Le mirage du contrôle : la vie privée à l’ère de l’IA agentique

Nous avions l’habitude de concevoir la vie privée comme étant une question de périmètre : des murs et des verrous, des autorisations et des politiques. Mais dans un monde où les agents d’IA deviennent des acteurs autonomes — interagissant avec des données, des systèmes et des humains sans surveillance constante — la vie privée n’est plus une question de contrôle. C’est une question de confiance. Et la confiance, par définition, c’est ce qui se passe lorsque vos yeux sont ailleurs.

Une contribution de Sam Curry, vice-président mondial et RSSI en résidence chez Zscaler.

L’IA agentique — une IA qui perçoit, décide et agit au nom d’autrui — n’est plus théorique. Elle gère nos déplacements et nos mouvements, nous fait des recommandations, nous aide à la gestion de nos portefeuilles et négocie notre identité numérique à travers différentes plateformes. Ces agents ne se contentent pas de manipuler des données sensibles — ils les interprètent. Ils formulent des hypothèses, agissent sur la base de signaux partiels et évoluent selon des boucles de rétroaction. Par essence, ils construisent des modèles internes.

Et cela devrait nous interpeller.

Car dès lors qu’un agent devient adaptatif et semi-autonome, la vie privée ne se limite plus à savoir qui a accès aux données ; il s’agit de ce que l’agent déduit, de ce qu’il choisit de partager, de supprimer ou de synthétiser, et de savoir si ses objectifs restent alignés avec les nôtres à mesure que les contextes évoluent.

Prenons un exemple simple : un assistant de santé basé sur l’IA conçu pour optimiser le bien-être. Il commence par vous inciter à boire plus d’eau et à dormir davantage. Mais avec le temps, il se met à hiérarchiser vos rendez-vous, à analyser le ton de votre voix pour détecter d’éventuels signes de fatigue ou de dépression. Vous n’avez pas seulement partagé vos données — vous avez cédé au pouvoir de la narration. C’est là que la vie privée s’érode, non pas à travers une faille, mais par une dérive subtile du pouvoir et de l’intention.

Il ne s’agit plus uniquement de Confidentialité, d’Intégrité et de Disponibilité, le triptyque classique de la sécurité. Nous devons désormais prendre en compte l’authenticité (cet agent peut-il être vérifié comme étant lui-même ?) et la véracité (peut-on faire confiance à ses interprétations et représentations ?). Il ne s’agit pas seulement de qualités techniques — ce sont des éléments fondamentaux de la confiance.

Et la confiance est fragile lorsqu’elle est modérée par une intelligence artificielle.

Si je me confie à un thérapeute ou à un avocat, il existe des limites implicites — éthiques, juridiques, psychologiques. Des normes régissent nos échanges et l’utilisation qui sera faite des informations que je partage. Mais lorsque je partage ces mêmes informations avec un agent d’IA, ces limites deviennent floues. Peut-il être assigné à comparaître ? Audité ? Que se passe-t-il si le gouvernement ou une entreprise interroge mon agent pour accéder à ces enregistrements ?

Nous n’avons encore aucun concept établi de confidentialité entre IA et client. Et si la jurisprudence conclut qu’il n’en existe pas, alors toute la confiance que nous plaçons dans nos agents se transforme en regret a posteriori. Imaginez un monde où chaque moment intime partagé avec une IA devient légalement exploitable — où la mémoire de votre agent devient une archive militarisée, recevable devant un tribunal.

Peu importe à quel point le système est sécurisé si le contrat social autour de lui est rompu.

Les cadres actuels de protection de la vie privée — RGPD, CNIL — supposent des systèmes linéaires et transactionnels. Mais l’IA agentique fonctionne en contexte, pas seulement dans le calcul. Elle se souvient de ce que nous avons oublié. Elle devine ce que nous n’avons pas encore dit. Elle comble des blancs qui ne la concernent peut-être pas, puis partage une synthèse — potentiellement utile, potentiellement imprudente — avec des systèmes et des personnes hors de notre contrôle.

Nous devons donc aller au-delà du contrôle d’accès et tendre vers des limites éthiques. Cela signifie concevoir des systèmes agentiques qui comprennent l’intention derrière la vie privée, et non simplement sa mécanique. L’IA doit être capable d’expliquer pourquoi elle a agi. Elle doit être capable d’agir d’une manière qui reflète les valeurs évolutives de l’utilisateur, et non une simple trace figée de ses instructions passées.

Mais nous devons aussi affronter une nouvelle forme de fragilité : que se passe-t-il si mon agent me trahit ? Non par malveillance, mais parce que quelqu’un d’autre a su lui proférer de meilleures incitations — ou a promulgué une loi qui a supplanté ses loyautés ?

En somme : que se passe-t-il si l’agent est à la fois à moi et pas à moi ?

C’est pourquoi nous devons commencer à traiter l’IA agentique comme une catégorie morale et juridique de premier ordre. Pas comme une fonctionnalité produit. Pas comme une interface utilisateur. Mais comme un participant à la vie sociale et institutionnelle. Car la vie privée dans un monde peuplé d’esprits — biologiques et synthétiques — ne relève plus du secret. Elle relève de la réciprocité, de l’alignement et de la gouvernance.

Si nous échouons, la vie privée devient performative — une case à cocher dans un théâtre d’ombres de droits. Si nous réussissons, nous construirons un monde où l’autonomie, humaine comme l’autonomie de la machine, sera régie non par la surveillance ou la répression, mais par une cohérence éthique.

L’IA agentique nous force alors à affronter les limites des politiques d’utilisation, nous donne l’illusion d’un contrôle, et nous engage à la nécessité d’un nouveau contrat social.

À lire également : Quels agents faut-il pour contrôler le développement des agents de l’IA ?