Catégories
Featured-Post-IA-FR IA

Peut-on utiliser et entraîner un modèle IA avec des données internes dans le respect de nLPD et RGPD ?

Auteur n°4 – Mariami

Par Mariami Minadze

Gestionnaire de Projet

Lectures: 7
Intelligence artificielle

Résumé – Entre exigences RGPD/LPD, localisation incertaine des datacenters et opacité algorithmique, l’exploitation de vos données IA expose à des fuites de secrets et à des sanctions. Pour sécuriser l’usage, structurez une classification fine des données et des règles de prompt, vérifiez l’hébergement et les clauses « no training », et instituez une gouvernance croisée DSI-juridique-métier pour garantir la traçabilité et le consentement.
Solution : déployez si nécessaire un modèle open source on-premise ou en Suisse, appuyé par un audit régulier et des engagements contractuels solides.

Dans un contexte où l’IA s’impose comme un levier stratégique, de nombreuses organisations envisagent d’exploiter leurs propres données internes pour entraîner des modèles intelligents.

Toutefois, il ne s’agit pas d’un simple outil : l’IA structure différemment la chaîne de traitement des informations, souvent en dehors de votre périmètre de contrôle. Entre obligations légales (RGPD en Europe, LPD en Suisse) et enjeux de confidentialité, la naïveté peut coûter cher. Cet article décrypte les points de vigilance, éclaire les principaux risques et propose une feuille de route pragmatique pour tirer parti de l’IA tout en maîtrisant ses implications juridiques et opérationnelles.

Comment l’IA bouleverse le contrôle de vos données internes

Recourir à un service d’IA externe signifie bien souvent transmettre des informations sensibles à un tiers. Vous perdez alors une partie du pilotage direct sur le stockage et l’usage de vos données.

Transmission de données à un tiers

Lorsque vous saisissez un prompt dans un copilote ou une plateforme SaaS, le texte et les éventuels fichiers associés quittent votre infrastructure. Ces contenus peuvent contenir des secrets industriels, des données clients ou des informations stratégiques sans que l’utilisateur en ait pleinement conscience. En l’absence de garanties claires sur la finalité, vous exposez votre organisation à une dissémination imprévue de ses actifs immatériels.

Le transfert à un prestataire fait intervenir plusieurs couches techniques : réseau, points de terminaison, déchiffrement, rétention. Chacune de ces étapes constitue un maillon potentiellement vulnérable, surtout si le prestataire ne communique pas sur ses pratiques ou héberge ses serveurs dans des juridictions divergentes. Votre capacité à auditer ces flux est alors limitée, et vous n’avez aucun moyen certain de contrer un usage secondaire non prévu.

Une transmission non encadrée peut aussi remettre en cause des accords de confidentialité ou des clauses contractuelles signées avec des partenaires. Sans visibilité sur la durée de conservation et les processus d’effacement, vous ne pouvez pas démontrer la conformité à vos propres engagements de sécurité.

Hébergement à l’étranger

Beaucoup de solutions d’IA grand public ou d’origine américaine ne garantissent pas le stockage des données sur le territoire suisse ou européen. Les informations peuvent transiter ou être sauvegardées aux États-Unis, en Chine ou dans d’autres régions sans que vous soyez pleinement informé. Vous vous exposez alors aux lois extraterritoriales (Cloud Act, dépendances réglementaires locales) dont l’impact peut être significatif pour une entreprise suisse.

Ce transfert international soulève des questions de souveraineté numérique. Comment conserver la maîtrise sur des données stratégiques lorsque celles-ci sont physiquement et légalement hors de la Suisse ? Les mécanismes de pseudonymisation ou de chiffrement peuvent atténuer les risques, mais ne garantissent pas une traçabilité simple de l’hébergement réel.

Si votre organisation doit répondre à des exigences sectorielles (banque, santé, défense), l’hébergement hors UE/AELE peut même être interdit. Avant d’envoyer vos données, il est donc crucial de vérifier la localisation des datacenters, les accords de transfert et les garanties contractuelles offertes par le fournisseur d’IA.

Perte de maîtrise du stockage

Avec des services d’IA externalisés, vous ne contrôlez plus le cycle de vie des données : temps de rétention, modalités de sauvegarde, plans de reprise d’activité. Le prestataire peut conserver des logs, des traces de conversations et des modèles dérivés de vos contenus, sans que vous le sachiez.

