Le Parlement européen a désactivé des fonctions d’IA sur les tablettes des députés, faute de garanties sur les données envoyées vers des serveurs d’IA. En toile de fond, la fuite NSW illustre le risque d’usage.
Selon un mail consulté par Politico, l’informatique du Parlement européen avertit que la sécurité des données téléversées vers des serveurs d’IA, comme ceux utilisés par ChatGPT, ne peut pas être garantie. Lundi 16 février, les élus ont été informés que des « fonctions d’intelligence artificielle intégrées » avaient été désactivées sur les tablettes professionnelles. L’équipe IT explique que certaines options s’appuient sur des services cloud et envoient des données hors de l’appareil, alors que des traitements pourraient être réalisés localement.
Pourquoi l’IA intégrée inquiète l’IT du Parlement
Le message interne rapporté par Politico repose sur un constat simple, dès qu’une fonction « intelligente » s’appuie sur le cloud, une partie du contrôle s’éloigne. Le service informatique du Parlement européen prévient que la protection de toute donnée envoyée vers des serveurs d’IA, « such as those used by ChatGPT », ne peut pas être assurée. Il ajoute surtout que la cartographie exacte des flux, autrement dit ce qui part, quand, et vers qui, reste en cours de consolidation.
Cette incertitude déclenche une décision de précaution. Lundi 16 février 2026, les membres de la chambre ont été informés que des « built-in artificial intelligence features » avaient été désactivées sur les tablettes d’entreprise. L’argumentaire technique vise des fonctions qui, selon l’équipe IT, utilisent des services cloud pour exécuter des tâches qui pourraient être traitées localement, et donc envoient des données hors de l’appareil. Au fil des mises à jour, ces fonctionnalités se diffusent et se complexifient, ce qui rend l’évaluation des partages de données plus difficile. Tant que le périmètre n’est pas « fully clarified », la consigne est de les maintenir inactives.
Un responsable de l’UE, cité dans le récit, précise la nature des outils concernés, assistants de rédaction, systèmes de synthèse, résumeurs de pages web, et assistants virtuels renforcés. Le détail est important, car il ne s’agit pas d’une interdiction générale de logiciels, mais d’un gel ciblé des automatismes capables d’aspirer du texte, des pièces jointes, des contenus web ou des extraits de documents, puis de les transmettre à un prestataire. À l’inverse, les applications de base, e-mail, calendriers, documents, et autres outils quotidiens, ne sont pas affectées.
Ce choix s’accompagne d’une communication maîtrisée, voire frustrante. Interrogée par Politico, l’UE refuse de préciser quelles fonctions exactes ont été coupées ou quel système fait tourner les appareils. Le Parlement européen répond qu’il « constantly monitor[s] cyber security threats » et déploie rapidement les mesures nécessaires, tout en jugeant que leur nature est sensible et ne peut pas être détaillée. Ce silence, classique en sécurité, alimente toutefois un autre risque, laisser les utilisateurs deviner, contourner, ou substituer des outils, parfois moins contrôlés.
Le vrai danger, l’exfiltration par usage banal
L’épisode met en lumière un déplacement de la menace. L’IA élargit la surface d’attaque, non seulement via des vulnérabilités techniques, mais aussi par la facilité des erreurs, un copier-coller, un document glissé dans un champ de chat, une synthèse automatique lancée sur un texte interne. Ce n’est pas la sophistication qui rend l’incident probable, c’est la banalité du geste.
L’exemple fourni par l’Australie, survenu fin 2025 selon le récit, cristallise cette logique. La NSW Reconstruction Authority (RA), agence en charge de réduire l’impact des catastrophes naturelles, a annoncé être au courant d’une « data breach » touchant des milliers de personnes ayant candidaté au Northern Rivers Resilient Homes Program (RHP), un dispositif d’aide financière destiné à renforcer la résistance des habitations aux inondations. Le gouvernement de Nouvelle-Galles du Sud explique que la faille provient d’un ancien contractuel, qui a téléversé des données personnelles dans un outil d’IA non sécurisé et non autorisé par le département.
Les autorités ajoutent qu’il n’existe « no evidence » de publication des informations. Le communiqué précise un fait brut, le contractuel aurait copié 10 colonnes et plus de 12 000 lignes d’un tableur Microsoft Excel dans ChatGPT. Sur la base d’une « early forensic analysis », jusqu’à 3 000 personnes pourraient être concernées. Les données exposées incluent noms, adresses, e-mails, numéros de téléphone, ainsi que des informations personnelles et de santé.
La comparaison n’est pas un parallèle technique, mais un parallèle comportemental. Dans les deux cas, la question centrale est le contrôle des flux, ce qui quitte le terminal, ce qui est conservé côté prestataire, et qui peut y accéder. La décision du Parlement européen, désactiver tant que l’évaluation n’est pas achevée, vise précisément à éviter qu’un outil « intégré » banalise l’externalisation de fragments sensibles, au nom du confort.
À mesure que l’IA s’invite partout, la fuite la plus probable n’est plus un piratage, mais un téléversement ordinaire devenu irréversible.
