Jeunes et IA générative : 69 % font confiance à un chatbot, 32 % comprennent les risques — le décalage qui doit alerter les DPO
L'IA générative est devenue le confident de toute une génération. Une enquête menée par le groupe d'assurance VYV et la CNIL dans quatre pays européens dévoile un paradoxe vertigineux : 69 % des jeunes pensent qu'un chatbot peut leur donner des conseils fiables, 56 % qu'il sait garder un secret, mais seulement 32 % savent réellement ce que deviennent leurs données. Pour les DPO, ce n'est plus un sujet périphérique : c'est un trou de sensibilisation qui s'élargit dans toutes les organisations.
Ce que dit l'enquête VYV/CNIL
L'étude, publiée début mai 2026, dresse le portrait d'usages qui dépassent largement le cadre utilitaire. 48 % des jeunes interrogés déclarent utiliser l'IA conversationnelle pour parler de sujets personnels ou intimes. 33 % considèrent ces bots comme un « psy » — une proportion qui grimpe à 46 % chez les jeunes souffrant d'anxiété.
Ce glissement de l'usage scolaire vers la sphère intime ne s'explique pas par une simple curiosité technologique. Il repose sur une confiance massive accordée à la machine : 51 % des jeunes estiment que l'IA « peut protéger les informations qui lui sont confiées ». L'enquête est sans appel sur ce point : la confiance s'appuie sur une compréhension des risques qualifiée de « partielle ». Seuls 32 % reconnaissent savoir ce qu'il advient des données partagées.
Marie-Laure Denis, présidente de la CNIL, résume l'urgence : « Les IA conversationnelles collectent des données personnelles, parfois sensibles, sans que nous en ayons toujours conscience. Il est urgent d'expliquer aux jeunes comment ces systèmes fonctionnent, quelles traces ils laissent, et quels sont leurs droits. »
Pourquoi ce décalage est un sujet RGPD et AI Act, pas seulement un sujet d'éducation
Le confort de penser qu'il s'agit « d'un problème d'école » est trompeur. Trois angles font de ce décalage un dossier opérationnel pour les DPO.
Article 9 du RGPD — données sensibles partagées en clair. Lorsqu'un jeune confie à un chatbot ses angoisses, ses orientations, ses problèmes familiaux ou un diagnostic médical, il transmet des données particulières au sens de l'article 9 RGPD. La base légale par défaut — un consentement éclairé donné par un mineur — est extrêmement fragile, et l'enquête VYV/CNIL démontre que ce consentement n'a, dans les faits, aucun caractère « éclairé ».
Article 8 du RGPD — protection spécifique des mineurs. L'article 8 impose des garanties renforcées pour les services de la société de l'information adressés à des enfants. Or la plupart des assistants conversationnels grand public ne disposent pas, à ce jour, de mécanisme de vérification d'âge robuste. La solution de vérification d'âge open source de la Commission européenne, prête depuis avril 2026, n'est encore que marginalement intégrée par les grands fournisseurs.
AI Act — obligations d'information renforcées dès août 2026. Pour les systèmes d'IA à usage général (GPAI) et les chatbots, l'AI Act impose à partir d'août 2026 des obligations claires de transparence vis-à-vis des utilisateurs. L'enquête VYV/CNIL apporte une pièce factuelle utile aux DPO qui doivent challenger leurs sous-traitants IA : si 68 % des jeunes ne savent pas où vont leurs données, l'effort de transparence n'est manifestement pas atteint. C'est une zone de discussion à inscrire dans tout AIPD ou tout questionnaire éditeur.
Cette enquête vient compléter la lecture déjà publiée sur l'angle santé mentale de l'enquête CNIL-VYV : le décalage confiance/compréhension est l'autre face de la même médaille.
Ce que ça change pour les organisations — trois actions concrètes
1. Réviser la sensibilisation interne en intégrant l'usage personnel. Les modules « ChatGPT au bureau » qui se limitent au cas d'usage pro passent à côté du sujet. Les collaborateurs — et a fortiori leurs enfants — utilisent l'IA dans la sphère privée, et ramènent ces réflexes au travail. Le guide Leto sur les bonnes pratiques pour sensibiliser ses équipes à l'IA propose une trame qui couvre les deux dimensions.
2. Cartographier les usages réels (shadow AI inclus). Le programme « politique IA » qui interdit ChatGPT sur les postes pro tout en laissant les collaborateurs l'utiliser massivement depuis leur téléphone n'a aucune valeur juridique. Il faut documenter les usages, identifier les outils utilisés (ChatGPT, Claude, Gemini, Mistral) et bâtir un cadre réaliste. Notre guide ChatGPT et RGPD et celui sur Claude et la conformité RGPD 2026 détaillent les bases légales mobilisables et les paramètres à activer.
3. Documenter l'information donnée aux personnes concernées — en particulier mineures. Pour les organisations qui développent ou intègrent un chatbot dans leur produit (éducation, RH, support, e-commerce), la mention « notre IA respecte vos données » ne suffit pas. Il faut une information explicite sur la finalité, la durée de conservation, les transferts et les droits des personnes — et la formuler dans un langage adapté à l'audience. Le secteur éducation est particulièrement exposé, comme le rappelle le guide RGPD éducation nationale.
Ce que Leto pense de cette décision
L'enquête VYV/CNIL n'est pas un simple constat sociologique. Elle apporte aux DPO un argument quantifié — rare et précieux — pour faire avancer trois dossiers que les directions métier ont tendance à minimiser : la sensibilisation à l'IA, la mise en conformité des chatbots déployés en interne, et la révision des AIPD couvrant les outils GenAI. Quand 68 % d'une génération entière ignore où vont ses données après une conversation intime avec un chatbot, le « consentement éclairé » devient une fiction juridique. C'est exactement le type de signal faible qui, traité tôt, évite la sanction et construit la confiance.
Sources : ZDNet — Les jeunes français accros à l'IA. Mais trop confiants ? · CNIL — IA conversationnelle et santé mentale des jeunes : résultats de l'enquête européenne