Cette opacité rend plus complexe la mise en œuvre de procédures internes comme la purge régulière des données, l’inventaire des actifs ou les audits de sécurité. Vous dépendez alors des rapports du fournisseur, qui peuvent être partiels ou optimisés pour leur intérêt commercial plutôt que pour votre besoin de conformité.

Enfin, en cas de litige ou de faille de sécurité chez le prestataire, vous êtes souvent contraint de réagir a posteriori, sans disposer d’une vue complète des données potentiellement exposées. La réponse opérationnelle devient plus longue et coûteuse, et peut impacter votre réputation.

La protection des données personnelles sous l’angle RGPD et LPD

Dès que des données nominatives transitent par un outil d’IA, vous entrez dans le champ d’application du RGPD et de la LPD. Or, le consentement et la finalité deviennent difficiles à garantir sans visibilité sur les traitements externes.

Obligations d’information et finalités

Le RGPD et la LPD imposent d’informer les personnes concernées sur les traitements réalisés, la finalité et les destinataires des données. Dans un contexte d’IA SaaS, il faut pouvoir décrire précisément pourquoi chaque donnée est envoyée et comment elle sera utilisée. Cependant, un prestataire d’IA n’est pas toujours transparent sur l’usage qu’il fait des prompts pour améliorer ses algorithmes.

Sans documentation détaillée, les directives internes (mentions dans la politique de confidentialité, contrats de sous-traitance) restent incomplètes. Les équipes juridiques se retrouvent alors à émettre des hypothèses, ce qui fragilise la fiabilité des informations fournies aux collaborateurs et aux clients.

L’absence de finalité clairement définie et limitée constitue un risque de non-conformité. En cas de contrôle, vous devez démontrer que vous maîtrisez le cycle de vie des données et que vous respectez les principes de minimisation et de limitation de la conservation.

Consentement et territorialité de traitement

Pour être valide, un consentement doit être libre, informé et spécifique. Lorsque les données sont traitées par un prestataire d’IA, dont les serveurs sont répartis dans plusieurs pays, la portée du consentement devient floue. Les personnes concernées ne savent pas à qui ni où elles lèguent leurs informations personnelles.

De plus, le consentement peut être révoqué à tout moment. Or, retirer une donnée d’un modèle IA déjà entraîné n’est pas toujours techniquement réalisable. Cette impossibilité pratique peut invalider le consentement initial et générer un risque de sanction en cas de plainte ou d’audit.

La solution passe par une cartographie précise des flux et une clause contractuelle renforcée avec le prestataire, stipulant la localisation des données, les mécanismes d’effacement et les garanties d’exclusion des traitements hors finalité.

Exemple concret : données RH et chatbot IA

Une PME suisse du secteur des services a souhaité déployer un chatbot interne pour répondre aux questions des employés sur la paie et les congés. Elle a alimenté l’outil avec des extraits de fiches de paie, des adresses email et des informations de présence. Sans audit préalable, ces données ont été envoyées à un service IA dont les serveurs étaient localisés hors UE.

Cela a entraîné un flou juridique : les collaborateurs n’avaient pas été informés de l’usage de leurs données par un tiers étranger, et le consentement n’était pas adapté à un traitement d’IA. La DSI a dû suspendre le projet, engager un audit de conformité et réécrire la politique interne de protection des données RH.

Ce cas montre l’importance de cadrer la finalité avant tout déploiement, de tenir compte de la localisation des serveurs et d’obtenir un consentement explicite et adapté à l’usage de l’IA pour des données personnelles.

Edana : partenaire digital stratégique en Suisse

Nous accompagnons les entreprises et les organisations dans leur transformation digitale

Parlons de vous

L’opacité des modèles IA et ses conséquences pour la conformité

Les modèles d’intelligence artificielle fonctionnent comme des boîtes noires : leurs traitements internes et leurs processus d’entraînement sont rarement documentés avec précision. Cette opacité complique la traçabilité et l’explicabilité requises par la réglementation.

Boîte noire algorithmique

Les LLM reposent sur des réseaux de neurones profonds, dont la logique interne est difficile à interpréter. Vous ne pouvez pas expliquer à un utilisateur ou à un régulateur pourquoi un modèle a fourni une réponse donnée, ni quelles parties de ses données internes ont influencé ce résultat.

