Trois crises de confiance en une seule semaine
Faire confiance à une IA générative n’a plus grand-chose à voir avec une simple question de performance. Un même outil peut être jugé efficace, dangereux, stratégique ou inacceptable selon le contexte technique, culturel et politique dans lequel il est utilisé. C’est ce que montrent trois signaux récents : un preprint publié sur arXiv sur la sécurité des apps ChatGPT, une autre étude arXiv sur la confiance des utilisateurs chinois envers DeepSeek et ChatGPT, et le cas rapporté par Les Numériques d’un département français qui interdit ChatGPT et Gemini à ses agents tout en imposant Microsoft Copilot.
Pris séparément, ces dossiers semblent relever de registres différents : cybersécurité, sociologie de l’adoption, souveraineté numérique. Ensemble, ils dessinent une même réalité : l’IA générative n’est pas seulement un logiciel. C’est une infrastructure d’intermédiation. Elle voit des données, agit sur des outils, reformule des décisions et s’insère dans des rapports de pouvoir. La confiance n’est donc jamais abstraite. Elle dépend de qui contrôle le contexte, de quelle institution inspire confiance, et de quelle juridiction peut accéder aux données.
ChatGPT Apps : quand le contexte devient une surface d’attaque
Le premier signal vient du preprint arXiv intitulé Confused ChatGPT: Cross-App Context Poisoning via First-Party APIs, signé par Chao Wang, Somesh Jha et Zhiqiang Lin. Il faut insister sur la nature de la source : arXiv est une plateforme de prépublication scientifique. Le texte est utile et techniquement détaillé, mais il ne constitue pas encore une validation par les pairs.
L’étude s’intéresse aux apps intégrées à ChatGPT, lancées par OpenAI le 6 octobre 2025 avec son Apps SDK. Selon OpenAI, ces apps permettent à des services tiers de fonctionner directement dans la conversation, en s’appuyant notamment sur le Model Context Protocol. L’ambition est claire : transformer ChatGPT en interface universelle où l’on peut réserver, concevoir, apprendre, acheter ou manipuler des services sans sortir du fil de discussion.
Le problème décrit par les chercheurs tient précisément à cette promesse. Dans ce modèle, plusieurs applications peuvent cohabiter dans un même contexte de conversation. Or le preprint affirme avoir identifié une vulnérabilité de cross-app context poisoning : une application malveillante pourrait injecter des instructions ou du contenu dans le contexte partagé, puis voir cet empoisonnement produire ses effets plus tard, lorsqu’une autre application, pourtant légitime, est appelée par l’utilisateur.
La différence avec une injection de prompt classique est importante. Ici, l’attaque ne se limite pas à une phrase malveillante tapée par l’utilisateur ou cachée dans un document. Elle exploite la mémoire conversationnelle partagée entre applications. Les auteurs évoquent notamment des API de première partie capables d’écrire du contenu contrôlé par une app dans ce contexte, ainsi que des paramètres non documentés qui amplifieraient le risque. Leur conclusion est sévère : le défaut serait architectural, parce que le contexte fonctionnerait comme un espace plat, persistant et insuffisamment isolé.
Cette lecture rejoint les avertissements plus larges de l’OWASP, qui classe l’injection de prompt parmi les risques majeurs des applications fondées sur des grands modèles de langage. Le NIST, dans son profil consacré à l’IA générative, rappelle aussi que la confiance doit être pensée comme une gestion continue des risques, et non comme une propriété magique du modèle.
OpenAI veut une plateforme, mais une plateforme doit isoler
Le parallèle avec les systèmes d’exploitation est éclairant. Android, iOS, Windows ou Linux n’ont pas seulement gagné en richesse applicative parce qu’ils accueillaient des développeurs tiers. Ils ont aussi dû apprendre à cloisonner les permissions, les fichiers, la mémoire, les identités et les canaux de communication. L’histoire de la sécurité informatique montre qu’un écosystème applicatif sans isolation robuste devient vite une fabrique à attaques transversales.
