OSFRIA Découvrir les outils

Réflexion · Souveraineté

IA souveraine : ce qui nous interpelle

On le dit d'emblée : nous ne sommes pas juristes, ni experts en cybersécurité. Mais en explorant l'IA locale, des questions sont remontées d'elles-mêmes. Où vont nos données ? Qui peut y accéder ? Que dit la loi ? Voici, en toute humilité, ce qui nous interpelle et les pistes qu'on a trouvées. À chacun de creuser ensuite auprès de sources fiables.

Cette page est informative et ne constitue pas un conseil juridique. Pour toute situation concrète, rapprochez-vous d'un professionnel du droit ou des sources officielles citées. Nous partageons ce qui nous interpelle, pas ce qui vous oblige.

De quoi parle-t-on quand on dit « souveraineté » ?

La souveraineté numérique, c'est l'idée de garder la maîtrise de ses données, de ses outils et de ses infrastructures, plutôt que de dépendre entièrement d'acteurs sur lesquels on n'a pas de prise.

Appliquée à l'IA, cette idée soulève des questions simples mais importantes :

  • Quand j'utilise une IA en ligne, où sont traitées mes données ? Dans quel pays ?
  • Mes échanges peuvent-ils servir à entraîner d'autres modèles ?
  • Qui, en dehors de moi, pourrait y accéder ?

Ce ne sont pas des questions pour faire peur. Ce sont juste des questions de bon sens, qu'on gagne à se poser une fois, calmement.

Des situations concrètes où la question se pose

Voici quelques cas de figure concrets que nous avons rencontrés ou qui nous ont été remontés. Ils ne sont pas alarmants en eux-mêmes, mais ils illustrent pourquoi la question mérite d'être posée consciemment.

  • Un dirigeant de TPE colle le bilan de son entreprise dans ChatGPT pour qu'une IA l'aide à rédiger un résumé destiné à son banquier. Les données financières partent sur des serveurs américains. Est-ce un problème ? Ça dépend du contexte, de la sensibilité des chiffres, et de la politique du service utilisé.
  • Un cabinet RH utilise une IA cloud pour rédiger des fiches de poste en collant des informations sur des candidats. Dès qu'il y a des noms, des parcours, des coordonnées, le RGPD entre potentiellement en jeu.
  • Un indépendant travaille sur un appel d'offres confidentiel et demande à une IA de l'aider à rédiger sa réponse. Les éléments de sa proposition — y compris ce qui est stratégiquement sensible — transitent par un serveur distant.

Dans ces cas, l'IA locale offre une alternative simple : le calcul se fait sur votre machine, vos données ne partent nulle part lors de la conversation.

Ce qui nous interpelle sur les données

Beaucoup d'outils d'IA grand public sont hébergés hors d'Europe. Cela ne veut pas dire qu'ils sont « mauvais » : nombre d'entre eux sont excellents et utilisés dans le monde entier. Mais cela peut soulever des points d'attention.

  • La localisation des données. Selon le service, vos informations peuvent transiter ou être stockées dans des pays aux règles différentes des nôtres.
  • L'usage des conversations. Certains services réutilisent (ou ont réutilisé) les échanges pour améliorer leurs modèles. Les politiques varient d'un acteur à l'autre et changent dans le temps : il faut lire les conditions d'utilisation, et les revérifier régulièrement.
  • L'accès par des tiers. C'est là qu'entrent en jeu des cadres juridiques comme le Cloud Act, dont on parle plus bas.

C'est précisément l'une des raisons qui rendent l'IA locale séduisante : quand le modèle tourne sur votre machine, vos échanges ne partent nulle part.

Trois cadres qu'on a voulu comprendre

Le RGPD

Le Règlement général sur la protection des données encadre, dans l'Union européenne, la façon dont les données personnelles sont collectées et traitées. C'est un texte de référence quand on parle de vie privée.

Nous ne dirons jamais qu'un outil est « conforme RGPD » — ce serait une affirmation que nous ne pouvons pas vérifier, et qui dépend de chaque usage concret. En revanche, le RGPD est une bonne grille de lecture pour se poser les bonnes questions : est-ce que j'envoie des données personnelles ? Où sont-elles traitées ? Les personnes concernées ont-elles été informées ? La CNIL publie des ressources accessibles, notamment une rubrique dédiée à l'IA.

