Perplexity bloque les utilisateurs payants hors de leurs comptes jusqu'à ce qu'ils communiquent leur numéro de téléphone. Voici comment s'en sortir.
Vérification SMS obligatoire sans avertissement, sans possibilité de contournement et sans option d'annulation. Combiné à un historique de négligences en matière de confidentialité, il est temps de passer à autre chose.
Quelques jours seulement après notre article sur Anthropic qui exige une pièce d'identité officielle avec photo pour accéder à Claude, un autre grand fournisseur d'intelligence artificielle a franchi une ligne qui devrait alerter tout utilisateur soucieux de sa vie privée.
Perplexity AI a déployé une vérification SMS obligatoire pour tous les comptes, y compris les abonnés Pro payants existants, sans préavis, sans période de transition et sans possibilité de contournement ou de report. Si vous ne communiquez pas votre numéro de téléphone, vous êtes entièrement bloqué. Vous ne pouvez plus utiliser Perplexity, accéder à vos paramètres, et surtout, vous ne pouvez pas non plus résilier votre abonnement. Vous continuez à payer pour un service auquel vous n'avez plus accès sans accepter une exigence qui n'existait pas au moment de votre inscription.
Le support de Perplexity, qui est ironiquement lui-même un simple bot IA, a confirmé par écrit : "La vérification par téléphone est une exigence de sécurité obligatoire pour utiliser Perplexity sur toutes les plateformes. Elle ne peut pas être contournée."
Les réactions immédiates
La réaction des utilisateurs a été immédiate et unanime. De nombreux utilisateurs de Perplexity nous ont déjà contactés à ce sujet. Les personnes qui s'étaient inscrites avec des alias d'adresse e-mail respectueux de la vie privée ne pouvaient plus contacter le support via leur compte. Des abonnés annuels se sont retrouvés bloqués alors qu'il leur restait encore plusieurs mois d'accès payé. Il n'y a eu aucune annonce, aucune méthode de vérification alternative et aucun remboursement initié par Perplexity.
Ce n'est pas un simple désagrément. Il s'agit d'une entreprise qui modifie rétroactivement les conditions d'un produit payant et retient votre abonnement en otage jusqu'à ce que vous vous pliiez à ses exigences.
Pourquoi la vérification par SMS est la mauvaise forme de "sécurité"
Perplexity présente cette mesure comme une amélioration de la sécurité. Cette présentation mérite d'être examinée de plus près.
L'authentification à deux facteurs par SMS est reconnue comme la forme la plus faible de double authentification disponible. Elle est vulnérable aux attaques par échange de carte SIM, à l'interception du protocole SS7 et aux demandes de données adressées aux opérateurs téléphoniques par les autorités. Associer son numéro de téléphone réel à un compte IA contenant l'intégralité de son historique de recherches et de conversations ne rend pas plus en sécurité. Cela crée un point de défaillance unique qui relie votre identité réelle et vérifiée à tout ce que vous avez jamais demandé.
Les entreprises qui réclament les données personnelles les plus sensibles sont celles qui font le moins pour les protéger. Perplexity en est un exemple flagrant.
Le bilan de Perplexity en matière de confidentialité : un schéma récurrent, pas un incident isolé
Le déploiement de la vérification par numéro de téléphone ne s'est pas produit dans le vide. Il s'inscrit dans un schéma plus large où Perplexity traite la vie privée des utilisateurs comme une considération secondaire, quand elle est prise en compte.
Premièrement : ils s'entraînent sur vos données par défaut. Lorsque vous vous inscrivez à Perplexity et souscrivez un abonnement, vos requêtes de recherche sont automatiquement utilisées pour améliorer leurs modèles d'IA. La plupart des utilisateurs ne le savent jamais. Pour vous y opposer, vous devez naviguer vers Paramètres, puis Préférences, et désactiver manuellement la "Rétention des données IA". Leur propre description de ce paramètre indique : "La rétention des données IA permet à Perplexity d'utiliser vos requêtes de recherche pour améliorer ses modèles d'IA. Désactivez ce paramètre si vous souhaitez que vos données soient exclues de ce processus."
Activé par défaut. Enfoui dans les paramètres. Aucune information visible lors de l'inscription. C'est un choix délibéré.
Deuxièmement : ils vendent probablement vos données. Perplexity fonctionne à un rythme qui relègue systématiquement la sécurité et la gouvernance des données au second plan. L'entreprise a grandi rapidement et a, à plusieurs reprises, trahi la confiance de ses utilisateurs. Tout indique que les données sont partagées avec ou vendues à des tiers, bien que la documentation publique de Perplexity reste délibérément vague sur ce point.
Troisièmement : l'incident de la clé API codée en dur. Cet épisode illustre la culture de l'entreprise mieux que n'importe quelle déclaration officielle.
Perplexity utilise un service tiers appelé logo.dev pour les favicons. Ils ont intégré leur clé API directement dans des balises source d'images, visible par quiconque ouvrait les outils de développement du navigateur. Des développeurs l'ont remarqué rapidement et ont commencé à utiliser la clé exposée pour leurs propres projets, faisant grimper les factures de Perplexity. Il a fallu deux mois à Perplexity pour comprendre pourquoi le volume de requêtes vers logo.dev était si élevé.
Le problème ? Il n'est toujours pas résolu.
