La CNIL annonce qu'elle examinera le traitement des données personnelles par l'IA chinoise DeepSeek. Elle se range ainsi aux côtés des régulateurs italien et irlandais, qui ont donné 20 jours à l'entreprise pour clarifier sa politique de confidentialité.

La CNIL s'intéresse elle aussi à DeepSeek, mais pas pour ses performances © T. Schneider / Shutterstock
La CNIL s'intéresse elle aussi à DeepSeek, mais pas pour ses performances © T. Schneider / Shutterstock

En quelques jours seulement, l'IA DeepSeek, développée par un laboratoire chinois, bat de records de popularité depuis le lancement de son modèle R1 le 20 janvier 2025. L'application est devenue la plus téléchargée en France et aux États-Unis.

Mais les autorités européennes de protection des données s'interrogent sur la conformité de l'entreprise avec le Règlement général sur la protection des données (RGPD). La CNIL a indiqué le 30 janvier qu'elle allait analyser l'outil et demander des explications à l'entreprise chinoise. Cette initiative suit celle du régulateur italien, qui a déjà obtenu le retrait de l'application des magasins d'applications en Italie.

Une mobilisation européenne pour la protection des données

Un pour tous, et tous pour un. Les autorités de protection des données italiennes, irlandaises et françaises unissent leurs efforts pour obtenir des réponses de DeepSeek. Comme il l'a annoncé par voie de presse, le régulateur italien (GPDP) a donné le ton en exigeant des informations précises sur la collecte et le stockage des données. L'autorité a estimé que DeepSeek représentait « un risque élevé pour les données de millions de personnes en Italie ». Le régulateur irlandais a également contacté l'entreprise pour comprendre le traitement des données des utilisateurs irlandais.

La CNIL, quant à elle, précise qu'aucune plainte n'a été déposée contre DeepSeek pour l'instant. Son service consacré à l'intelligence artificielle examine actuellement l'outil. Les trois régulateurs demandent des éclaircissements sur la nature des données collectées, leurs sources, leurs finalités et leur lieu de stockage. En clair, DeepSeek est priée de bien vouloir montrer patte blanche avant d'envahir l'Europe.

DeepSeek dans le collimateur de la CNIL © Mojahid Mottakin / Shutterstock
DeepSeek dans le collimateur de la CNIL © Mojahid Mottakin / Shutterstock

Des préoccupations concrètes sur la sécurité des données

La politique de confidentialité de DeepSeek indique que les informations personnelles des utilisateurs sont conservées sur des serveurs en Chine. Ces données comprennent les identifiants des comptes, l'historique des conversations et des éléments techniques. La durée de conservation n'est pas précisée.

On vous en parlait sur Clubic, des chercheurs en cybersécurité de l'entreprise Wiz ont découvert une fuite de données exposant l'historique des conversations de plusieurs millions d'utilisateurs. Cette situation inquiète d'autant plus que la législation chinoise autorise le gouvernement à accéder aux données des entreprises nationales.

Les régulateurs européens attendent maintenant les réponses de DeepSeek. Les précédents montrent que les sanctions peuvent être sévères. En 2023, l'Italie avait infligé une amende de 15 millions d'euros à OpenAI, le créateur de ChatGPT, pour des manquements similaires à la protection des données. La réponse de DeepSeek aux demandes des autorités européennes déterminera si l'application pourra continuer d'opérer sur le territoire de l'Union européenne.

Sources : RTL, The Guardian, GPDP