Cette absence d’explicabilité va à l’encontre du principe de transparence du RGPD, qui exige la possibilité de fournir des « informations significatives » sur les logiques sous-jacentes. Vous vous exposez ainsi à des réclamations pour non-respect des droits d’information.

Sans visibilité sur les étapes d’entraînement, il est également impossible de garantir qu’aucun biais ne s’est introduit de manière involontaire à partir de vos données. Ce manque de contrôle renforce le risque opérationnel et juridique.

Risques de réutilisation des données

Certains prestataires d’IA intègrent les textes et documents qu’ils reçoivent pour améliorer les performances de leurs modèles. Une information sensible fournie aujourd’hui peut réapparaître demain, reformulée dans la sortie d’un autre utilisateur. Votre organisation ne maîtrise plus la diffusion potentielle de ses données.

Cette réutilisation « collatérale » peut poser problème si vous avez travaillé sur une stratégie de pricing, un design exclusif ou un plan de développement produit. Une fuite indirecte ou une génération de contenu dérivé peut s’apparenter à une violation de secret d’affaires.

Il est donc essentiel de vérifier les conditions contractuelles de non-rétention ou de « no training mode » avant tout usage intensif de prompts contenant des données sensibles.

Exemple concret : administration publique et fuite involontaire

Un service d’une administration cantonale a utilisé un outil public de génération de textes pour rédiger des réponses aux usagers. Les modèles ont parfois restitué par inadvertance des extraits de projets internes qu’ils avaient analysés lors de l’entraînement. Ces réponses, diffusées sur un forum public, ont révélé des informations stratégiques sur l’évolution réglementaire.

Cette situation a mis en évidence l’impossibilité d’empêcher la réutilisation des données au niveau des prestataires. L’administration a dû suspendre l’usage de l’outil et lancer une évaluation des risques avec ses services juridiques et informatiques.

Ce cas illustre la nécessité de privilégier des architectures sur-mesure ou hébergées en interne lorsqu’il s’agit de données sensibles, afin d’assurer un contrôle plus strict et une traçabilité complète des flux.

Mettre en place une stratégie maîtrisée et conforme

Pour limiter les risques, adoptez une démarche structurée alliant gouvernance, classification des données et choix technologiques. L’implication conjointe des équipes juridiques, IT et métiers est indispensable.

Classifier et cadrer vos données

La première étape consiste à identifier clairement les catégories de données manipulées : publiques, internes, confidentielles ou sensibles. Cette classification oriente les traitements autorisés et les niveaux de protection requis. Sans cette cartographie, les bonnes pratiques restent théoriques et les collaborateurs risquent d’envoyer n’importe quelle information vers l’IA.

Un simple tableau de bord interne, mis à jour régulièrement, permet de visualiser le périmètre de données autorisées dans les outils externes. Il sert également de référentiel pour les contrôles périodiques et les audits de conformité.

Cette démarche, loin d’être uniquement documentaire, devient un outil opérationnel pour la DSI et les responsables métiers. Elle structure les échanges autour des niveaux de sensibilité et clarifie les interdits avant tout lancement de projet IA.

Définir des règles d’usage claires

Des règles d’usage partagées doivent cadrer explicitement ce qui peut être saisi dans un prompt ou téléchargé en attachment : pas de données clients, aucune information sur la paie, interdiction des secrets contractuels. Ces directives doivent figurer dans une charte interne et être validées par la direction.

La mise en place d’un guide rapide, distribué aux équipes, favorise l’appropriation et limite les oublis. En parallèle, un processus de formation courte – sous forme d’ateliers ou d’e-learning – sensibilise aux bonnes pratiques et aux risques concrets.

Sans cadre formalisé, chaque collaborateur agit selon son bon vouloir, souvent sans mauvaise intention. Un accident de confidentialité peut alors survenir malgré une politique de sécurité par ailleurs solide.

Choisir des outils et architectures sécurisées

Avant de valider un prestataire, interrogez-le sur le traitement de vos données : sont-elles utilisées pour l’entraînement ? Où sont stockées ? Propose-t-on un mode « no training » ? Quelles garanties contractuelles (SLA, audit tiers) sont proposées ? Ces questions doivent figurer dans votre appel d’offres ou dans les clauses de vos contrats de sous-traitance.

