Gemini Spark lit vos mails 24h/24 : 3 risques concrets pour vos données en Suisse

Gemini Spark lit vos mails 24h/24 : 3 risques concrets pour vos données en Suisse

Le 19 mai 2026, Google a lancé Gemini Spark lors de sa conférence I/O annuelle : un agent IA autonome qui accède à vos mails Gmail, vos fichiers Google Docs et votre agenda 24 heures sur 24, depuis des serveurs cloud distants — même lorsque votre téléphone est éteint. Simultanément, une enquête de l'OCDE publiée en avril 2026 révèle que Gemini scanne déjà des photos et e-mails personnels pour personnaliser ses réponses, avec un processus de consentement jugé « vague et insuffisant ». Pour les utilisateurs et professionnels en Suisse, l'enjeu dépasse largement le confort technologique.

Ce que fait réellement Gemini Spark

Gemini Spark est un agent IA intégré à l'ensemble de l'écosystème Google : Gmail, Drive, Docs, Chrome et Calendar. Contrairement aux assistants classiques qui attendent une commande explicite, Spark agit en continu : il classe des e-mails, rédige des réponses, planifie des réunions et analyse des fichiers — à toute heure, sans intervention humaine. Il fonctionne sur des serveurs Google Cloud dédiés, ce qui signifie que vos données quittent votre appareil en permanence et circulent dans l'infrastructure de la firme californienne.

Google a également annoncé le même jour Gemini Omni, un modèle multimodal capable de traiter simultanément texte, images, vidéos et audio, et Gemini 3.5 Flash, présenté comme quatre fois plus rapide que ses principaux concurrents. Ces trois produits sont disponibles pour les abonnés Google AI Ultra à partir du 26 mai 2026. L'intégration progressive se fera ensuite sur YouTube Shorts et Chrome, selon Google.

Risque n° 1 : vos communications professionnelles exposées

Selon les conditions d'utilisation de Google, des réviseurs humains peuvent accéder à vos conversations Gemini — et aux contenus analysés par l'agent — pendant une durée pouvant atteindre trois ans, même si vous supprimez votre historique. Pour un professionnel en Suisse — avocat, médecin, fiduciaire ou conseiller financier — dont les communications sont protégées par le secret professionnel, ce risque n'est pas théorique.

La Loi fédérale sur la protection des données (nLPD), révisée et en vigueur depuis septembre 2023, impose aux entreprises traitant des données de résidents suisses de garantir un niveau de protection équivalent à la norme helvétique, même lorsque le traitement s'effectue à l'étranger. Les serveurs Google Cloud étant principalement localisés aux États-Unis et en Europe, dans des juridictions aux cadres légaux distincts du droit suisse, la conformité n'est pas automatiquement garantie.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) recommande explicitement d'évaluer, avant toute intégration d'outils IA tiers, la nature des données transmises et les garanties contractuelles obtenues du prestataire.

Risque n° 2 : des cyberattaques en hausse de 32 %

Google Threat Intelligence a documenté une augmentation de 32 % des tentatives d'injection de prompts malveillants ciblant Gemini entre novembre 2025 et février 2026. Ces attaques consistent à insérer des instructions cachées dans des documents ou e-mails pour détourner l'agent IA et lui faire exécuter des actions non souhaitées : transfert d'informations confidentielles, création de réponses trompeuses ou accès non autorisé à des fichiers sensibles.

Pour une PME suisse qui utilise Google Workspace et active Gemini Spark, le risque est concret. Un fournisseur mal intentionné pourrait, par exemple, envoyer une facture contenant des instructions masquées et inciter l'agent IA à la valider automatiquement ou à transmettre des données bancaires. À mesure que l'agent gagne en autonomie, sa surface d'attaque s'élargit proportionnellement.

Un expert en cybersécurité peut auditer votre environnement Google Workspace et mettre en place des politiques de sécurité adaptées avant que vous n'activiez des fonctionnalités aussi intrusives que Gemini Spark.

Risque n° 3 : une frontière floue entre données personnelles et professionnelles

La recherche de l'OCDE publiée le 17 avril 2026 pointe un problème de consentement éclairé : les utilisateurs qui activent Gemini ne réalisent souvent pas que l'agent analyse simultanément leur compte personnel et leurs outils professionnels, notamment lorsque ces comptes sont liés sous un même identifiant Google. Dans un contexte où les collaborateurs utilisent fréquemment leur compte Google personnel pour accéder à des ressources d'entreprise, la confusion entre sphère privée et données professionnelles représente un risque réglementaire réel.

Pour les entreprises soumises à des obligations sectorielles strictes — établissements financiers, cabinets médicaux, étude d'avocats — cette porosité peut constituer une violation de leurs obligations légales, indépendamment des conditions d'utilisation de Google.

Consultez notre article sur la sécurité des données personnelles et l'IA pour comprendre comment d'autres intégrations IA soulèvent des questions similaires.

Ce que vous devez vérifier avant d'activer Gemini Spark

Plusieurs vérifications pratiques s'imposent avant d'adopter cet outil au quotidien :

Paramètres de conservation des données. Dans votre compte Google, rendez-vous dans « Activité sur les applications et le Web » et désactivez la conservation de l'historique si vous ne souhaitez pas que vos interactions alimentent les modèles d'entraînement de Google.

Séparation des comptes. N'activez pas Gemini Spark sur un compte professionnel contenant des données de clients, de patients ou de mandants. Créez un compte Google distinct pour vos usages IA non sensibles.

Révision des contrats fournisseurs. Si votre entreprise utilise Google Workspace dans le cadre d'un contrat Business ou Enterprise, vérifiez les clauses relatives au traitement des données par les fonctionnalités IA. Google propose un « Data Processing Amendment » qui peut offrir des garanties supplémentaires.

Politique interne d'utilisation de l'IA. Définissez clairement quelles données peuvent transiter par des outils IA tiers, et formez vos collaborateurs en conséquence.

Pourquoi consulter un expert IT maintenant

Les outils d'IA comme Gemini évoluent à un rythme que les entreprises peinent à suivre. Chaque mise à jour modifie les modalités d'accès aux données, les politiques de rétention et les droits des tiers. Une configuration inadaptée aujourd'hui peut se traduire demain par une violation de données notifiable au PFPDT — avec des amendes pouvant atteindre 250 000 CHF sous la nLPD.

Un spécialiste en informatique et sécurité des données peut évaluer votre exposition aux risques liés à l'IA générative, identifier les configurations à risque dans votre environnement Google Workspace, et proposer des mesures techniques et organisationnelles concrètes. Sur Expert Zoom, des experts IT suisses sont disponibles pour une consultation rapide, en ligne ou en présentiel, avec un premier avis sous 24 heures.

Avertissement : cet article a un but informatif général. Pour toute question relative à la protection de vos données professionnelles ou au respect de la nLPD, consultez un spécialiste en informatique ou en droit des données qualifié.