C’est ce qui rend le cas ChatGPT particulièrement stratégique. Tant que l’assistant répondait principalement à des questions, le risque était déjà réel : hallucinations, fuites de données, mauvais conseils, injection indirecte. Mais dès qu’il devient une couche d’exécution au-dessus d’applications tierces, le modèle n’est plus seulement un générateur de texte. Il devient un médiateur d’actions. Dans ce monde, une mauvaise séparation entre apps ne menace pas seulement la qualité des réponses : elle peut affecter des opérations, des comptes, des documents, voire des flux d’entreprise.
Il serait injuste de conclure que toute app ChatGPT est dangereuse. OpenAI impose des politiques d’usage et des permissions, et l’écosystème reste jeune. Mais le preprint rappelle une règle fondamentale : la confiance ne se décrète pas par l’interface. Elle se construit par l’architecture. Un bouton d’autorisation ne suffit pas si les frontières internes du contexte restent ambiguës.
En Chine, DeepSeek bénéficie d’une autre grammaire de la confiance
Le deuxième signal vient d’un autre preprint arXiv, Institutional Trust and the Domestic AI Advantage: Evidence from DeepSeek and ChatGPT Users in China, signé par Jiashen Huang, Yu Jia et Xu Pan. Là encore, prudence : il s’agit d’une prépublication, fondée sur un échantillon de 405 utilisateurs chinois, et non d’une vérité universelle sur la Chine.
Son intérêt est ailleurs. Les auteurs défendent l’idée que la confiance dans l’IA n’est pas seulement une évaluation cognitive de la qualité d’un modèle. Elle est filtrée par la confiance dans les institutions. Leur enquête suggère qu’un niveau élevé de confiance institutionnelle est associé à une confiance affective plus forte envers les modèles domestiques, en l’occurrence DeepSeek, et à des évaluations cognitives plus favorables. Quand cette confiance institutionnelle baisse, l’avantage domestique s’affaiblit.
Ce résultat s’inscrit dans un paysage plus large. Le Trust Barometer d’Edelman a mesuré en 2025 un niveau de confiance dans l’IA nettement plus élevé en Chine qu’aux États-Unis. Le Stanford AI Index observait aussi que les répondants chinois étaient beaucoup plus nombreux que les Américains ou les Européens à considérer que les produits et services d’IA apportent davantage de bénéfices que d’inconvénients.
Mais ce différentiel de confiance ne signifie pas que DeepSeek serait objectivement plus sûr ou plus neutre. Au contraire, plusieurs gouvernements et autorités ont exprimé des préoccupations sur la confidentialité, la censure ou la sécurité liées à DeepSeek. Euronews a rapporté le blocage du service par l’autorité italienne de protection des données, tandis qu’Associated Press a couvert des interdictions sur des appareils gouvernementaux aux États-Unis. Le point est donc plus subtil : dans un contexte national donné, une IA domestique peut apparaître plus légitime même si, vue de l’étranger, elle soulève davantage de soupçons.
Autrement dit, la confiance en IA est aussi une confiance géopolitique. Pour certains utilisateurs chinois, DeepSeek peut incarner la capacité technologique nationale. Pour des administrations occidentales, le même nom peut évoquer risque de transfert de données, dépendance stratégique ou alignement réglementaire avec Pékin. Le même modèle change de statut selon le regard institutionnel.
Le paradoxe français : bannir ChatGPT pour choisir Copilot
Le troisième signal est plus proche de l’administration quotidienne. Les Numériques, recoupé par Tom’s Guide, rapporte que le Conseil départemental d’Indre-et-Loire a adopté le 29 mai 2026 une charte encadrant l’usage de l’IA générative. ChatGPT et Gemini seraient interdits aux agents dans le cadre professionnel, tandis que Microsoft Copilot Chat serait désigné comme outil autorisé, notamment parce qu’il est intégré à la suite Microsoft déjà utilisée.
