Politique Claude : Anthropic relance le débat sur l'entraînement de l'IA avec vos données
Le 8 juillet 2026, Anthropic fait évoluer la politique de confidentialité de Claude pour ses offres grand public — Free, Pro et Max. Derrière une mise à jour présentée comme technique se cache un sujet sensible pour les organisations : la possibilité que les conversations des utilisateurs alimentent l'entraînement des modèles. De quoi rappeler aux DPO et RSSI que l'usage d'une IA générative en contexte professionnel ne se résume jamais à cocher une case.
Ce qui change le 8 juillet 2026
La nouvelle politique d'Anthropic concerne exclusivement les comptes grand public (Free, Pro, Max) — les offres entreprise et API restent régies par des conditions distinctes. Elle introduit quatre évolutions principales : des précisions sur les tâches multi-étapes et les intégrations d'applications tierces, une nouvelle section consacrée aux « données de vérification » d'identité, un encadrement de la participation aux études et enquêtes, et davantage de transparence sur les pratiques de partage de données.
Sur le cœur du sujet — l'entraînement des modèles — Anthropic conserve un modèle d'opt-out : l'utilisateur garde la main sur l'utilisation de ses échanges. Concrètement, refuser le partage maintient une durée de conservation de 30 jours, tandis que l'accepter étend cette durée à cinq ans pour les nouvelles sessions de chat et de code. Le titre alarmiste de certains médias (« malgré votre refus ») reflète surtout l'inquiétude récurrente face à des réglages par défaut peu lisibles et à la charge qui pèse sur l'utilisateur pour s'y opposer.
Pourquoi c'est important pour la conformité
Le point de friction n'est pas tant la lettre de la politique que la réalité des usages en entreprise. Lorsqu'un collaborateur colle dans un assistant IA grand public un extrait de contrat, une base clients ou un compte rendu interne, il déclenche un traitement de données personnelles dont l'organisation reste responsable au sens du RGPD. Un compte personnel Pro ou Max n'offre ni acte de sous-traitance au titre de l'article 28, ni garanties contractuelles équivalentes à une offre entreprise. C'est précisément l'angle mort que l'EDPS a documenté en alertant sur le Shadow AI, ces outils d'IA utilisés sans validation de la DSI.
La question de la base légale et de la finalité d'entraînement n'a rien de théorique. Les autorités et les tribunaux commencent à sanctionner les réutilisations non maîtrisées : l'affaire Tempus AI, poursuivie pour avoir entraîné ses modèles sur des données génétiques sans consentement, illustre le risque de voir une finalité d'entraînement dériver vers un traitement illicite. De son côté, l'AEPD a rappelé que le ré-entraînement d'un modèle peut faire de l'éditeur un nouveau responsable de traitement autonome — un changement de qualification lourd de conséquences.
Ce que ça change pour les organisations
La première action est de cartographier les usages réels de l'IA générative, comptes personnels compris, plutôt que de présumer que la politique d'IT suffit. Vient ensuite l'arbitrage entre offres : pour tout traitement de données personnelles ou confidentielles, seules les versions entreprise — avec DPA, engagements de non-entraînement et localisation contractualisée — sont défendables. Notre guide sur la conformité RGPD de Claude (DPA, sécurité, localisation) détaille les points à vérifier avant tout déploiement.
Il faut aussi vérifier les réglages par défaut sur chaque compte concerné et documenter la décision de partage ou de refus, puis sécuriser ces choix dans le temps. Enfin, rien ne remplace la sensibilisation : un collaborateur informé ne colle pas de données sensibles dans un chatbot grand public. Nos cinq bonnes pratiques pour sensibiliser vos équipes à l'IA donnent un cadre opérationnel pour ancrer ces réflexes.
Ce que Leto pense de cette décision
Anthropic ne fait, au fond, qu'expliciter une pratique déjà répandue chez les éditeurs d'IA grand public : l'opt-out reste la norme, et la transparence affichée est plutôt bienvenue. Mais déplacer la charge du contrôle vers l'utilisateur est, pour une organisation, une fausse sécurité. La conformité ne se joue pas dans les conditions générales de l'éditeur : elle se joue dans le choix de l'offre, la contractualisation, et la discipline d'usage. Le 8 juillet n'est pas une menace en soi — c'est un rappel que l'IA en entreprise se gouverne, elle ne se subit pas.
Sources : Anthropic — Updates to our Consumer Terms and Privacy Policy ; ZDNet France.
