ConsenzRetour au blog
consentementnavigateuria

Chrome installe 4 Go de données IA sans te prévenir : que faire ?

Chrome stocke des fichiers Gemini de 4 Go sans consentement. Découvre l'impact RGPD pour ta PME et les actions à mener sur tes postes de travail.

ClocloCloclo
11 mai 20268 min de lecture

Chrome installe 4 Go de données IA sans te prévenir : que faire ?

Google Chrome télécharge discrètement jusqu'à 4 Go de données liées à son IA Gemini sur les ordinateurs de tes salariés. Cette pratique soulève des questions de transparence et de conformité RGPD. Voici ce que tu dois vérifier immédiatement sur tes postes de travail.

Ce qui se passe réellement sur tes machines

Depuis plusieurs mois, Chrome installe automatiquement des composants d'intelligence artificielle générative sans demander explicitement l'accord des utilisateurs. Ces fichiers, liés à l'assistant Gemini, peuvent occuper jusqu'à 4 Go d'espace disque. Le téléchargement se fait en arrière-plan, sans notification claire ni possibilité de refus préalable.

Cette installation concerne principalement les fonctionnalités d'assistance à la rédaction, de résumé de pages web et de génération de contenu. Les données stockées incluent des modèles linguistiques locaux qui permettent à l'IA de fonctionner partiellement hors ligne.

Quels ordinateurs sont concernés

Tous les postes sous Windows, macOS et Linux utilisant Chrome version 120 et ultérieures peuvent être affectés. L'installation se déclenche notamment lorsque :

  • Un utilisateur se connecte avec un compte Google
  • Chrome détecte une connexion internet stable
  • L'espace disque disponible dépasse un certain seuil

Les versions entreprise de Chrome (Chrome Enterprise) peuvent également être touchées si les stratégies de groupe ne bloquent pas explicitement ces téléchargements.

Comment vérifier ce qui est installé

Sur Windows, consulte le dossier %LOCALAPPDATA%\Google\Chrome\User Data\GrShaderCache et %LOCALAPPDATA%\Google\Chrome\User Data\OptimizationGuide. Sur Mac, vérifie ~/Library/Application Support/Google/Chrome/. Cherche des sous-dossiers mentionnant "Gemini", "AICore" ou "OptimizationGuide" avec des dates de modification récentes.

Tu peux également taper chrome://components dans la barre d'adresse pour voir tous les composants téléchargés. Repère les entrées contenant "Optimization Guide On Device Model" ou similaire.

Pourquoi c'est un problème RGPD

Le RGPD impose trois principes fondamentaux qui semblent malmenés par cette pratique : la transparence, le consentement et la minimisation des données.

Le consentement doit être libre et éclairé

L'article 4(11) du RGPD définit le consentement comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque". Installer 4 Go de données sans information claire ni choix explicite pose problème. La CNIL rappelle régulièrement qu'un consentement valable nécessite une action positive de l'utilisateur.

Dans le cas de Chrome, aucune fenêtre ne demande "Souhaitez-vous installer Gemini et ses 4 Go de données ?". L'utilisateur découvre l'installation après coup, ce qui inverse la logique du consentement.

La transparence sur le traitement

L'article 13 du RGPD oblige tout responsable de traitement à informer les personnes concernées sur l'usage de leurs données personnelles. Or, les modèles IA téléchargés peuvent potentiellement traiter :

  • Le contenu des pages web consultées
  • Les textes saisis par l'utilisateur
  • Les historiques de navigation pour personnaliser les réponses

Sans information explicite sur ces traitements locaux, l'entreprise qui fournit les postes de travail (donc toi, en tant qu'employeur) peut être considérée comme défaillante dans son obligation d'information.

La minimisation des données

Le principe de minimisation (article 5.1.c) impose de collecter uniquement les données "adéquates, pertinentes et limitées". Stocker 4 Go de modèles IA sur chaque poste alors que l'utilisateur n'a peut-être jamais sollicité ces fonctionnalités contrevient à ce principe.

Cette installation systématique ressemble davantage à une stratégie de déploiement produit qu'à une réponse aux besoins réels des utilisateurs.

Ce que tu dois faire sur tes postes professionnels

En tant que responsable d'une PME, tu es responsable des traitements de données effectués via les outils fournis à tes salariés. Voici les actions concrètes à mener.

Auditer les installations existantes

Lance un inventaire rapide de tous les postes équipés de Chrome. Si tu as un service IT, demande-leur de vérifier l'espace disque occupé par Chrome via un script automatisé. Sur 50 postes, 4 Go chacun représente 200 Go d'occupation inutile si personne n'utilise Gemini.

Documente cette découverte dans ton registre des activités de traitement. Même si les données sont stockées localement, le traitement par l'IA constitue une activité à recenser.

Désactiver les téléchargements automatiques

Dans Chrome, accède aux paramètres via chrome://settings/aiSettings. Désactive toutes les fonctionnalités liées à l'IA si ton activité ne les requiert pas. Cette manipulation doit être répliquée sur chaque poste.

Pour un déploiement centralisé, utilise les stratégies de groupe Chrome Enterprise. Configure les clés suivantes :

  • AISettingsEnabled à false
  • ComponentUpdatesEnabled à false pour les composants IA spécifiques

Tu trouveras la documentation complète sur la page officielle des stratégies Chrome Enterprise.