Si les réponses sont floues ou incomplètes, envisagez des alternatives : modèles open source déployés on-premise, plateformes IA privées hébergées en Suisse, ou solutions spécialisées dans votre secteur. Ces approches limitent drastiquement les flux sortants et garantissent une traçabilité totale.

L’utilisation de briques modulaires et open source s’inscrit dans la logique Edana : open, évolutif et sécurisé. Vous évitez ainsi le vendor lock-in et conservez la maîtrise de votre stack IA sur le long terme.

Impliquer les parties prenantes

L’IA n’est pas un sujet purement technique. Les équipes juridiques, informatiques et métiers doivent collaborer étroitement pour évaluer les risques et valider les usages. La gouvernance doit inclure des comités transverses réunissant DSI, conformité et responsables de domaine.

Ces instances se réunissent régulièrement pour réviser les règles d’usage, mettre à jour la classification des données et valider les nouveaux cas d’usage. Elles peuvent aussi décider de la mise en place d’audits ponctuels ou d’ateliers de sensibilisation.

Cette approche collaborative crée une culture du risque partagée et réduit considérablement les incidents de confidentialité liés à l’IA.

Alliez IA performante et protection des données

Exploiter l’IA avec sérénité implique de comprendre que chaque donnée transmise sort de votre zone de contrôle. Les enjeux de RGPD/LPD, l’opacité des modèles et les risques de fuite de secrets d’affaires exigent une stratégie structurée. Classifier vos données, formaliser des règles d’usage, choisir des architectures sécurisées et impliquer les bonnes parties prenantes sont les clés d’une utilisation responsable.

Les experts Edana accompagnent les organisations dans l’audit des usages IA, le cadrage conformité, la mise en place d’architectures sécurisées et le développement de solutions sur mesure. Notre approche contextuelle, basée sur l’open source et l’évolutivité, garantit un équilibre optimal entre performance, coût et confidentialité.

Parler de vos enjeux avec un expert Edana

Par Mariami

Gestionnaire de Projet

PUBLIÉ PAR

Mariami Minadze

Mariami est experte en stratégie digitale et en gestion de projet. Elle audite les écosystèmes digitaux d'entreprises et d'organisations de toutes tailles et de tous secteurs et orchestre des stratégies et des plans générateurs de valeur pour nos clients. Mettre en lumière et piloter les solutions adaptées à vos objectifs pour des résultats mesurables et un retour sur investissement maximal est sa spécialité.

FAQ

Questions fréquemment posées sur l'utilisation de l'IA avec données internes

Quelles sont les obligations RGPD et LPD pour l’entraînement d’un modèle IA avec des données internes?

En Europe et en Suisse, l’entraînement d’un modèle IA sur données internes entre dans le champ du RGPD et de la LPD. Vous devez informer les personnes concernées, préciser la finalité exacte du traitement, obtenir un consentement explicite ou vous appuyer sur une base légale (intérêt légitime), et formaliser un contrat de sous-traitance précisant les garanties de sécurité. La documentation interne (registre des traitements) doit détailler le cycle de vie des données et les mesures de minimisation appliquées.

Comment garantir la localisation et la souveraineté numérique des données IA?

Pour assurer la conformité RGPD/LPD, vérifiez la localisation des centres de données du prestataire et préférez des hébergeurs en Suisse ou dans l’UE/AELE. Insérez des clauses contractuelles définissant explicitement les zones de stockage et les procédures d’effacement. Recourez à des mécanismes de chiffrement ou pseudonymisation qui limitent la divulgation hors périmètre autorisé. Enfin, mettez en place des audits réguliers et demandez des preuves tierces de conformité.

Quels critères retenir pour sélectionner un prestataire IA conforme aux exigences légales?

Choisissez un prestataire offrant un mode « no training » pour vos données, un engagement de non-rétention, et des garanties de type SLA incluant des audits tiers et une réversibilité des données. Privilégiez les solutions open source déployables on-premise ou sur un cloud privé local. Vérifiez la transparence sur les processus d’entraînement et la disponibilité de rapports de conformité RGPD/LPD.

Comment classifier et sécuriser les données internes avant un projet IA?

Commencez par cartographier vos données selon leur niveau de sensibilité : publiques, internes, confidentielles ou sensibles. Élaborez un référentiel accessible (tableau de bord) indiquant quelles catégories peuvent être utilisées dans les outils IA externes. Définissez des règles claires (charte, guide rapide) sur les saisies autorisées et formez vos équipes aux bonnes pratiques. Cette classification devient la base de vos contrôles et audits de conformité.

