Ce qu'il faut retenir▾
- Chrome installe en arrière-plan et sans notification un modèle IA de 4 Go (Gemini Nano, fichier weights.bin) sur les machines qui disposent d'au moins 16 Go de RAM et 22 Go d'espace disque libre ; le supprimer ne suffit pas, Chrome le retélécharge au redémarrage suivant.
- Depuis Chrome 148, la Prompt API est activée par défaut : n'importe quel site web peut appeler directement ce modèle local via LanguageModel.availability() et LanguageModel.create(), aux côtés des API Summarizer, Writer, Rewriter et Translator.
- Le procédé est contesté juridiquement (absence de consentement au regard de l'article 5(3) de la directive ePrivacy et du RGPD, amende potentielle jusqu'à 4 % du chiffre d'affaires mondial de Google) : les développeurs qui exploitent la Prompt API doivent documenter ce traitement dans leur propre politique de confidentialité.
Résumé généré par IA
Un fichier de 4 Go nommé weights.bin s'installe depuis plusieurs mois dans le dossier de profil de millions d'utilisateurs Chrome, sans notification ni fenêtre de consentement. Ce fichier, c'est Gemini Nano, le modèle d'intelligence artificielle embarqué de Google. Sa présence a été révélée par le chercheur suédois en vie privée Alexander Hanff, à partir d'une analyse des journaux système sur macOS, un phénomène confirmé depuis sur Windows et Linux.
Pour un développeur web, l'histoire ne s'arrête pas au débat sur le stockage disque. Chrome expose de vraies API pour appeler ce modèle local depuis vos propres pages et extensions. Reste à savoir ce que ça change concrètement, à quoi ça sert vraiment, et quels pièges éviter avant de vous en servir en production.
Ce qui s'est passé : un modèle IA installé sans consentement
Dans le dossier de données utilisateur de Chrome se trouve un répertoire nommé OptGuideOnDeviceModel (pour « Optimization Guide On-Device Model »), un nom volontairement discret qui ne dit rien à l'utilisateur lambda. À l'intérieur : weights.bin, les poids du modèle Gemini Nano.
Chrome vérifie en arrière-plan les caractéristiques de votre machine : niveau du GPU, nombre de cœurs CPU, mémoire vive (16 Go minimum) et espace disque libre (22 Go minimum). Si votre configuration passe ces critères, le téléchargement démarre sans notification. Lors des tests de Hanff sur un profil Chrome vierge, l'opération a pris 14 minutes.
Autre point notable : supprimer le fichier ne suffit pas à s'en débarrasser. Chrome interprète la suppression comme une « erreur temporaire » et retélécharge le modèle au redémarrage suivant. Certains utilisateurs ont vu leur dossier grossir jusqu'à plus de 12 Go, d'anciennes versions du modèle n'étant jamais nettoyées. Snopes, qui a vérifié les postes de six de ses salariés, a retrouvé le fichier sur trois d'entre eux, entre macOS et Windows.
Google qualifie ce modèle de « fonctionnalité légère proposée depuis 2024 » et indique avoir déployé, à partir de février 2026, un interrupteur « IA sur l'appareil » dans Réglages puis Système. Un certain nombre d'utilisateurs, Hanff compris, ne l'ont toujours pas reçu : il leur faut désactiver le drapeau correspondant via chrome://flags ou modifier le registre.
Le paradoxe : une IA vie privée installée sans respecter la vie privée
Gemini Nano fait tourner localement plusieurs fonctionnalités : aide à la rédaction (Help Me Write), détection de phishing, suggestions d'onglets, résumé de page, collage intelligent. La détection d'arnaques, intégrée au mode Protection renforcée en mai 2025, s'appuie justement sur le traitement local pour repérer en temps réel des sites de phishing qui parfois ne survivent pas plus de 10 minutes, trop rapide pour une base de données distante.
L'argument tient sur le fond : traiter localement évite d'envoyer des données aux serveurs de Google. Mais l'installation elle-même s'est faite sans consentement. Or l'article 5(3) de la directive européenne ePrivacy impose un consentement « libre, spécifique, informé et non ambigu » avant tout stockage d'information sur l'appareil d'un utilisateur : c'est cette clause qui justifie l'existence des bandeaux cookies. Hanff estime que Google viole à la fois cette directive et les principes de transparence du RGPD. Si les régulateurs européens lui donnent raison, Google s'expose à une amende pouvant atteindre 4 % de son chiffre d'affaires mondial. La jurisprudence va dans ce sens : en mars 2025, un tribunal allemand a jugé que l'installation de Google Tag Manager nécessitait elle aussi un consentement préalable.
