Ce que Word, Grammarly et ChatGPT font avec les textes de votre équipe

Quatre voies discrètes de fuite de données que la plupart des entreprises n'ont jamais auditées - dans Word, dans Grammarly, dans VS Code et dans les chats LLM.

Publié le 15 Oct 2025 par Gabriel Tanguay

Votre équipe commerciale, vos RH, votre service juridique, vos comptables et vos développeurs tapent chaque jour du texte confidentiel - dans Word, dans des courriels, dans votre CRM, dans des chats. Les outils de productivité modernes envoient discrètement une bonne partie de ce texte à des services distants, généralement basés aux États-Unis, parfois hors de tout contrat que vous avez réellement signé, pour alimenter des fonctionnalités qui semblent tourner localement. Cet article passe en revue quatre cas concrets que votre équipe utilise probablement sans y penser - Microsoft Word, Grammarly, complétion de code par IA et ChatGPT ou Claude - et explique quoi faire pour chacun.

Microsoft Word : correction automatique, Editor et Copilot

La correction automatique de base (vague rouge sur les fautes de frappe, majuscule après un point) tourne localement sur votre machine. Cette partie est sans risque.

La situation change dès que vous activez Microsoft Editor, la vague bleue qui suggère des reformulations, des changements de registre et des réécritures pour la clarté. Beaucoup de ces vérifications tournent comme un service cloud, c’est-à-dire que la portion concernée de votre document est envoyée à Microsoft pour inspection. C’est encore plus marqué pour Microsoft 365 Copilot, qui envoie régulièrement le contexte du document à Microsoft - puis à l’API d’OpenAI - pour générer ses suggestions.

Concrètement : quand vous rédigez un contrat, une lettre RH, un rapport médical, une note juridique ou un courriel client dans Word avec Editor ou Copilot activés, le texte transite par les serveurs de Microsoft. Les conditions entreprise de Microsoft engagent l’éditeur à traiter les données pour le service uniquement, sans entraînement de modèles. À noter : Microsoft est une entreprise dont le siège est aux États-Unis, donc les données relèvent aussi de la juridiction américaine une fois sorties de votre machine - avec tout ce que cela implique au titre de la procédure légale américaine.

Pour du contenu confidentiel (client, employé) ou régulé (santé, finance, juridique), c’est un véritable canal de divulgation que très peu d’utilisateurs réalisent avoir activé.

Quoi faire :

  • Pour les documents sensibles, désactivez Editor et Copilot, document par document ou globalement. Dans Word : Fichier -> Options -> Vérification pour Editor ; Fichier -> Options -> Général pour Copilot.
  • Si vous administrez Microsoft 365, désactivez les expériences connectées pour les groupes qui manipulent des données confidentielles.
  • Lisez votre accord entreprise : même quand les données ’ne sont pas utilisées pour l’entraînement’, elles transitent par les systèmes de Microsoft, et le CLOUD Act s’applique.

Grammarly (et autres assistants d’écriture dans le navigateur)

Grammarly tourne comme une extension de navigateur et une application de bureau. Pendant que votre équipe tape dans Gmail, Outlook web, LinkedIn, Salesforce, HubSpot ou n’importe quel CRM ou outil d’administration interne, Grammarly observe le champ de saisie et envoie le texte à ses serveurs pour analyser la grammaire, le style et le ton. Idem pour son application de bureau, qui peut intercepter du texte depuis Word, Slack et d’autres applications natives.

Cela signifie que chaque courriel que votre équipe commerciale rédige, chaque lettre RH que votre service du personnel écrit, chaque réponse client, chaque note dans le CRM, chaque message Slack interne capté par l’application de bureau est traité par Grammarly Inc., une entreprise basée aux États-Unis. Grammarly publie une politique de confidentialité et propose une version Business avec un traitement plus strict. Les mêmes réserves s’appliquent : les données transitent chez un fournisseur américain, et la procédure légale américaine au titre du CLOUD Act y a accès.

Il est également à noter que Grammarly est souvent installé par les collaborateurs eux-mêmes, sans que l’IT ait fait passer la solution par une revue d’achat. Le flux de données n’est donc même pas dans le registre des risques de l’entreprise.

Quoi faire :

  • Décidez si Grammarly doit être autorisé à l’échelle de l’entreprise. Si oui, exigez la version Business avec un accord de traitement des données documenté, et déployez-la via l’IT, pas par installation personnelle.
  • Désactivez l’extension de navigateur sur les domaines qui hébergent des données régulées (portail bancaire, dossier patient électronique, back-office paiement, outillage d’audit).
  • Pour les entreprises suisses / UE avec des exigences plus strictes, préférez des alternatives sous contrôle européen comme LanguageTool (avec option d’auto-hébergement) ou DeepL Write.

VS Code (et Cursor, JetBrains, etc.) : complétion de code par IA

Les éditeurs modernes proposent une fonction de complétion par IA : GitHub Copilot, Cursor, Tabnine, JetBrains AI, Sourcegraph Cody, Continue. Tous fonctionnent de la même manière. Pendant que vous tapez, l’éditeur envoie un extrait de contexte à un modèle distant, qui renvoie des suggestions.