Est-il pertinent d’utiliser un modèle open source en interne pour limiter les risques?

Déployer un modèle open source on-premise ou dans un cloud privé suisse permet de garder le contrôle total sur l’entraînement, le stockage et la suppression des données. Vous réduisez les flux sortants et évitez la dépendance à un prestataire (vendor lock-in). Cette approche modulaire s’inscrit dans la logique Edana : personnalisable, évolutive et alignée avec les exigences RGPD/LPD.

Quels processus de gouvernance mettre en place pour tout projet IA?

Installez un comité transverse réunissant DSI, juristes et responsables métiers pour valider chaque usage IA. Documentez les étapes-clés : classification des données, analyse d’impact, sélection du prestataire, et audits post-déploiement. Planifiez des revues régulières pour ajuster la charte interne et les procédures d’effacement. Cette gouvernance garantit une maîtrise opérationnelle et juridique tout au long du cycle de vie du projet.

Comment gérer le consentement des collaborateurs et clients dans un contexte IA?

Le consentement doit être libre, spécifique et informé. Expliquez clairement l’usage de chaque donnée dans l’IA, la localisation des serveurs, et les droits de retrait. Documentez la révocation possible, même si l’effacement d’une donnée d’un modèle déjà entraîné peut être complexe. La cartographie des flux et des finalités est essentielle pour démontrer la validité du consentement lors d’un audit.

Quelles sont les conséquences de la réutilisation non autorisée des données par l’IA?

Sans clause claire « no training » ou non-rétention, le prestataire peut intégrer vos contenus pour améliorer ses modèles. Des informations stratégiques ou des secrets d’affaires risquent d’apparaître dans d’autres contextes et de fuir hors de votre périmètre. Exigez des garanties contractuelles et techniques, comme la pseudonymisation, pour limiter ces réutilisations collatérales et protéger votre propriété intellectuelle.

CAS CLIENTS RÉCENTS

Nous concevons des solutions IA bien pensées et sécurisées pour un avantage durable

Nos experts aident les entreprises suisses à intégrer l’IA de façon pragmatique et orientée résultats. De l’automatisation à la création de modèles prédictifs et génératifs, nous développons des solutions sur mesure pour améliorer la performance et ouvrir de nouvelles opportunités.

Voir plus de cas clients
Parlons de vous
Transcription de voix en texte sur le terrain
Filinea
Matching intelligent entre utilisateurs
RidingUp
La data au service du marketing
Centres Manor
Voir plus de cas clients
Parlons de vous

Contenu similaire

Intégrité des données : types, menaces et contre-mesures en développement logiciel
Risques de la transformation numérique : les identifier et les maîtriser pour sécuriser vos initiatives
Traçabilité et auditabilité : sécuriser les accès sensibles de votre système d’information et de vos logiciels
Comment mettre son site web et son entreprise en conformité avec nLPD & RGPD en Suisse ?
Dépendance à un prestataire IT : comment préserver la maîtrise de vos outils sans fragiliser la relation
Éviter la dépendance stratégique à l’IA : comment sécuriser votre autonomie technologique
Shadow AI : le risque invisible qui menace vos données, votre conformité et votre stratégie IA
Comment assurer la Sécurité des Données avec votre Logiciel d’Entreprise?
IA et banque digitale : comment concilier innovation, conformité et protection des données
Créer un logiciel de gestion d’adhérents pour association
CONTACTEZ-NOUS

Ils nous font confiance

Parlons de vous

Décrivez-nous votre projet et l’un de nos experts vous re-contactera.

Edana
Eaux-Vives, Genève

ABONNEZ-VOUS

Ne manquez pas les
conseils de nos stratèges

Recevez nos insights, les dernières stratégies digitales et les best practices en matière de transformation digitale, innovation, technologie et cybersécurité.

Transformons vos défis en opportunités

Basée à Genève, l’agence Edana conçoit des solutions digitales sur-mesure pour entreprises et organisations en quête de compétitivité.

Nous combinons stratégie, conseil et excellence technologique pour transformer vos processus métier, votre expérience client et vos performances.

Discutons de vos enjeux stratégiques.

022 596 73 70

À PROPOS DE NOUS
Agence Digitale Edana sur LinkedInAgence Digitale Edana sur InstagramAgence Digitale Edana sur Facebook