Pourquoi « la non-formation » ne suffit pas
Confidentialité
La formation n’est qu’une façon dont le contenu des utilisateurs peut être exposé. La conservation, les journaux, la revue humaine, la mise en cache, les galeries et le routage par des tiers comptent aussi.
- Date
- 2 juillet 2026
- Author
- Unexposed

« Nous ne formons pas sur vos données » est une bonne phrase. C’est aussi loin d’être tout le repas. Ce n’est qu’un petit pois sur une assiette très grande, légèrement suspecte.
La formation est un risque. Si un fournisseur utilise les invites des clients, les images téléversées ou les sorties pour améliorer des modèles sans autorisation, c’est évidemment un problème. Mais les clients se soucient généralement d’une question plus large : que devient mon contenu après que je l’ai envoyé ? La formation n’est qu’une destination possible.
Le contenu peut être conservé pour la surveillance des abus. Il peut être stocké comme état de l’application. Il peut rester dans un fil de conversation jusqu’à suppression. Il peut être mis en cache pour les performances. Il peut être consigné dans des journaux de requêtes. Il peut être copié dans un rapport d’erreur. Il peut être visible par le personnel d’assistance. Il peut être stocké dans la galerie d’un utilisateur. Il peut être routé vers un autre fournisseur dont la politique est complètement différente. Il peut être « non utilisé pour la formation » tout en étant conservé assez longtemps pour faire reculer lentement un acheteur soucieux de sa confidentialité hors de la pièce.
Ce n’est pas un débat théorique. Les grandes plateformes d’IA publient des tableaux détaillés de conservation, car le comportement aux extrémités diffère. Par exemple, la documentation des contrôles de données d’OpenAI distingue l’utilisation pour la formation, la conservation à des fins de surveillance des abus, la conservation comme état de l’application et l’éligibilité à la Zero Data Retention selon les endpoints. Les endpoints d’images listés ne sont pas tous identiques pour chaque modèle et chaque condition. Cette complexité n’est pas mauvaise en soi, mais c’est une complexité, et les équipes produit ne devraient pas l’aplatir en une seule phrase rassurante.
La documentation de la plateforme Gemini Enterprise Agent de Google fait un point similaire sous un autre angle : elle sépare les restrictions de formation des scénarios de conservation comme la surveillance des abus, l’enregistrement des requêtes-réponses, la reprise de session et la mise en cache. Là encore, la leçon n’est pas « tout le monde est mauvais ». La leçon est « les détails comptent ». La confidentialité est un tableau, pas une ambiance.
Pour les produits d’images IA, cette distinction devient encore plus nette, car la matière source peut être extrêmement personnelle. Une invite est sensible. Un visage l’est davantage. Un visage plus une invite plus une sortie générée plus un relevé de facturation plus une capture d’écran de support : ce n’est plus « juste un appel d’API ». C’est un mini-dossier créé par accident, ce qui est la chose la plus logicielle imaginable.
Un meilleur texte de confidentialité devrait répondre à plusieurs questions simples. Formez-vous sur le contenu des clients ? Conservez-vous les invites ? Conservez-vous les images sources ? Conservez-vous les sorties générées ? Existe-t-il des exceptions pour la sécurité ou la loi ? Le personnel peut-il voir le contenu ? Envoyez-vous le contenu à des fournisseurs d’images externes ? Combien de temps les fichiers temporaires existent-ils ? Quelles métadonnées restent après la génération ?
La position d’Unexposed est volontairement plus étroite et plus concrète : conserver les invites, les images sources, les sorties générées et les clés à l’intérieur d’une infrastructure contrôlée par Unexposed, les faire passer par des sessions de génération à durée de vie courte, et conserver des enregistrements durables sans contenu. Cela ne signifie pas « que rien n’existe nulle part jamais », car la facturation et les opérations existent toujours. Cela signifie que le système durable ne doit pas devenir un musée de contenu créatif avec une meilleure gestion des incidents.
Si la page de confidentialité d’un fournisseur s’arrête à « nous ne formons pas », posez la question suivante. Puis la suivante. Puis la question agaçante. La question agaçante est généralement là où se trouve la vérité produit, fatiguée, tenant un fichier de logs.
Pour aller plus loin : les contrôles de conservation des données d’OpenAI, la documentation sur la zero data retention de Google, et le stockage des données d’Unexposed.