PSA: Anyone with a link can view your Granola notes by default

Alerte : Tout le monde avec un lien peut voir vos notes Granola par défaut

Si vous utilisez l'application de prise de notes alimentée par l'IA Granola, il est conseillé de vérifier vos paramètres de confidentialité. Bien que Granola affirme que vos notes sont « privées par défaut », elles sont en réalité accessibles à toute personne disposant d'un lien, et l'application les utilise également pour l'entraînement interne de l'IA, sauf si vous choisissez de vous désinscrire.

Granola se décrit comme un « bloc-notes IA pour les personnes en réunions successives ». Il s'intègre à votre calendrier pour capturer l'audio de vos réunions, puis utilise l'IA pour générer une liste à puces de ce que vous avez entendu, que l'application appelle une « note ». Vous pouvez modifier les notes générées par l'IA, inviter d'autres collaborateurs à les consulter et utiliser l'assistant IA de Granola pour poser des questions sur vos notes et consulter le compte rendu de la réunion dont elles sont issues.

Cependant, dans le menu des paramètres de l'application, Granola indique : « Par défaut, vos notes sont visibles par quiconque possède le lien. » Cela signifie que toute personne sur le web peut voir vos notes si vous partagez accidentellement un lien, ce qui pourrait poser un problème majeur si vous enregistrez des réunions sensibles. Après avoir testé cela moi-même, j'ai découvert que je pouvais accéder à ma propre note depuis une fenêtre privée de mon navigateur, sans avoir à me connecter à mon compte Granola. Le site indique même à qui appartient la note et quand elle a été créée.

Vous pouvez rendre les liens vers vos notes privés ou permettre uniquement aux membres de votre entreprise de les consulter.

Bien que je n'aie pas pu voir la totalité du compte rendu lié à la note, j'ai pu consulter certaines parties. En sélectionnant l'un des points générés par Granola, un extrait du compte rendu auquel la note fait référence apparaît, accompagné d'un résumé généré par l'IA avec un contexte supplémentaire sur la conversation.

Sur son site web, Granola précise que « l'accès complet au compte rendu est disponible pour les collaborateurs qui ouvrent le même dossier ou la même note dans l'application de bureau Granola. » Il n'est pas clair si quiconque ayant un compte Granola peut accéder à votre compte rendu, ou si cela se limite uniquement aux personnes avec qui vous avez partagé votre espace de travail. Granola n'a pas répondu à une demande d'informations supplémentaires avant la publication de cet article.

Vous pouvez changer qui peut voir vos liens en ouvrant Granola, en sélectionnant votre profil dans le coin inférieur gauche de l'écran, puis en choisissant « Paramètres ». À partir de là, naviguez jusqu'à l'option « Partage de lien par défaut » et changez « Quiconque possède le lien » en « Seulement ma société » ou « Privé ». Si vous supprimez votre note, les personnes disposant du lien ne pourront plus y accéder.

Un utilisateur sur LinkedIn a attiré l'attention sur le paramètre de notes publiques l'année dernière, en disant : « ces liens ne sont pas indexés, mais si vous en partagez ou en divulguez un – même accidentellement – il est public pour quiconque le trouve. » Et au moins une grande entreprise a refusé d'utiliser l'outil pour un cadre supérieur en raison de préoccupations de sécurité, selon une source.

De plus, Granola « peut utiliser des données anonymisées » pour améliorer ses modèles d'IA, selon la page d'assistance de l'application. Les clients d'entreprise sont désinscrits de l'entraînement de l'IA par défaut, mais les utilisateurs des autres plans ne le sont pas. Vous pouvez désactiver l'entraînement de l'IA en accédant au menu des paramètres et en désactivant l'option « Utiliser mes données pour améliorer les modèles pour tout le monde ». La société affirme qu'elle ne permet pas aux entreprises tierces, comme OpenAI ou Anthropic, d'utiliser vos données pour l'entraînement de l'IA si ce paramètre est activé.

La page de sécurité de Granola indique que la société stocke vos notes dans un cloud privé hébergé par Amazon Web Services aux États-Unis, et précise qu'elles sont « cryptées au repos et en transit ». La société ne conserve pas non plus l'audio des réunions. Elle ne sauvegarde que les notes et les transcriptions des réunions, toutes deux traitées dans le cloud.