Vérification d'identité | Votre visage et vos données ne vous appartiennent pas – Anthropic (Claude), LinkedIn et la nouvelle économie du contrôle biométrique

Pièce d'identité requise ! Comment les plateformes d'IA prennent le contrôle total de nos identités numériques

Le pouvoir secret des données : comment Anthropic, LinkedIn et OpenAI sous-traitent la gestion de nos visages à des tiers

Ceux qui souhaitent utiliser les systèmes d'IA modernes ne paient plus seulement par abonnement, mais aussi, de plus en plus, avec nos données les plus sensibles : nos données biométriques. La dernière mesure prise par Anthropic, la société à l'origine du célèbre assistant virtuel Claude, marque un tournant majeur dans l'infrastructure numérique. Pour utiliser certaines fonctionnalités, le système exige désormais une pièce d'identité officielle avec photo, accompagnée d'un selfie pris en direct. Ce qui est présenté comme une étape inoffensive et nécessaire à la sécurité de la plateforme et à la prévention des abus se révèle, à y regarder de plus près, un véritable casse-tête en matière de protection des données. En effet, les données biométriques ne sont pas transmises à Anthropic, mais à Persona, un prestataire tiers américain étroitement lié au réseau d'investisseurs de Palantir, la société de surveillance de Peter Thiel, qui gère également la vérification d'identité pour des géants comme LinkedIn et OpenAI. Cet article met en lumière cet enchevêtrement risqué de la nouvelle économie de l'identité, explique le conflit insoluble entre le CLOUD Act américain et le RGPD européen, et démontre pourquoi les entreprises doivent repenser d'urgence leur stratégie en matière d'IA afin d'éviter de tomber dans un piège de responsabilité et de dépendance existentielles.

En lien avec ceci :

• Les forces armées allemandes renoncent à Palantir et examinent des alternatives : Almato (Stuttgart), Orcrist (Berlin) et Chapsvision (Paris)

Quand la confiance devient une marchandise : comment les plateformes d’IA prennent le contrôle des identités numériques

Anthropic, la société à l'origine de l'assistant IA Claude, a introduit début avril 2026 une mesure qui a suscité un vif débat au sein du secteur : la vérification d'identité obligatoire pour certains utilisateurs, à l'aide d'une pièce d'identité officielle avec photo et d'un selfie pris en direct. Toute personne souhaitant utiliser Claude dans certaines situations doit se soumettre à un processus biométrique réalisé par un prestataire tiers basé aux États-Unis. Cette décision est techniquement simple, mais ses implications politiques et économiques sont considérables ; elle soulève des questions qui dépassent largement le cadre de la sécurité des plateformes. Anthropic n'est pas un cas isolé : LinkedIn, Reddit, Discord et OpenAI utilisent tous la même infrastructure, le même prestataire de services et le même réseau d'investisseurs. Et c'est là que réside le véritable problème.

Évaluation, pouvoir de marché et responsabilité des infrastructures d'importance systémique

Pour comprendre les implications de cette décision, il est essentiel d'examiner la position actuelle d'Anthropic sur le marché. En février 2026, l'entreprise, fondée en 2021 par d'anciens chercheurs d'OpenAI, a finalisé une levée de fonds de série G de 30 milliards de dollars, atteignant une valorisation post-money de 380 milliards de dollars – la deuxième plus importante levée de fonds privée de l'histoire du secteur technologique, après celle d'OpenAI (40 milliards de dollars). Son chiffre d'affaires annuel s'élève à 14 milliards de dollars, les revenus générés par son outil de développement Claude Code dépassant à eux seuls 2,5 milliards de dollars en rythme annuel en février 2026. Environ 80 % de son chiffre d'affaires provient de clients entreprises.

Cette valorisation implique un multiple de chiffre d'affaires d'environ 27 – élevé, mais pas exceptionnel dans le contexte actuel des investissements en IA. Amazon est le principal investisseur individuel avec près de 8 milliards de dollars, aux côtés du fonds souverain singapourien GIC et de Coatue Management, qui figurent parmi les investisseurs majeurs. Founders Fund, le véhicule d'investissement de Peter Thiel, a co-dirigé ce tour de table. Anthropic n'est donc plus une start-up au sens traditionnel du terme, mais un fournisseur d'infrastructure systémique pour des milliers d'entreprises à travers le monde. C'est précisément ce statut qui rend la décision concernant la vérification d'identité si remarquable : une entreprise qui fournit une infrastructure essentielle à l'IA d'entreprise délègue la collecte des données biométriques des utilisateurs à un prestataire américain externe sans mettre en place sa propre architecture de protection des données conforme à la législation européenne.

