L’application de prise de notes basée sur l’IA, Granola, permet à toute personne disposant d’un lien d’afficher les notes des utilisateurs par défaut, ce qui soulève d’importants problèmes de confidentialité. La plate-forme, commercialisée comme un outil permettant de capturer l’audio des réunions et de générer des notes résumées par l’IA, expose des informations potentiellement sensibles à moins que les utilisateurs n’ajustent manuellement leurs paramètres de confidentialité.
Accès public par défaut
Les paramètres de Granola indiquent clairement que les notes sont « visibles par toute personne disposant du lien ». Cela signifie que même sans compte, les individus peuvent accéder aux notes si un lien est partagé ou divulgué, ce qui présente un risque de sécurité majeur pour les réunions confidentielles. Les tests confirment que les notes sont accessibles à partir d’une fenêtre de navigateur privée sans se connecter, révélant à la fois le contenu des notes et les détails de leur création.
Accès limité aux transcriptions
Bien que les transcriptions complètes ne soient accessibles qu’aux collaborateurs de l’application Granola, des extraits partiels des transcriptions sont visibles à travers les notes à puces. La sélection d’un point de note affiche les citations correspondantes et les résumés générés par l’IA, offrant un contexte supplémentaire à partir de la conversation. L’étendue de l’accès des utilisateurs disposant d’un compte Granola n’est pas claire, car la société n’a pas précisé si tous les titulaires de compte peuvent consulter les transcriptions.
Utilisation des données pour la formation en IA
Granola se réserve le droit d’utiliser les données utilisateur anonymisées pour améliorer ses modèles d’IA, à moins qu’elles ne soient explicitement désactivées dans les paramètres. Les clients Entreprise sont exclus de la formation IA par défaut, mais tous les autres utilisateurs restent inscrits. La désactivation de cette fonctionnalité nécessite un ajustement manuel dans les paramètres de l’application. La société affirme que les fournisseurs d’IA tiers comme OpenAI ou Anthropic n’accèdent pas aux données des utilisateurs si ce paramètre est désactivé.
Mesures de sécurité et stockage
Granola stocke les notes dans un cloud privé Amazon Web Services, avec chiffrement au repos et en transit. La société affirme qu’elle ne conserve pas les enregistrements audio, mais uniquement les notes et les transcriptions pour le traitement dans le cloud. Malgré ces mesures, le paramètre de lien public par défaut reste une vulnérabilité critique.
Pour sécuriser vos notes Granola, les utilisateurs doivent accéder au menu des paramètres (profil > Paramètres > Partage par lien par défaut) et modifier le paramètre de « Toute personne disposant du lien » à « Uniquement mon entreprise » ou « Privé ». La suppression de notes supprime également l’accès aux personnes disposant de liens.
L’incident met en évidence une tendance plus large selon laquelle les outils d’IA donnent la priorité à la facilité d’utilisation plutôt qu’à la confidentialité par défaut. Les utilisateurs doivent gérer activement les paramètres pour éviter toute exposition involontaire des données, et les entreprises doivent donner la priorité par défaut à la transparence et à la sécurité.