Dernier détail révélateur : le bouton « AI Mode » bien visible dans la barre d'adresse de Chrome 147 n'utilise pas ce modèle local. Chaque requête tapée dans AI Mode part vers les serveurs cloud de Google. Le modèle installé en silence, lui, alimente des fonctions discrètes nichées dans les menus contextuels, que la plupart des utilisateurs ignorent. Chrome a par ailleurs discrètement retiré une mention de sa politique de confidentialité qui affirmait que les données liées à l'IA sur l'appareil n'étaient « pas envoyées aux serveurs de Google ».
Pour les développeurs : quelles API, et comment s'en servir
C'est ici que le sujet devient concret pour vous. Depuis Chrome 148, la Prompt API est activée par défaut : elle permet à n'importe quel site web d'appeler directement le Gemini Nano installé sur la machine du visiteur. Chrome documente également une famille d'API dites « Built-in AI » construites sur ce même modèle : résumé de texte (Summarizer), reformulation (Rewriter), rédaction assistée (Writer), traduction et détection de langue.
Pour tester la disponibilité du modèle avant de l'utiliser :
if ('LanguageModel' in self) {
const availability = await LanguageModel.availability();
if (availability !== 'unavailable') {
const session = await LanguageModel.create();
const reponse = await session.prompt('Resume ce texte en une phrase.');
}
}L'intérêt pour vous : un résumé ou une reformulation qui s'exécute directement dans le navigateur du visiteur, sans appel réseau vers une API cloud payante, sans latence de round-trip, et sans que le contenu ne transite par un tiers, si votre propre code ne l'envoie nulle part.
Mais les pièges sont réels. Les critères matériels évoqués plus haut (16 Go de RAM, 22 Go d'espace libre) signifient que le modèle n'est tout simplement pas disponible sur une bonne partie du parc informatique, en particulier les machines d'entrée de gamme très répandues en France dans les TPE et associations. Votre code doit systématiquement prévoir un repli vers une API cloud (la vôtre, ou celle d'un fournisseur) quand LanguageModel.availability() renvoie « unavailable » ou « downloadable » (téléchargement à prévoir, potentiellement long). Le coût de stockage et de bande passante retombe sur l'utilisateur final, pas sur vous : un argument à connaître si un client demande pourquoi une fonctionnalité IA « gratuite » côté serveur peut malgré tout ralentir la première visite d'un site.
Notre lecture chez CZSyn
Sur le fond, l'IA embarquée dans le navigateur est une bonne direction : moins de dépendance au cloud, moins de coûts d'inférence pour vous en tant qu'éditeur, traitement au plus près de la donnée. C'est exactement le genre d'architecture que nous recommandons quand un client veut ajouter une fonctionnalité IA sans faire exploser sa facture d'API.
Ce qui nous interpelle, c'est la manière dont Google a déployé la brique de base. Si vous êtes une agence ou un développeur français et que vous intégrez la Prompt API dans un projet client, gardez en tête que depuis que Google a retiré sa garantie de confidentialité, les données traitées localement peuvent être régies par la politique de confidentialité de votre propre site, pas celle de Google. Concrètement : si vos CGU ou votre politique de confidentialité ne mentionnent pas ce traitement IA local, vous prenez le même type de risque juridique que celui reproché à Google, à une échelle plus petite mais bien réelle au regard du RGPD. Documentez la fonctionnalité, informez l'utilisateur, et testez systématiquement la disponibilité avant de vous reposer dessus en production : la même discipline que pour n'importe quelle dépendance externe, sauf que celle-ci vit sur le disque dur de votre visiteur.
Vous voulez intégrer l'IA embarquée du navigateur sans risque juridique ?
CZSyn audite vos projets web pour sécuriser l'usage des API IA côté navigateur (Prompt API, RGPD, stratégie de repli cloud). Audit gratuit sous 24h.
29 AVIS 5/5 · +200 PROJETS LIVRÉS · RÉPONSE EXPRESS
Sources primaires
- OZ Talking, « Google Chrome Secretly Installed a 4GB AI Model on Your PC ».
- Chrome for Developers, documentation officielle, « Built-in AI APIs ».
- Chrome for Developers, documentation officielle, « Prompt API ».