Identités Persona : la colonne vertébrale silencieuse de l’économie de l’identité numérique

Anthropic a choisi Persona Identities, une startup de San Francisco spécialisée dans les solutions de connaissance du client (KYC) et de vérification d'identité. En avril 2025, Persona a finalisé une levée de fonds de série D de 200 millions de dollars, atteignant une valorisation de 2 milliards de dollars. Ce tour de table a été mené conjointement par Founders Fund et Ribbit Capital, avec la participation d'investisseurs historiques tels que BOND, Coatue, First Round Capital et Index Ventures. Rien qu'en 2024, l'entreprise a réalisé plus de 300 millions de vérifications d'identité, doublant simultanément son chiffre d'affaires et sa clientèle. Parmi ses clients figurent Reddit, LinkedIn, OpenAI, Discord, Roblox et de nombreuses autres plateformes majeures. Persona est ainsi devenue l'infrastructure d'identité de référence pour une grande partie de l'internet anglophone.

Ce qui domine toutefois le débat public, c'est le paysage des investisseurs. Founders Fund est le véhicule de Peter Thiel, l'entrepreneur et investisseur en capital-risque germano-américain qui a cofondé PayPal en 1998, créé Palantir Technologies en 2003 et dirige Founders Fund depuis 2005. Thiel est président du conseil de surveillance de Palantir, un poste qu'il occupe sans interruption depuis la création de l'entreprise. Selon diverses sources, Founders Fund détient environ 10 % de Persona et a mené les levées de fonds de série C et de série D. Fait particulièrement frappant : d'après une analyse détaillée, Persona recense environ 17 sous-traitants, dont AWS, Google, OpenAI, Stripe, Twilio et potentiellement Anthropic. LinkedIn, selon ses propres déclarations, ne reçoit qu'une petite partie de ces données : nom, année de naissance, résultat de la vérification et une version expurgée de la pièce d'identité. L'ensemble des données, bien plus complet, reste la propriété de Persona.

L'architecture de l'interdépendance : bien plus qu'une simple relation entre investisseurs

À ce stade, une distinction plus nuancée s'impose, une distinction souvent omise dans le débat public. L'équation simpliste « Thiel investit dans Persona, donc Palantir peut accéder aux données de Persona » est inexacte. Peter Thiel n'est ni fondateur, ni PDG, ni décideur opérationnel chez Persona. Founders Fund détient une participation minoritaire et n'exerce aucun contrôle opérationnel avéré sur la politique de données de Persona.

Ce qui est légitimement préoccupant, cependant, c'est le niveau structurel : Founders Fund, principal investisseur, a mené les levées de fonds les plus importantes et détient donc des droits d'information – un accès contractuel aux décideurs clés, au développement client et à l'orientation stratégique. Thiel est simultanément président de Palantir, dont le modèle économique repose entièrement sur la fusion de données hétérogènes en profils d'identité et comportementaux cohérents. Des chercheurs en sécurité, analysant les systèmes de Persona lors de débats publics, ont découvert près de 2 500 fichiers frontaux accessibles publiquement sur un serveur autorisé par le gouvernement américain – des fichiers révélant 269 contrôles de vérification différents par utilisateur, incluant la reconnaissance faciale par rapport aux listes de personnes recherchées et aux listes de personnes politiquement exposées. En ce sens, les modèles économiques de Palantir et Persona sont architecturalement complémentaires : Persona produit des ancres d'identité biométriques vérifiées, tandis que Palantir crée l'infrastructure de fusion et d'analyse des données. Aucun transfert de données entre les deux entreprises n'a été documenté. Mais la structure de gouvernance crée une proximité informationnelle qu'il est impossible d'ignorer lors du traitement des données biométriques de millions d'utilisateurs.

La réalité de Palantir : d'un partenaire de renseignement à une infrastructure de police allemande

Pour bien comprendre le contexte, il est important d'examiner les activités concrètes de Palantir. Fondée en 2003, l'entreprise a bénéficié d'un financement initial important d'In-Q-Tel, la branche capital-risque de la CIA. Son produit phare d'origine, la plateforme Gotham, permet d'analyser et de fusionner des ensembles de données hétérogènes pour les services de police et de renseignement. Le service américain de l'immigration et des douanes (ICE) utilise Palantir depuis plus de dix ans pour son système de gestion des dossiers d'enquête (ICM).

