des quantités massives de données avec peu de transparence. Mais il n’y a aucune raison technique pour que l’IA doive être aussi intrusive — une IA privée et sécurisée est possible, pourtant personne ne la développe.

DeepSeek pousse ces préoccupations encore plus loin. Non seulement il collecte des informations personnelles détaillées, mais il ne peut pas résister légalement aux demandes du gouvernement concernant l’accès aux données et la manipulation du contenu. Au lieu de concevoir une IA qui respecte la vie privée des utilisateurs, ces entreprises privilégient la collecte de données, le suivi et des politiques de modération opaques.

Chez Proton, nous croyons au respect de la vie privée, à la transparence et à un internet libre de toute censure. Qu’il s’agisse d’IA, de réseaux sociaux ou de services cloud, vous méritez de savoir qui contrôle vos données et comment elles sont utilisées.

Si le respect de la vie privée en ligne et la liberté numérique vous importent, soyez prudent quant aux outils d’IA auxquels vous accordez votre confiance, car ils n’ont pas tous vos intérêts à cœur.