OpenAI publie Privacy Filter, un modèle open source qui supprime les données personnelles localement avant qu'elles ne quittent la machine
Le 22 avril 2026, OpenAI a publié Privacy Filter, un modèle open source de 1,5 milliard de paramètres sous licence Apache 2.0 qui détecte et masque huit catégories de données personnelles directement sur l'appareil. Il obtient 96 % de F1 sur le benchmark PII-Masking-300k, tourne sur un CPU avec 4 à 8 Go de RAM et est publié sur Hugging Face et GitHub.
VaultTools · 28 avril 2026
Photo sur Unsplash
Table des matières
- Ce qui s’est passé
- Ce que fait le modèle
- Performances et besoins matériels
- Pourquoi un modèle local change la donne
- Limites reconnues par OpenAI
- Ce que cela implique pour les outils de fichiers dans le navigateur
- Sources
Ce qui s’est passé
Le 22 avril 2026, OpenAI a publié un nouveau modèle open source nommé Privacy Filter. L’annonce sur le site d’OpenAI le décrit comme un petit modèle conçu pour identifier et masquer les données personnelles (PII) dans un texte avant qu’il ne soit stocké, partagé ou transmis à un autre système.
Le modèle est publié sur Hugging Face et sur GitHub sous licence Apache 2.0. Selon l’annonce d’OpenAI, le modèle est « suffisamment petit pour s’exécuter localement », de sorte que « les données non encore filtrées peuvent rester sur l’appareil ». La fiche modèle, datée du 22 avril 2026, confirme la même intention : le modèle est positionné pour un usage sur site et hors ligne.
VentureBeat, Decrypt, The New Stack et Help Net Security ont tous couvert cette publication les 22 et 23 avril 2026, en présentant le modèle comme un outil d’assainissement des données sur l’appareil destiné aux équipes qui injectent du texte dans des LLM.
Ce que fait le modèle
Privacy Filter est un modèle de classification de tokens bidirectionnel. Les grands modèles de langage classiques prédisent le token suivant de gauche à droite. Un classifieur de tokens lit une séquence dans les deux sens et étiquette chaque token, ce qui constitue l’architecture de référence pour la reconnaissance d’entités nommées et la détection de données personnelles.
Le modèle classe les données sensibles en huit catégories : noms, adresses, courriels, numéros de téléphone, URL, dates, numéros de compte et secrets. La catégorie « numéros de compte » couvre par exemple les cartes bancaires et les comptes courants. La catégorie « secrets » couvre les mots de passe et les clés d’API.
Le point de contrôle publié compte 1,5 milliard de paramètres au total, dont 50 millions actifs, et une fenêtre de contexte de 128 000 tokens. Cette fenêtre est suffisante pour traiter en un seul passage un long contrat, un compte rendu médical ou un fil de courriels en plusieurs messages.
Performances et besoins matériels
OpenAI annonce un score F1 de 96 % sur le benchmark public PII-Masking-300k, soit 94,04 % de précision et 98,04 % de rappel. Sur une version corrigée du même benchmark, qui répare des problèmes d’annotation identifiés lors de l’évaluation, le score atteint 97,43 % de F1 (96,79 % de précision, 98,08 % de rappel). Tonic.ai et Security Boulevard ont publié des analyses indépendantes en notant que les données PII réelles diffèrent encore des jeux de données publics, et que l’ajustement métier reste pertinent pour les flux les plus sensibles.
Les besoins matériels sont modestes. D’après The New Stack et un guide de déploiement publié, le modèle tourne sur un GPU avec environ 3 Go de VRAM en FP16, avec une latence de 100 à 300 millisecondes pour un texte de longueur moyenne. Sur CPU uniquement, 4 à 8 Go de RAM suffisent sur une puce Intel ou AMD de 2020 ou plus récente, avec une latence de l’ordre de 1 à 2 secondes.
Pourquoi un modèle local change la donne
La plupart des services de masquage de PII existants fonctionnent à l’inverse. L’utilisateur, ou une application, envoie le texte à une API en cloud. L’API renvoie une version masquée. Le texte non masqué a déjà quitté l’appareil au moment où il est nettoyé. C’est précisément cette configuration qui produit les actualités récurrentes sur des documents indexés par erreur, des buckets cloud exposés et des incidents en pipeline.