En avril 2025, Palantir a obtenu de l'ICE un contrat d'environ 30 millions de dollars pour développer le système d'exploitation Immigration Lifecycle Operating System (ImmigrationOS), un système axé sur les expulsions qui génère des scores de confiance algorithmiques pour les décisions d'expulsion et agrège des données provenant de diverses sources. Un contrat complémentaire d'environ 30 millions de dollars pour la maintenance du système a été attribué en octobre 2025. Depuis l'investiture de Trump début 2025, Palantir a perçu des milliards de dollars de contrats fédéraux.

Le déploiement européen est déjà bien avancé : le logiciel Palantir est utilisé par la police bavaroise sous le nom de VeRA, par la police hessoise sous le nom de HessenData et par la police de Rhénanie-du-Nord-Westphalie. Les experts en protection des données qualifient l’accord-cadre existant, qui permet à tous les Länder d’utiliser le système sans nouvel appel d’offres, de « brèche dans le barrage » créant une dépendance structurelle. Ceci soulève une question juridique fondamentale : en tant qu’entreprise américaine, Palantir est soumise au CLOUD Act américain, qui oblige les entreprises américaines à donner au gouvernement américain accès aux données, quel que soit l’emplacement du serveur – un conflit qui ne peut être résolu structurellement par des clauses contractuelles.

L'affaire Discord : un signal d'alarme qu'Anthropic a délibérément ignoré

Les risques structurels liés à Persona faisaient déjà l'objet de débats publics avant la décision d'Anthropic. Discord avait utilisé Persona pour la vérification d'identité et d'âge et s'était immédiatement heurté à une forte réaction négative de ses utilisateurs. Les critiques portaient sur le lien avec Thiel et sur un manque de transparence concernant le traitement des données. Parallèlement, il est apparu qu'un autre fournisseur de vérification d'âge, utilisé par Discord pour certains de ses utilisateurs, avait compromis environ 70 000 documents d'identité officiels – un incident qui a soudainement mis en lumière les risques inhérents à l'externalisation de la vérification d'identité biométrique à des prestataires tiers.

Des chercheurs en sécurité, analysant les systèmes de Persona pendant ce débat, ont découvert les fichiers frontaux susmentionnés, accessibles publiquement, sur un terminal gouvernemental autorisé FedRAMP – un serveur portant les noms de code de programmes de renseignement actifs. Le PDG de Persona, Rick Song, a affirmé que ces fichiers étaient du code disponible publiquement, sans incidence sur la sécurité. Discord a immédiatement mis fin à son partenariat avec Persona après le débat et s'est tourné vers d'autres fournisseurs. Le fait qu'Anthropic ait néanmoins choisi le même prestataire quelques semaines seulement après cet incident largement médiatisé est une décision stratégique délibérée, qui doit être analysée comme telle. Cela suggère que pour Anthropic, les impératifs de conformité et la possibilité d'une mise en œuvre rapide ont primé sur les risques d'atteinte à sa réputation et à la confidentialité des données.

Ce que l'anthropologie promet – et quelles lacunes subsistent

La communication officielle d'Anthropic concernant la vérification d'identité est remarquablement défensive. L'entreprise souligne que les données d'identité ne sont pas utilisées pour l'entraînement de modèles, que seules les informations minimales requises pour la vérification sont collectées et que tout partage avec des tiers se fait exclusivement avec Persona et est soumis aux obligations légales. Anthropic se présente comme le « responsable du traitement », définissant les règles relatives à la durée et à la finalité d'utilisation, tandis que Persona agit en tant que sous-traitant. La vérification peut être déclenchée non seulement par un accès ciblé à des fonctionnalités spécifiques, mais aussi par des « contrôles d'intégrité de routine », ce qui signifie que son impact est indépendant du contexte.

Anthropic ne précise pas explicitement la durée de conservation des copies de pièces d'identité et des selfies dans ses communications publiques. Il s'agit d'une lacune importante en matière d'information, car les données biométriques sont considérées comme des données sensibles au sens du droit européen, tel que défini à l'article 9 du RGPD, et sont soumises à des obligations renforcées en matière de protection des données. Il n'existe aucun centre de données au sein de l'UE, aucun stockage de données garanti dans l'UE, et le seul fondement juridique pour le transfert de données vers les États-Unis repose sur les clauses contractuelles types (CCT). Les données collectées par Persona auprès des utilisateurs vont bien au-delà d'une simple comparaison : outre le nom, la photo du passeport, la géométrie faciale et les données de la puce NFC du passeport, l'adresse IP, le type d'appareil, les données de géolocalisation et les données comportementales sont également collectés, notamment la durée d'hésitation de l'utilisateur et la possibilité de copier des informations.