Ce qui quitte votre machine est plus que la ligne en cours :

  • Du code : pas seulement la ligne, mais assez de code environnant pour que la suggestion soit pertinente - typiquement 50 à plusieurs centaines de lignes.
  • Des commentaires : y compris les notes TODO et FIXME qui peuvent nommer des systèmes clients, des projets internes ou des fournisseurs.
  • Des noms de fichiers et chemins : qui peuvent eux-mêmes révéler la structure d’un projet interne.
  • Parfois : des secrets posés dans le code source (clés d’API, chaînes de connexion) que le développeur était sur le point de nettoyer.

Pour un projet open source, c’est sans souci. Pour un dépôt privé contenant des schémas de données client, de la logique de sécurité, des journaux d’audit ou des intégrations à des systèmes accrédités, c’est l’équivalent de coller des fragments de votre base de code dans une API tierce toutes les quelques secondes.

Quoi faire :

  • Décidez par dépôt, pas globalement. La plupart des assistants supportent un fichier d’exclusion à la racine (.copilotignore, .cursorignore, etc.) ou un commutateur ‘désactivé pour cet espace de travail’.
  • Pour les bases privées avec données régulées, préférez des modèles auto-hébergés (par exemple Ollama plus Continue, ou JetBrains AI avec option on-prem) ou des modèles routés via votre propre compte fournisseur avec une clause contractuelle de non-entraînement.
  • Auditez ce que votre éditeur envoie : GitHub Copilot expose un journal de requêtes, Cursor a un panneau de confidentialité - allez voir.

Coller dans ChatGPT, Claude ou n’importe quel chat LLM

La manière la plus rapide de divulguer des données confidentielles est aussi la plus courante : les coller dans un chat LLM - ‘aide-moi à reformuler’, ‘résume ce contrat’, ’traduis ce mail’, ’explique cette stack trace’.

L’entrée du chat va directement chez le fournisseur. Les formules grand public par défaut (ChatGPT gratuit, Claude gratuit) peuvent utiliser cette entrée pour améliorer leurs futurs modèles, sauf si vous avez explicitement refusé. Les formules entreprise (ChatGPT Team / Enterprise, Claude for Work, API Anthropic avec rétention zéro) ne s’entraînent pas sur vos données, mais celles-ci transitent quand même par l’infrastructure du fournisseur, restent dans ses journaux pendant une certaine durée et sont accessibles à la procédure légale de sa juridiction.

Ce qui est collé en pratique et n’aurait pas dû l’être :

  • Listes clients avec noms et emails
  • Projets de contrats et textes de NDA
  • Tableaux de salaires et lettres RH
  • Résumés patients, rapports de laboratoire, dossiers d’assurance
  • Code source contenant des identifiants ou des algorithmes propriétaires

Quoi faire :

  • Si vous utilisez un chat LLM pour le travail, utilisez une formule entreprise avec un accord documenté de traitement des données (zéro rétention, pas d’entraînement).
  • Pour le contenu suisse / UE régulé, préférez des modèles locaux (Ollama, llama.cpp, une instance Mistral servie sur votre propre infrastructure) ou des offres hébergées en UE.
  • Établissez une règle interne simple : ‘Ne collez jamais dans un chat LLM ce que vous ne colleriez pas dans la barre d’URL d’un site public.’

Ce que cela donne au niveau de l’entreprise

Ces trois outils forment ensemble un canal d’exfiltration de données quasiment invisible. Des personnes qui n’enverraient jamais de données client par courriel à un inconnu les collent chaque jour dans Copilot, Cursor ou ChatGPT, car l’expérience donne l’impression que tout est local. Ce n’est pas le cas.

La solution n’est pas d’interdire les outils IA. La solution est de savoir quelle formule de quel outil est utilisée pour quel type de données, de l’écrire sur une page de politique courte, et de configurer les outils en conséquence. C’est exactement le genre de chose qu’un audit demande, et c’est beaucoup plus simple à mettre en place avant l’audit que pendant.

Une règle pratique

Outils purement hors ligne (correcteur de base, coloration syntaxique simple, LLM locaux) : aucune donnée ne quitte la machine. Utilisables sans réserve pour le travail sensible.

Assistants IA cloud (Microsoft Editor, Copilot, ChatGPT, Claude, Cursor) : les données transitent par un tiers. Utilisez la formule entreprise avec un accord documenté de zéro rétention, ou désactivez l'assistant pour les contenus confidentiels.

Si votre secteur fait l'objet d'un audit (santé, finance, juridique, secteur public), notez quelle version de quel outil traite quelles données. L'auditeur posera la question.

par

Gabriel Tanguay

Gabriel Tanguay

Consultant en Ingénérie des Logiciels

Mettre en place une politique IA saine.

Nous pouvons auditer les chemins frappe-vers-cloud de votre équipe et vous aider à mettre en place une politique d'usage IA interne qui résiste à un audit. Réponse sous un jour ouvré.

Parlons-en