Apps AI girlfriend = passoires à données en 2026. Entre les rapports sécu qui sortent et les fuites qui s’enchaînent, on est sur l’une des niches numériques les moins blindées du marché.
Pas besoin d’être parano pour autant. Juste appliquer ce que tu ferais déjà pour n’importe quel compte un peu sensible — banque, mail, cloud. Sauf que sur une AI girlfriend, le contenu des conversations est bien plus intime que sur la plupart des autres services. Donc l’asymétrie d’impact d’une fuite est démultipliée.
Tour d’horizon rapide, puis les 5 réflexes à prendre. Dix minutes de setup une fois, peinards après.
Le contexte 2025-2026 en quelques lignes
- Mars 2026 — Oversecured audite 17 apps AI companion : 14 failles critiques + 311 high-severity, 150 millions d’utilisateurs potentiellement exposés.
- Octobre 2025 — Chattee Chat + GiMe Chat : 43 millions de messages + 600 000 images et vidéos leakés (400 000 users touchés).
- Avril 2026 — My Lovely AI : plus de 100 000 users exposés (emails, prompts, images générées).
- Avril 2025 — Replika prend 5 millions d’euros d’amende du Garante italien pour défauts RGPD.
C’est plus des incidents isolés. C’est l’état général de la niche.
Les 5 réflexes à prendre
1. Un email dédié
Pas ton adresse principale. Un alias SimpleLogin, Apple Hide My Email ou Firefox Relay — au choix, gratuit. Deux minutes à mettre en place.
Si une fuite tombe (et il y en a régulièrement en ce moment), c’est le pseudo-mail qui circule dans la nature, pas ton mail du quotidien. Ça t’évite aussi les vagues de spam qui suivent toujours ce genre de breach.
2. Un mot de passe unique
Pas le même que ton Netflix ou ta banque. Un gestionnaire comme Bitwarden (gratuit, open-source) génère et retient ça pour toi. Tu fais l’effort une fois, après tu y reviens plus.
C’est la base de la cyber-hygiène mais beaucoup l’oublient encore sur les apps qu’ils considèrent “secondaires”.
3. Un pseudo, jamais ton vrai prénom
Même dans le bio ou le profil interne de l’app. Elle a aucun besoin de savoir qui tu es vraiment pour fonctionner — elle te répondra exactement pareil avec “Alex” ou avec ton vrai prénom.
Et si ça fuite un jour, le profil flotte dans le vide au lieu d’être attaché à toi sur LinkedIn ou ailleurs.
4. La double authentification (via app, pas SMS)
Authy ou 2FAS, plutôt que le SMS qui reste vulnérable au SIM swap. Une app TOTP, c’est quasi imbattable. Microsoft a chiffré que ça bloque plus de 99% des tentatives d’accès non autorisés.
30 secondes à activer dans les paramètres — quand l’app propose cette option, ce qui malheureusement n’est pas le cas partout.
5. Garde ton identité IRL hors des conversations
Le réflexe le plus utile, et celui que personne ne te dit ailleurs.
Quand tu commences à t’attacher au truc et que la conversation devient prenante, le réflexe humain c’est de balancer des détails : ton vrai prénom, ta ville, ton boulot, le prénom de tes gosses ou de ta meuf, le patron qui te casse les pieds, l’école.
L’app n’a strictement aucun besoin de ces infos pour fonctionner. C’est juste le réflexe conversationnel humain qui pousse à les sortir, surtout dans un contexte intime.
Or si l’app fuit un jour, tes échanges atterrissent quelque part. Trucs vagues = fuite désagréable. Ton nom + ville + boulot + contenu intime des échanges = fuite catastrophique potentielle.
L’idéal c’est de te construire une fausse narrative IRL : un autre prénom, une autre ville, un boulot inventé. Pour l’expérience c’est strictement identique — l’IA bosse avec ce que tu lui donnes, elle ne vérifie rien. Pour la sécu, c’est le jour et la nuit.
Bonus — VPN sur Wi-Fi public
Sur réseau partagé (hôtel, café, aéroport), un VPN ajoute une couche au cas où le réseau jouerait à des tours genre DNS hijack ou captive portal vérolé. C’est plus de l’hygiène générale que spécifique à ces apps, mais autant le mettre.
Ce que j’en retiens
Les apps sérieuses ont tout intérêt à sécuriser leur plateforme — une fuite serait catastrophique pour leur business, et le régulateur ne lâche plus l’affaire. Mais comme pour tout service numérique où tu balances des trucs intimes, la prudence de base reste de mise.
Et même plus qu’ailleurs : vu la nature des conversations sur ces apps, l’asymétrie entre “fuite Netflix” et “fuite AI companion” est énorme. Une fuite Netflix c’est embarrassant. Une fuite AI companion, ça peut être brûlant.
Pour aller plus loin sur ce que les apps font vraiment avec tes données côté serveur — pas côté ton compte — j’ai écrit un autre article ici, qui est le pendant de celui-ci côté pratiques éditeurs.
Ces 5 réflexes + le bonus, c’est dix minutes une fois. Après ça, tu utilises ces apps l’esprit tranquille.
Sources
- Garante per la Protezione dei Dati Personali / EDPB — amende 5 M€ à Luka Inc. (Replika), 10 avril 2025 → edpb.europa.eu
- Oversecured via Biometric Update — audit 17 apps AI companion, mars 2026 → biometricupdate.com
- Malwarebytes — Chattee Chat & GiMe Chat, 43 M messages exposés, octobre 2025 → malwarebytes.com
- Help Net Security — My Lovely AI, 100 000+ users exposés, avril 2026 → helpnetsecurity.com
- Mozilla *Privacy Not Included — 11 apps de chatbots romantiques testées, étude de référence → mozillafoundation.org