Notre expertise européenne et allemande en matière de développement commercial, de ventes et de marketing - Image : Xpert.Digital

Domaines d'intervention prioritaires : B2B, numérisation (de l'IA à la XR), ingénierie mécanique, logistique, énergies renouvelables et industrie

Plus d'informations ici :

• Centre d'affaires d'experts

Un centre thématique offrant des informations et une expertise :

• Plateforme de connaissances couvrant les économies mondiales et régionales, l'innovation et les tendances spécifiques à l'industrie
• Un recueil d'analyses, d'idées et d'informations générales issues de nos principaux domaines d'intervention
• Un lieu d'expertise et d'information sur les développements actuels dans le monde des affaires et des technologies
• Un centre névralgique pour les entreprises en quête d'informations sur les marchés, la numérisation et les innovations industrielles

CLOUD Act contre RGPD : un conflit juridique insoluble

L'efficacité réelle des clauses contractuelles types a été considérablement limitée suite à l'arrêt Schrems II de la Cour de justice de l'Union européenne en juillet 2020. Bien que le cadre de protection des données UE-États-Unis fournisse une base juridique supplémentaire depuis juillet 2023, ce cadre est également soumis au fait que les entreprises américaines sont soumises à la loi sur la sécurité nationale et à l'article 702 de la FISA – c'est-à-dire à une surveillance étatique qui contredit fondamentalement la protection des droits fondamentaux européens.

Le problème fondamental réside ici dans un conflit de lois direct : l’article 48 du RGPD est sans ambiguïté – les jugements et décisions des autorités étrangères exigeant d’un responsable du traitement le transfert de données personnelles ne sont reconnus que s’ils reposent sur un accord international. Or, le CLOUD Act ne s’appuie sur aucun accord de ce type – il les contourne délibérément. Concrètement, cela signifie qu’un fournisseur de services cloud américain qui se conforme à une injonction du CLOUD Act et transfère les données de ses clients européens aux autorités américaines enfreint le RGPD. S’il ne s’y conforme pas, il enfreint la loi américaine. Ce conflit est structurel et ne peut être résolu par des clauses contractuelles ou des clauses contractuelles types. Dans ce contexte, les clauses contractuelles types n’offrent aucune garantie de protection, mais constituent un simple paravent juridique.

En lien avec ceci :

• Protection contre le CLOUD Act – Abandon des clouds américains : Airbus prévoit de se retirer et met fin au transfert de données sensibles

Le risque de responsabilité sous-estimé pour les entreprises sur le lieu de travail

Pour les entreprises utilisant Claude dans un contexte professionnel, une question se pose immédiatement. Le RGPD oblige les responsables du traitement des données à justifier d'une base juridique explicite pour chaque traitement. Les données biométriques relèvent des catégories particulières de données visées à l'article 9 du RGPD, dont le traitement est généralement interdit, sauf exceptions strictement définies. De plus, les systèmes d'IA traitant des données biométriques sont soumis à l'obligation de réaliser une analyse d'impact relative à la protection des données (AIPD) conformément à l'article 35 du RGPD – une obligation qui, selon la liste noire de la Conférence allemande sur la protection des données, s'applique explicitement à l'utilisation de l'IA pour le traitement de données personnelles.

La loi européenne sur l'IA renforce considérablement ce cadre juridique à compter d'août 2026. L'identification biométrique à distance en temps réel dans les espaces publics est interdite depuis février 2025. Les systèmes de vérification d'identité basés sur l'IA, dans la mesure où ils sont utilisés pour des décisions sensibles, peuvent être classés comme systèmes d'IA à haut risque et sont donc soumis à des exigences strictes de certification, à des obligations de transparence et à des obligations de contrôle humain. Les infractions peuvent être sanctionnées par des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial – un plafond plus élevé que celui prévu par le RGPD. Aux États-Unis, la situation juridique est également risquée pour les entreprises : la loi de l'Illinois sur la protection des informations biométriques (BIPA) autorise les poursuites même sans preuve de préjudice et prévoit des dommages et intérêts de 1 000 $ par infraction par négligence et de 5 000 $ par infraction intentionnelle – un risque de responsabilité potentiellement existentielle pour les entreprises qui utilisent Claude dans leurs opérations quotidiennes.