Une vérification récente effectuée par nous a montré que la clé codée en dur existe toujours et n'a pas été entièrement supprimée de leur site web. Vous pouvez le vérifier vous-même en collant l'adresse suivante directement dans la barre d'adresse de votre navigateur : https://img.logo.dev/wikipedia.org?token=pk_NNp9abu9TMm9II6Z0666YA
Cette URL charge un favicon Wikipédia en utilisant le propre jeton API de Perplexity. N'importe qui peut l'utiliser. Cela fonctionne toujours.
Une entreprise qui ne peut pas protéger ses propres clés API et les intègre publiquement dans du code frontend exécuté n'est pas une entreprise à qui vous devriez confier votre historique de recherches, vos conversations, vos pensées, votre identité ou votre numéro de téléphone.
La vue d'ensemble : un schéma à l'échelle du secteur
Il s'agit désormais d'un schéma clair et qui s'accélère.
Claude exige une pièce d'identité officielle avec photo. Perplexity exige un numéro de téléphone. Les deux peuvent relier votre identité réelle et vérifiée à votre historique de conversations avec l'IA. Une fois ce lien établi, il peut à tout moment faire l'objet d'une injonction judiciaire, être exposé par une fuite de données, vendu ou transmis aux autorités. Tout comme dans cet exemple de vérification par numéro de téléphone, Perplexity peut modifier ses conditions à tout moment et faire ce qu'il veut de vos données. Si vous ne prenez pas vraiment la confidentialité au sérieux, vous vous plierez à leurs exigences pour retrouver l'accès. Dans le cas contraire, il faut élaborer dès maintenant une stratégie de sortie de ce système de surveillance.
Les entreprises d'IA qui ont commencé comme des outils deviennent de plus en plus des gardiens qui exigent votre identité avant de vous laisser passer. Chaque semaine, la liste des services d'IA utilisables sans justifier de son identité se raccourcit.
Comment résourde le problème / Quitter Perplexity
Si vous êtes actuellement bloqué ou souhaitez partir avant que la situation ne s'aggrave, voici ce qu'il faut faire.
Si vous pouvez encore accéder à l'application mobile sans la mettre à jour : Agissez immédiatement. Résiliez votre abonnement depuis l'application avant qu'elle n'impose la vérification.
Pour supprimer vos données : Soumettez une demande via le formulaire dédié à l'adresse perplexity.typeform.com/datarequest et sélectionnez "supprimer mes données personnelles". Perplexity confirme que ce formulaire fonctionne même sans accès au compte.
Si vous n'avez plus aucun accès : Écrivez directement à support@perplexity.ai. Indiquez clairement que vous n'avez plus accès à votre compte en raison de l'exigence de vérification obligatoire, que vous n'avez pas consenti à cette condition au moment de la souscription, et que vous demandez à la fois un remboursement et la suppression complète de votre compte en vertu du droit à l'effacement prévu à l'article 17 du RGPD. Conservez cet e-mail comme preuve.
S'ils ne répondent pas dans les 30 jours : Faites remonter le dossier à votre autorité nationale de protection des données. Au sein de l'UE, cette démarche est simple.
Une remarque importante concernant la suppression des données : Perplexity indique que les données sont définitivement supprimées 30 jours après le traitement de la demande. Que votre historique de conversations, vos requêtes de recherche et vos profils comportementaux déduits soient réellement purgés des ensembles de données d'entraînement, des systèmes de sauvegarde et des accords avec des tiers est une tout autre question, à laquelle aucune grande entreprise d'IA n'a encore apporté de réponse crédible et vérifiable. Les données que vous avez partagées ont une valeur considérable. Nous avons de sérieux doutes quant au fait que tout sera supprimé, surtout si ces données circulent déjà dans des ensembles de données d'entraînement.
Faciliter la transition
Pour rendre la transition depuis Perplexity aussi simple que possible, nous avons mis en place perplexity.lu afin d'aider les utilisateurs à migrer rapidement tout en protégeant leur vie privée.
La transition elle-même est simple : remplacez simplement .ai par .lu dans l'URL Perplexity que vous utilisez habituellement, et c'est tout.
Aucun numéro de téléphone. Aucune vérification d'identité. Aucune infrastructure de surveillance liée à vos recherches. Fabriqué dans l'UE (Luxembourg), entièrement souverain sur le plan des données européennes et conçu dès le départ pour protéger votre vie privée.
Bienvenue à votre nouvel assistant IA respectueux de la vie privée : www.perplexity.lu
Il vous redirige vers xPrivo.com, l'alternative européenne open source et respectueuse de la vie privée à Perplexity.
Ce qui vient ensuite
La fenêtre pendant laquelle l'IA peut être utilisée de manière privée, sans passeport, sans numéro de téléphone, sans lien permanent entre votre identité et vos pensées, se rétrécit. Non pas parce qu'une loi l'exige. Mais parce que les grands fournisseurs l'ont décidé ainsi.
Vous n'avez pas à l'accepter.
xPrivo est disponible sur xprivo.com, sans compte, sans pièce d'identité, sans traçage. Il peut être utilisé directement dans le navigateur ou téléchargé et exécuté entièrement sur votre propre matériel avec des modèles locaux, de sorte qu'aucun fournisseur cloud ne voit jamais ce que vous demandez.
Les outils pour une utilisation anonyme et souveraine de l'IA existent déjà. La question est de savoir si suffisamment de personnes choisissent de les utiliser avant que la vérification ne devienne la norme inévitable dans l'ensemble du secteur.