La formulation d’OpenAI dans son annonce est claire : maintenir le filtre sur l’appareil signifie que « les données personnelles peuvent être masquées ou expurgées sans quitter votre machine ». Help Net Security citait OpenAI le 23 avril en décrivant le cas d’usage comme un flux d’« assainissement de données à haut débit » pour lequel les équipes ont besoin d’un modèle exécutable sur site.
C’est exactement le schéma défendu depuis des années par les outils de navigateur axés sur la confidentialité : traiter les données là où elles se trouvent déjà. Un modèle de masquage qui exige un aller-retour réseau vers un fournisseur ne peut pas honnêtement prétendre traiter en local. Un modèle de masquage qui s’exécute sous la forme d’un point de contrôle de 1,5 milliard de paramètres sur le CPU d’un ordinateur portable, oui.
Limites reconnues par OpenAI
La fiche modèle et l’annonce détaillent ouvertement les limites du modèle. Privacy Filter peut manquer des identifiants peu courants et des références privées ambiguës. Avec un contexte court, il peut sur-masquer ou sous-masquer. Pour les contextes juridiques, médicaux et financiers, OpenAI précise que « la revue humaine ainsi que l’évaluation et l’ajustement spécifiques au domaine restent importants ».
Le modèle est aussi limité à ses huit catégories. Des identifiants hors de cette taxonomie, par exemple des matricules d’employés propres à une seule entreprise, peuvent ne pas être détectés sans ajustement. L’analyse de Tonic.ai fait la même observation : tout détecteur de PII doit être évalué sur des données qui ressemblent à celles que l’utilisateur exploite réellement en production.
Ce que cela implique pour les outils de fichiers dans le navigateur
Cette publication valide une thèse sur laquelle VaultTools et d’autres projets axés sur la confidentialité avancent depuis des années : des garanties de confidentialité solides exigent un traitement local, pas une simple politique. Un fournisseur qui affirme « ne pas conserver vos données » peut tout de même être piraté, mal indexer des fichiers, ou être contraint de les divulguer. Un modèle qui tourne sur le CPU de l’utilisateur ne peut pas laisser fuir ce qu’il n’a jamais reçu.
Privacy Filter intervient au niveau du texte. La même logique vaut pour les opérations sur fichiers. Fusionner un PDF, retirer les données EXIF d’une photo, convertir un format d’image ou expurger des métadonnées peuvent tous se faire dans le navigateur via WebAssembly, sans que les octets du fichier ne franchissent jamais une frontière réseau. VaultTools applique ce schéma à chaque outil de son catalogue.
La publication du 22 avril ajoute une brique utile à la pile de traitement local. Combinée à des outils de fichiers exécutés sur l’appareil, elle offre à un utilisateur, ou à une équipe en entreprise, un moyen d’assainir un document de bout en bout sans rien téléverser.
Sources
- Introducing OpenAI Privacy Filter (OpenAI)
- Model Card for OpenAI Privacy Filter, 22 avril 2026 (OpenAI)
- openai/privacy-filter (Hugging Face)
- OpenAI Privacy Filter sur GitHub (GitHub)
- OpenAI launches Privacy Filter, an open source, on-device data sanitization model (VentureBeat)
- OpenAI Just Open-Sourced a Tool That Scrubs Your Secrets Before ChatGPT Ever Sees Them (Decrypt)
- OpenAI’s new Privacy Filter runs on your laptop so PII never hits the cloud (The New Stack)
- OpenAI tackles a bad habit people have when interacting with AI (Help Net Security)
- OpenAI Unveils Privacy Filter as Local-Source Solution to AI Data Leaks (Techstrong.ai)
- Benchmarking OpenAI’s Privacy Filter: What it gets right, and where PII detection still needs real data (Tonic.ai)
- OpenAI Privacy Filter FREE: Complete Guide to the Open-Source Model That Masks Personal Data Offline (Pasquale Pillitteri)