Contrôle de la plateforme par l'identification : la logique entrepreneuriale sous-jacente

La décision d'Anthropic ne peut être analysée uniquement sous l'angle de la protection des données ; elle repose sur une logique commerciale solide. Les plateformes d'IA du monde entier subissent une pression réglementaire croissante pour prévenir les abus. L'utilisation croissante des modèles de langage pour générer des contenus d'hameçonnage, de la désinformation et des contenus synthétiques non consensuels oblige les fournisseurs à mettre en œuvre des contre-mesures qui vont au-delà de la simple sécurité des modèles.

La vérification d'identité constitue un mécanisme évident de segmentation des utilisateurs dans ce contexte : les utilisateurs vérifiés bénéficient d'un accès à des fonctionnalités plus avancées, tandis que les utilisateurs non vérifiés conservent une version de base réglementée. Ceci correspond au modèle freemium établi, mais lié aux données biométriques. Pour une entreprise valorisée à 380 milliards de dollars et dont plus de 80 % des clients sont des entreprises, la capacité à mettre en œuvre un contrôle précis des utilisateurs représente un avantage stratégique majeur. De plus, Anthropic se positionne comme une entreprise axée sur la sécurité, se différenciant ainsi explicitement d'OpenAI. La vérification d'identité s'inscrit dans ce discours : elle peut être présentée comme une acceptation de la responsabilité face aux risques de sécurité potentiels, même si elle crée simultanément de nouveaux risques pour la confidentialité des données. Il s'agit d'un exemple classique de la manière dont la rhétorique sécuritaire est utilisée pour légitimer des mesures problématiques du point de vue de la protection des données.

Dépendance vis-à-vis des fournisseurs : la menace stratégique sous-estimée pour les entreprises

Au-delà de la question spécifique de la confidentialité des données, le cas d'Anthropic Persona illustre un problème plus fondamental, souvent sous-estimé par la direction d'entreprise : la dépendance à une plateforme d'IA spécifique et à ses partenaires. Les entreprises qui ont bâti leur infrastructure d'IA entièrement sur Claude se retrouvent confrontées à une situation connue sous le nom de « verrouillage technologique ». Cette dépendance ne découle pas principalement de clauses contractuelles, mais de l'intégration technique : API spécialisées, architectures d'invite propriétaires, paramétrage précis des modèles et flux de travail internes profondément ancrés rendent le changement de plateforme coûteux et chronophage.

La menace stratégique se manifeste précisément lorsque le fournisseur introduit des changements unilatéraux : nouvelle exigence d’accès (comme la vérification biométrique), hausse des prix, modification de la politique d’utilisation ou retrait du marché pour des raisons géopolitiques. Pour les entreprises dont les processus essentiels reposent sur un fournisseur d’IA unique, ces changements ne sont plus une option négociable, mais un risque opérationnel. L’absence de stratégie de sortie est une grave lacune reconnue en matière de gouvernance informatique ; dans le domaine de l’IA, elle est d’autant plus critique compte tenu de la complexité des interdépendances. Par ailleurs, le Government Accountability Office (GAO) américain a déjà pointé du doigt des lacunes en matière de protection des données dans la gouvernance fédérale de l’IA et a classé la concentration de données d’identité sensibles chez des fournisseurs tiers comme un risque systémique.

L'indépendance des modèles comme principe architectural de résilience numérique

La réponse conceptuellement adéquate à la situation à risque décrite ici est une architecture d'IA indépendante du modèle. Ce principe est établi depuis des années dans les infrastructures cloud : les stratégies multicloud, qui répartissent les charges de travail entre plusieurs fournisseurs, minimisent les dépendances et permettent une bascule rapide en cas de panne. Ce même principe s'applique aux architectures LLM. Techniquement, une infrastructure d'IA indépendante du modèle exige que la couche d'orchestration (c'est-à-dire les systèmes d'agents, les flux de travail et les intégrations) soit abstraite de l'implémentation du modèle correspondant. Les API standardisées assurent une portabilité initiale ; cependant, une véritable indépendance du modèle à long terme nécessite le développement continu d'une couche d'abstraction dédiée : une architecture de passerelle IA qui traite les modèles comme des modules interchangeables.