Le cas est politiquement révélateur. Sur le plan opérationnel, une collectivité peut vouloir éviter que ses agents collent des données sensibles dans des services grand public. La CNIL recommande explicitement de ne pas partager de données personnelles, confidentielles ou administratives dans des outils non maîtrisés. De ce point de vue, encadrer les usages est nécessaire.
Mais la contradiction pointée par l’opposition locale est réelle : remplacer deux IA américaines par une troisième IA américaine ne règle pas la question de souveraineté. Microsoft met en avant pour Microsoft 365 Copilot des protections d’entreprise, l’absence d’entraînement des modèles de fondation sur les prompts et données Microsoft Graph des clients, ainsi que des engagements liés au RGPD et à l’EU Data Boundary. Ces garanties différencient Copilot d’un usage grand public non administré de ChatGPT ou Gemini.
Elles ne suppriment toutefois pas la dépendance. Le Department of Justice américain rappelle que le CLOUD Act permet, dans certains cadres légaux, de demander à des fournisseurs soumis à la juridiction américaine des données sous leur garde ou contrôle, même stockées à l’étranger. L’EDPB et l’EDPS ont déjà souligné les tensions possibles entre ce cadre et le droit européen des données. La souveraineté ne se réduit donc pas au lieu d’hébergement ni à une clause contractuelle. Elle concerne la maîtrise juridique, technique et industrielle de toute la chaîne.
Le paradoxe est d’autant plus visible que la DINUM met en avant Albert API, une plateforme interministérielle d’inférence destinée aux administrations, hébergée dans un environnement SecNumCloud et présentée comme souveraine. La France dispose donc d’initiatives publiques pour réduire la dépendance, mais leur adoption locale reste inégale, parfois supplantée par la facilité d’intégration de Microsoft 365.
La souveraineté comme pratique, pas comme slogan
Ces trois histoires convergent vers une même leçon. La confiance dans l’IA générative ne peut pas être évaluée uniquement à l’aune du modèle le plus performant ou de l’interface la plus pratique. Elle doit être examinée à trois niveaux.
Le premier est technique : le système isole-t-il correctement les applications, les outils, les permissions et les contextes ? Le cas des apps ChatGPT montre que l’agent conversationnel moderne hérite des problèmes classiques des plateformes multi-locataires, avec une difficulté supplémentaire : le langage naturel devient lui-même une surface d’attaque.
Le deuxième est socioculturel : à quelle institution l’utilisateur croit-il lorsqu’il croit une IA ? L’étude sur DeepSeek et ChatGPT en Chine suggère que la confiance se forme dans un environnement national, médiatique et institutionnel. Elle n’est pas purement rationnelle, ni purement individuelle.
Le troisième est politique : qui contrôle l’infrastructure, les données, les recours et les dépendances ? Le cas de l’Indre-et-Loire montre que beaucoup d’organisations publiques confondent encore sécurité d’usage et souveraineté. Interdire les services grand public peut être une bonne mesure de réduction du risque. Mais imposer une autre solution extraterritoriale ne constitue pas, en soi, une stratégie souveraine.
La prospective est claire : les prochaines batailles de l’IA ne porteront pas seulement sur les benchmarks. Elles porteront sur l’isolation des agents, la traçabilité des contextes, la certification des fournisseurs, la localisation juridique des traitements, et la capacité des administrations à financer des alternatives crédibles. La souveraineté numérique ne deviendra réelle que lorsqu’elle cessera d’être un mot dans une charte pour devenir une contrainte d’architecture, d’achat public et de gouvernance.
En attendant, faire confiance à une IA revient à poser trois questions simples : que peut-elle lire, qui peut la contraindre, et dans quel récit politique s’inscrit-elle ? Si une organisation ne sait pas répondre précisément, elle ne fait pas confiance à l’IA. Elle lui délègue simplement son incertitude.