TL;DR. Une action collective déposée en Californie ce mois-ci allègue que des conversations avec des chatbots sont acheminées via des traqueurs publicitaires. L'argument porte parce que les chatbots sont désormais la technologie la plus intime que beaucoup de gens utilisent. Les politiques de confidentialité ne peuvent pas empêcher ce type de fuite ; seule l'architecture le peut. Ostler conserve chaque étape de raisonnement sur le Mac du client lui-même, car la seule confidentialité que vous pouvez auditer est celle que votre architecture ne peut pas violer.

Les gens disent à leurs chatbots des choses qu'ils ne taperaient jamais dans une barre de recherche. Des symptômes. Des liaisons. Des montants de salaire. Des brouillons de lettres qu'ils n'enverront pas. L'interaction ressemble à une conversation avec quelqu'un qui prête attention, parce que c'est exactement ce que le produit est conçu pour donner comme sensation. Le back-end est autre chose.

Le 13 mai, le Tech Justice Law Project a déposé une action collective en Californie contre OpenAI, alléguant que les échanges avec les chatbots ont été acheminés via une infrastructure de suivi exploitée par Meta et Google, transformant un texte intime en signal publicitaire. Le cadrage de Futurism sur la contradiction est le résumé le plus clair que j'aie lu en un an :

“When you’re interacting with a chatbot that engages with you as if it’s another person, it can be easy to forget that it is, in fact, a product that’s siphoning up, storing, and sharing your personal information.”
Source : Futurism, 14 mai 2026

Le même cabinet d'avocats avait déposé une plainte antérieure contre Perplexity au sujet d'informations financières fuitant via des pixels traceurs. Le schéma n'est pas une seule entreprise ; c'est la catégorie. Nous assistons au moment où l'héritage de surveillance de l'industrie de l'IA grand public cesse d'être un détail d'ingénierie discret et commence à être une pièce à conviction de tribunal.

L'intimité est réelle. Les pixels aussi.

L'intimité n'est pas du marketing. La thérapie est l'usage le plus cité des chatbots grand public dans chaque sondage publié cette année. Des gens qui ne se confieraient jamais à un inconnu à un arrêt de bus se confient à quelque chose qui répond en prose fluide à trois heures du matin. Les adolescents le font. Les endeuillés le font. Les gens qui prennent des décisions médicales le font. Les gens qui envisagent des séparations, des démissions et des révélations le font.

Ce qui se trouve derrière la zone de saisie, dans tous les cas sauf un, est un cluster d'inférence distant détenu par une entreprise dont l'économie repose sur le stockage de ce que vous avez dit. Parfois pour l'entraînement. Parfois pour l'amélioration du service. Parfois, si les plaintes déposées ce mois-ci sont retenues, pour la publicité. L'interaction est la chose la plus personnelle que beaucoup de gens aient jamais tapée dans un ordinateur. Le pipeline se termine quelque part où ils n'ont jamais mis les pieds et qu'ils ne peuvent pas voir.

Jeff Bezos a appris à Amazon à distinguer les portes à sens unique des portes à double sens. Une porte à double sens est une décision que vous pouvez défaire ; une porte à sens unique est une décision que vous ne pouvez pas défaire. Taper vos pensées les plus intimes dans un chatbot qui les stocke est une porte à sens unique. Vous ne pouvez pas dé-partager votre âme.

La défense que l'industrie propose est une politique de confidentialité. Une politique de confidentialité est une promesse. Une promesse est appliquée par des avocats, rétrospectivement, sur une échelle de temps qui n'aide pas la personne dont les révélations se trouvent déjà dans un corpus d'entraînement. Nous avons passé vingt ans à apprendre ce que valent les promesses de niveau entreprise. La version honnête de la réponse est “ça dépend de ce que fait votre contrepartie ensuite”.

C'est l'architecture qui décide

Le seul type de confidentialité que vous pouvez auditer est celui que votre architecture ne peut pas violer. Tout le reste n'est que paperasse.

C'est le point qui s'est perdu dans le débat sur la confidentialité de l'IA grand public. Il existe une différence significative et physique entre un assistant qui promet de ne pas partager votre vie intérieure avec un tiers et un assistant qui ne le peut pas, parce que la vie intérieure ne quitte jamais la machine dans laquelle elle a été tapée. Le premier type exige que vous fassiez confiance aux intentions d'une entreprise, à ses avocats, à sa trajectoire de rachat, à son futur PDG, et à chaque prestataire ayant accès à la base de données. Le second type exige que vous fassiez confiance à une carte réseau. Vous pouvez débrancher une carte réseau.

Ostler relève du second type. Chaque composant qui touche aux données personnelles, le modèle de raisonnement, le graphe de mémoire personnelle, les adaptateurs de canal pour iMessage, WhatsApp et l'e-mail, le pipeline d'ingestion pour les photos, le calendrier et l'historique du navigateur, tourne sur le Mac du client lui-même. Il n'y a aucun aller-retour vers le cloud pour les requêtes personnelles. Le modèle local répond en local. Le graphe qu'il interroge se trouve sur le même disque. Il existe une voie opt-in vers un modèle cloud pour les rares cas où vous le souhaitez, désactivée par défaut ; quand vous l'activez, vous voyez chaque mot sur le point de quitter votre Mac avant qu'il ne parte.

La preuve technique indépendante de cela est l'“étiquette nutritionnelle” de confidentialité de l'App Store. Apple exige désormais que les applications déclarent chaque catégorie de données qu'elles collectent et chaque SDK de suivi qu'elles intègrent. La nôtre dit “Aucune donnée collectée”. Aucun SDK d'analytique. Aucun point de terminaison de télémétrie. Aucun identifiant publicitaire. Aucun rapporteur de plantage tiers qui rappelle à la maison avec des traces de pile. Un audit en salle blanche du binaire de l'app iOS renverra zéro SDK de suivi parce qu'il y a zéro SDK de suivi à trouver. L'étiquette d'Apple est la seule affirmation de confidentialité de l'industrie qui soit applicable par la plateforme plutôt que par le fournisseur, et la nôtre est honnête.

Le compromis, nommé

Cela coûte plus cher à construire. Vous ne pouvez pas livrer un produit d'IA grand public comme architecturalement privé en rédigeant une politique de confidentialité plus longue. Vous devez placer tout ce qui vit normalement dans un cloud, le raisonnement, la récupération, les embeddings, le graphe, les adaptateurs de canal, sur un ordinateur portable que le client possède déjà. Vous devez le rendre assez rapide pour que le client ne le remarque pas. Vous devez le faire sans l'infrastructure élastique qui permet à toutes les autres équipes de cette catégorie d'itérer rapidement et à moindre coût.

Cela a pris huit mois. C'est le rempart. Nous sommes satisfaits du compromis.

Conclusion

La prochaine décennie de l'IA grand public sera un débat sur l'endroit où le pipeline se termine. Les entreprises qui soutiennent qu'il peut se terminer en toute sécurité dans leurs centres de données passeront cette décennie au tribunal. Les entreprises qui soutiennent qu'il devrait se terminer sur la machine du client lui-même la passeront à construire.

The world does revolve around you.™ L'architecture devrait le faire aussi.

Questions, corrections, désaccords – [email protected].