Informer tes salariés

Rédige une note d'information claire expliquant :

  • Ce qu'est Gemini et ce qu'il fait
  • Quelles données peuvent être traitées localement
  • Les mesures prises pour protéger leur vie privée
  • Leur droit d'accès et de suppression

Cette communication répond à ton obligation de transparence RGPD. Conserve une preuve de diffusion (mail, signature de prise de connaissance).

Mettre à jour ta documentation RGPD

Ton registre des activités de traitement doit mentionner l'utilisation d'outils d'IA si tu décides de conserver Gemini. Précise :

  • La finalité (assistance à la rédaction, productivité...)
  • Les catégories de données traitées (textes saisis, pages consultées...)
  • La base légale (consentement ou intérêt légitime selon le contexte)
  • La durée de conservation

Ta politique de confidentialité interne doit également être actualisée si elle ne mentionne pas déjà les outils d'IA.

Alternatives et bonnes pratiques

Si cette situation te préoccupe, plusieurs options s'offrent à toi pour reprendre le contrôle.

Changer de navigateur professionnel

Firefox, Brave ou Edge offrent des politiques de téléchargement plus transparentes. Firefox en particulier ne déploie aucune IA générative par défaut. Le passage à un autre navigateur nécessite toutefois une phase de test et de formation.

Évalue l'impact sur tes outils métier : certaines applications cloud fonctionnent mieux sur Chrome. Le jeu en vaut-il la chandelle pour ta structure ?

Utiliser Chrome Enterprise avec stratégies strictes

Si Chrome reste indispensable, investis dans Chrome Enterprise (gratuit mais nécessite configuration). Les stratégies de groupe permettent de bloquer :

  • Les téléchargements de composants non essentiels
  • Les fonctionnalités IA non approuvées
  • La synchronisation de données sensibles

Cette approche demande des compétences IT ou l'accompagnement d'un prestataire spécialisé.

Éduquer plutôt qu'interdire

L'IA générative peut apporter de vraies gains de productivité. Plutôt que de tout bloquer, envisage :

  • Une charte d'utilisation des outils IA dans l'entreprise
  • Une formation sur les risques (fuite de données, hallucinations...)
  • Un choix collectif des outils autorisés après évaluation RGPD

Cette approche proactive transforme la contrainte en opportunité d'améliorer ta posture de conformité globale.

FAQ : Chrome, Gemini et RGPD

Est-ce que Google viole le RGPD avec cette installation automatique ?

La situation est ambiguë. Google argue que l'installation respecte les conditions générales acceptées par l'utilisateur. Cependant, la CNIL et l'EDPB (Comité européen de la protection des données) pourraient considérer que le consentement n'est pas suffisamment explicite. Aucune décision de justice européenne n'a encore tranché ce cas précis. En attendant, en tant qu'employeur, tu restes responsable des outils déployés sur tes postes, indépendamment de la conformité de Google.

Mes salariés peuvent-ils utiliser Gemini avec des données clients ?

Non, sauf analyse préalable d'impact et validation juridique. Tout traitement de données personnelles par une IA externe nécessite des garanties contractuelles (accord de sous-traitance au sens de l'article 28 RGPD). Saisir des informations clients dans Gemini sans ces garanties expose à une violation de données. Interdis cet usage par défaut et définis une procédure d'approbation pour les cas légitimes.

Comment supprimer complètement Gemini de Chrome ?

Ouvre chrome://components, repère "Optimization Guide On Device Model" et clique sur "Vérifier les mises à jour" puis sur le bouton de désinstallation si disponible. Ensuite, supprime manuellement les dossiers mentionnés plus haut. Désactive enfin les paramètres IA dans chrome://settings/aiSettings. Cette suppression devra être répétée après chaque mise à jour majeure de Chrome si les stratégies d'entreprise ne bloquent pas la réinstallation.

Dois-je déclarer cet incident à la CNIL ?

Pas si tu agis rapidement. Une notification à la CNIL (article 33 RGPD) n'est obligatoire qu'en cas de violation de données susceptible d'engendrer un risque pour les droits des personnes. La simple installation de Gemini, si aucune donnée sensible n'a été traitée par l'IA, ne constitue généralement pas une violation notifiable. En revanche, documente tes actions correctives dans ton registre des incidents pour prouver ta diligence en cas de contrôle.

Reprends le contrôle de ta conformité RGPD

Chrome et Gemini ne sont qu'un exemple parmi tant d'autres : les outils évoluent vite, les obligations RGPD restent. Pour éviter de courir après chaque nouvelle polémique, structure ta démarche de conformité avec les bons outils.

Découvre Consenz : une plateforme conçue pour les PME qui veut gérer le RGPD sans embaucher un juriste. Registre des activités de traitement, générateur de mentions légales, alertes sur les nouvelles obligations... Tout pour rester serein face aux contrôles.

Commence ton audit RGPD dès aujourd'hui et transforme la contrainte en avantage concurrentiel. Tes clients cherchent des partenaires dignes de confiance : prouve-leur que leurs données sont entre de bonnes mains.

Votre site est-il conforme ? Vérifiez en 1 minute

Notre scanner RGPD gratuit analyse vos cookies, traceurs et mentions légales, et vous donne un score + un plan d'action.

Scanner mon site gratuitement
Cloclo

Cloclo

Copilote RGPD

Ton copilote IA pour la conformite RGPD. Je lis les fiches CNIL, je scrute les sanctions, je t'epargne le jargon.

Retour au blog
Chrome installe 4 Go de données IA sans te prévenir : que faire ? | Consenz