Les modèles open source jouent un rôle de plus en plus important dans cette stratégie. Llama 4 et Mistral Large ont quasiment atteint le niveau de performance des modèles commerciaux de pointe dans de nombreux cas d'utilisation. Les entreprises qui investissent aujourd'hui dans la capacité d'exploiter des modèles sur site ou dans le cloud renforcent leur résilience stratégique, ce qui signifie que la prochaine décision unilatérale d'un fournisseur concernant une plateforme ne nécessitera plus une évaluation complète.

Conformité au RGPD : ce que les entreprises doivent faire maintenant

La procédure recommandée aux entreprises utilisant Claude est clairement définie. Il convient tout d'abord de déterminer si leurs employés ou leurs systèmes sont ou pourraient être concernés par l'exigence de vérification d'identité. Étant donné qu'Anthropic peut également déclencher une vérification dans le cadre de ses contrôles d'intégrité de routine, un impact, quelle que soit la situation, ne peut être exclu.

Par conséquent, les obligations en matière de protection des données doivent être respectées : toute personne utilisant Claude en tant que sous-traitant au sens du RGPD doit s’assurer de l’existence d’un accord de traitement des données valide avec Anthropic. Des analyses d’impact relatives aux transferts de données (AITD) sont obligatoires pour les transferts de données à Persona en tant que sous-traitant ultérieur. Les AITD doivent être mises à jour, car les données biométriques requièrent un consentement explicite ou une autre base juridique strictement définie, conformément à l’article 9 du RGPD. L’implication du délégué à la protection des données (DPO) de l’entreprise n’est pas une simple précaution, mais une obligation légale. Il est également conseillé aux entreprises européennes d’examiner la faisabilité technique des clés de chiffrement gérées par le client, car seule cette approche permet d’empêcher efficacement les autorités américaines d’accéder aux données via le CLOUD Act.

Vue d'ensemble : Qui contrôle les infrastructures de demain ?

L'affaire Anthropic Persona dépasse le simple cadre de la protection de la vie privée : elle met en lumière les dangers de la concentration du pouvoir dans les infrastructures numériques du XXIe siècle. Quelques entreprises étroitement liées contrôlent de plus en plus l'infrastructure d'identité d'Internet : Persona effectue 300 millions de vérifications par an, et Reddit, LinkedIn, OpenAI et désormais Claude utilisent tous le même système. Les investisseurs de ces entreprises – Founders Fund, Coatue, Index Ventures – détiennent des participations dans plusieurs de ces plateformes.

Il ne s'agit pas de théories du complot, mais d'une analyse structurelle, de se demander : qui a intérêt à pouvoir associer des données biométriques vérifiées à des données comportementales issues de millions d'interactions utilisateur ? Et qui dispose des capacités technologiques et de l'intérêt institutionnel nécessaires pour fusionner ces données ? Le cœur de métier de Palantir réside précisément dans cette fusion de données – et son président fondateur est le principal investisseur du leader de la vérification d'identité sur Internet. La réponse européenne à cette concentration de pouvoir est déjà inscrite dans la directive européenne sur l'IA et le RGPD, mais dans les faits, elle est souvent sous-financée et insuffisamment appliquée. Les autorités de surveillance européennes ont l'opportunité et le devoir de soumettre le système de vérification d'identité d'Anthropic à un examen approfondi – un examen qui n'a que trop tardé.

Le changement technologique exige un équilibre institutionnel

La mesure de vérification d'identité d'Anthropic n'est pas scandaleuse en soi. D'autres grandes plateformes appliquent des procédures similaires, et l'objectif de prévention des abus est légitime. Ce qui fait défaut, en revanche, c'est la proportionnalité : une procédure qui minimise l'empreinte numérique, qui est traitée dans le cadre juridique de l'UE et qui fournit des informations transparentes sur la durée, le lieu et la finalité du traitement. La communication d'Anthropic concernant la durée de conservation reste délibérément vague – une situation inacceptable pour des données biométriques relevant d'une catégorie particulière au sens du RGPD.

Le véritable enjeu de cet épisode est structurel : dans un monde où les assistants IA sont devenus l’infrastructure de millions de processus de travail, les décisions de leurs opérateurs ne relèvent plus de la seule sphère interne de l’entreprise. Ce sont des décisions d’infrastructure ayant des conséquences publiques, qui doivent être transparentes et réglementées en conséquence. Les entreprises qui dépendent de Claude ne doivent pas attendre la prochaine mesure unilatérale pour commencer à chercher des alternatives. La résilience commence par l’indépendance des modèles, et cette indépendance commence dès aujourd’hui.