IA conversationnelle et santé mentale des jeunes : l'enquête CNIL-VYV alerte les DPO
Un jeune sur deux confie sa santé mentale à une IA — sans garde-fous
L'enquête est sans appel : 50 % des jeunes européens utilisent des IA conversationnelles pour parler de sujets personnels et de santé mentale. C'est le résultat d'une étude inédite menée conjointement par le Groupe VYV — premier groupe de protection sociale mutualiste en France — et la CNIL, publiée le 5 mai 2026. Derrière ce chiffre se cache une réalité que les organisations ne peuvent plus ignorer : des données particulièrement sensibles circulent librement dans des systèmes sans obligation de protection adaptée aux mineurs.
Ce qui s'est passé
La CNIL et le Groupe VYV ont mené une enquête européenne auprès de jeunes utilisateurs d'IA conversationnelles — des outils comme ChatGPT, Gemini, ou encore des applications de "compagnie" basées sur l'IA. L'objectif : mesurer l'usage réel de ces outils et identifier les risques associés pour la protection des données.
Le résultat central est frappant : un jeune sur deux déclare discuter de sujets personnels et de santé mentale avec ces assistants. Cela signifie concrètement que des données sur l'état psychologique, les émotions, les expériences difficiles ou les difficultés relationnelles de mineurs sont partagées avec des systèmes d'IA — souvent hébergés hors UE, sans base légale identifiable pour ce type de traitement.
L'enquête pointe deux lacunes majeures. D'abord, le risque de captation de données sensibles : les IA conversationnelles collectent, traitent et potentiellement utilisent ces échanges pour entraîner leurs modèles ou les transférer à des tiers. Ensuite, l'absence de cadre protecteur : aucun mécanisme n'impose aujourd'hui aux fournisseurs d'IA conversationnelles de garantir une protection renforcée des mineurs dans ces interactions.
Pourquoi c'est important — entre RGPD et AI Act
Les données partagées dans ces conversations relèvent des données sensibles au sens du RGPD — ou du moins de données présentant un risque élevé pour les droits et libertés des personnes. L'article 9 du RGPD interdit le traitement de données relatives à la santé sans base légale spécifique. Or, les jeunes ne perçoivent pas nécessairement qu'ils partagent des "données de santé" : pour eux, c'est simplement une conversation.
L'enquête intervient également dans un contexte réglementaire sous tension. L'AI Act impose des obligations spécifiques aux systèmes d'IA susceptibles d'interagir avec des personnes vulnérables. Les IA conversationnelles utilisées par des mineurs pour des discussions intimes pourraient entrer dans des catégories à risque nécessitant des analyses d'impact et des mesures de transparence renforcées.
Par ailleurs, l'enjeu de la vérification d'âge se pose de manière aiguë. La Commission européenne a récemment lancé son application de vérification d'âge fondée sur le zero knowledge proof — une brique technique qui pourrait, à terme, être intégrée par les fournisseurs d'IA pour protéger les mineurs. Mais ce n'est pas encore une obligation.
Ce que ça change pour les organisations
Les DPO et responsables conformité de secteurs touchant aux mineurs — santé, éducation, RH, protection sociale — doivent prendre conscience de ce phénomène et agir sur plusieurs fronts.
Cartographier les IA conversationnelles déployées — ou accessibles via les appareils professionnels — et évaluer si elles peuvent collecter des données de santé ou des données sensibles de mineurs. Si oui, une analyse d'impact (AIPD) dans le secteur de la santé est probablement requise.
Vérifier les conditions contractuelles des fournisseurs d'IA : utilisent-ils les données d'interaction pour entraîner leurs modèles ? Avec quelle durée de rétention ? Quel régime de transferts internationaux ?
Sensibiliser les collaborateurs et les utilisateurs — en particulier dans les secteurs en contact avec des publics jeunes — aux risques de partage de données personnelles avec des IA conversationnelles. Une politique d'usage acceptable de l'IA devrait explicitement couvrir ces cas.
Surveiller les évolutions réglementaires : les résultats de cette enquête CNIL-VYV alimenteront probablement des recommandations sur l'IA conversationnelle et les mineurs. L'EDPB travaille déjà sur ces sujets dans le cadre de son programme de travail 2025-2026.
Ce que Leto pense de cette décision
Cette enquête est une sonnette d'alarme utile, mais elle ne doit pas rester sans suite. Le droit existe — RGPD, AI Act, règles sur les mineurs — mais il n'est pas appliqué faute de cadre opérationnel clair pour les IA conversationnelles grand public. La CNIL et le Groupe VYV ont fait leur travail en documentant le phénomène. Il appartient maintenant aux fournisseurs d'IA de prendre leurs responsabilités, aux régulateurs de préciser les obligations, et aux organisations de ne pas attendre une mise en demeure pour agir.
Le silence d'un contrat d'utilisation ne vaut pas base légale pour traiter la santé mentale de mineurs.
