Veille IA // Dimanche 29 mars 2026 // Strasbourg
La pépite française de l’IA fait l’objet d’une plainte auprès de la CNIL pour traitement inégal des données personnelles entre utilisateurs gratuits et payants de son chatbot Le Chat. Un dossier qui cristallise la tension permanente entre innovation souveraine et protection des droits fondamentaux.
📋 Dans cet article
- Les faits
- Le contexte réglementaire
- Ce que j’en retiens
Les faits
Une plainte a été déposée auprès de la Commission nationale de l’informatique et des libertés (CNIL) concernant les pratiques de collecte de données de l’application Le Chat. Le reproche principal : les utilisateurs de la version gratuite ne disposaient pas d’option simple pour refuser l’exploitation de leurs conversations à des fins d’entraînement des modèles. En revanche, les abonnés payants (à partir de 15 €/mois) bénéficiaient d’un bouton d’opt-out intégré directement dans leur interface.
Cette asymétrie pourrait constituer une violation de l’article 12 du RGPD, qui stipule qu’aucun paiement ne peut être exigé pour exercer ses droits sur ses données personnelles. En clair : le droit de dire « non » à l’utilisation de ses données ne devrait pas dépendre de son portefeuille.
Le contexte réglementaire
L’affaire s’inscrit dans un contexte européen de plus en plus strict. L’AI Act entre progressivement en application, les pratiques interdites (scoring social, manipulation subliminale) sont en vigueur depuis février 2025, et l’application complète pour les systèmes à haut risque est prévue au 2 août 2026. La CNIL, de son côté, multiplie les contrôles sur les acteurs de l’IA générative — y compris les champions nationaux.
En réponse à la plainte, la politique de confidentialité a été mise à jour (section 3.4.2). Les utilisateurs gratuits peuvent désormais exercer leur droit d’opposition en envoyant un email à privacy@mistral.ai. L’entreprise invoque l’intérêt légitime (article 6(1)(f) du RGPD) pour justifier la collecte, arguant que les données améliorent la précision des réponses de l’assistant.
La CNIL n’a pas encore rendu sa décision. Selon les experts, l’autorité pourrait exiger une harmonisation complète des mécanismes d’opt-out entre les offres gratuites et payantes. En cas de non-conformité, les sanctions pourraient aller de l’avertissement à l’amende.
Ce que j’en retiens
C’est un dossier emblématique, et je le dis sans aucun plaisir. Quand on défend la souveraineté numérique européenne — et c’est notre ligne ici à Strasbourg — on a besoin que les acteurs français soient irréprochables sur le RGPD. Pas « à peu près conformes ». Irréprochables.
Le fond du problème n’est pas technique : ajouter un bouton d’opt-out pour les utilisateurs gratuits, ce n’est pas un défi d’ingénierie. C’est un choix produit. Et ce choix envoyait un signal problématique : vos données sont le prix à payer si vous ne sortez pas la carte bleue. C’est exactement le modèle qu’on reproche aux géants américains depuis des années.
La bonne nouvelle, c’est que la correction a été apportée. La mauvaise, c’est qu’il a fallu une plainte pour y arriver. Dans un marché où la confiance est le principal différenciateur face aux hyperscalers, ce genre de faux pas coûte cher en crédibilité — bien plus qu’une éventuelle amende de la CNIL.
Je reste convaincu que l’écosystème IA français a les moyens de jouer dans la cour des grands. Mais la souveraineté, ce n’est pas juste héberger ses serveurs en France. C’est aussi respecter les droits de ses utilisateurs dès le premier jour, pas après un rappel à l’ordre.
Glossaire express
- RGPD (Règlement Général sur la Protection des Données) — Règlement européen en vigueur depuis 2018, qui encadre la collecte et le traitement des données personnelles. Il garantit notamment le droit d’accès, de rectification et d’opposition.
- Opt-out — Mécanisme permettant à un utilisateur de refuser un traitement de ses données. Le RGPD impose que ce droit soit accessible sans condition financière.
- Intérêt légitime (art. 6(1)(f) RGPD) — L’une des six bases légales pour traiter des données personnelles. L’entreprise doit démontrer que son intérêt ne prime pas sur les droits fondamentaux de la personne concernée.
- AI Act — Règlement européen sur l’intelligence artificielle, adopté en 2024, qui classe les systèmes IA par niveau de risque et impose des obligations croissantes de transparence et de conformité.
Sources
- GPTBox — Mistral AI dans le viseur de la CNIL
- LeBigData — Protection des données : Mistral AI dans le viseur de la CNIL
- L’Usine Digitale — Mistral AI visé par une plainte
- Sifted — Mistral quietly changes Le Chat’s privacy policy after GDPR complaint
- Clubic — Mistral AI et le droit d’opposition des utilisateurs gratuits
⚡ À retenir
- La pépite française de l’IA fait l’objet d’une plainte auprès de la CNIL pour traitement inégal des données personnelles entre utilisateurs gratuits et payants de son chatbot Le Chat.
- le droit de dire « non » à l’utilisation de ses données ne devrait pas dépendre de son portefeuille.
Vous trouvez cette veille utile ?
Retrouvez chaque jour les actus Tech & IA sur alsace.ai