L'AI Act

Le règlement européen sur l'intelligence artificielle (AI Act) est entré dans le paysage récemment. Il vise à encadrer les usages de l'IA selon leur niveau de risque. Pour le grand public, on retiendra notamment une exigence de transparence : on doit savoir quand on interagit avec une IA — ce que l'article 50 du règlement rend obligatoire pour certains systèmes. C'est un sujet vivant, dont la mise en œuvre se précise progressivement. Les textes officiels sont disponibles sur le site de la Commission européenne.

Le Cloud Act

Le Cloud Act est une loi américaine de 2018 qui peut, sous certaines conditions légales, donner aux autorités des États-Unis un accès à des données détenues par des entreprises soumises au droit américain — y compris quand ces données sont physiquement stockées en Europe. C'est l'un des points qui revient le plus souvent dans les discussions sur la souveraineté. Ce n'est pas une raison de panique, mais c'est une donnée à intégrer quand on évalue les risques liés à un service cloud américain pour des données sensibles. Pour une analyse juridique précise, mieux vaut consulter des sources spécialisées récentes — ce sujet évolue.

Des pistes concrètes, sans dogmatisme

Faut-il tout faire tourner en local et bannir le cloud ? Non, ce serait caricatural. Voici plutôt quelques pistes que nous trouvons raisonnables.

  • Trier ses usages. Pour un brouillon de poème ou une aide à la rédaction sans contenu sensible, le cloud est parfaitement adapté. Pour des données clients, des documents internes, des informations médicales ou juridiques, l'IA locale ou une infrastructure de confiance mérite réflexion.
  • Lire (au moins une fois) les conditions d'utilisation du service qu'on emploie, notamment la section sur la réutilisation des données d'entraînement. Beaucoup de services proposent une option pour désactiver cette réutilisation — elle n'est pas toujours activée par défaut.
  • Tester l'IA locale pour les sujets délicats : c'est gratuit, et vos échanges restent chez vous. Ollama avec un modèle comme Mistral ou Llama 3.2 est un bon point de départ.
  • Pour les besoins plus lourds, regarder du côté d'infrastructures françaises et européennes de confiance : certains hébergeurs proposent des services d'IA avec des engagements contractuels sur la localisation des données. Ce n'est pas la même chose que l'IA locale, mais c'est une alternative sérieuse au tout-cloud américain.

Aucune de ces pistes n'est une garantie. Ce sont des réflexes de prudence, pas des certitudes.

Ce qu'on retient

La souveraineté de l'IA n'est pas un combat anxiogène, c'est une question d'équilibre et de lucidité. On n'a pas à diaboliser les outils en ligne, ni à se sentir coupable de les utiliser. On gagne juste à savoir ce qu'on fait, et à garder des alternatives sous le coude.

Il y a quelque chose d'encourageant, aussi, dans le fait que des acteurs français et européens existent et progressent : Mistral AI (Paris) produit des modèles open source de qualité ; des hébergeurs comme OVHcloud ou Scaleway proposent des infrastructures de calcul sur sol français. Ce ne sont pas des certitudes — c'est un écosystème à suivre, à évaluer, au cas par cas.

C'est tout l'esprit du projet OSFRIA : partager ce qui nous interpelle, sans alarmisme, et donner les moyens de choisir.

Ces sujets vous intéressent et vous aimeriez les approfondir pour votre organisation ? Dans l'écosystème toulousain de Sébastien Vidotto, LIGNEIA propose de se former à l'IA et IIAT d'être accompagné sur ces questions. Aucune obligation : ici, on partage d'abord.

FAQ — questions fréquentes sur la souveraineté

Une IA locale, c'est forcément plus sécurisé ?

Pas « forcément », mais c'est un avantage concret : lors de l'inférence (la conversation), vos données ne quittent pas votre machine. Ce qui change, c'est la frontière du risque — elle se déplace de « le cloud peut y accéder » à « ma machine doit être sécurisée ». Si votre ordinateur est compromis ou accessible à d'autres, une IA locale ne protège pas vos données pour autant. La prudence reste de mise dans tous les cas.

Est-ce que Mistral, c'est « souverain » ?

Mistral AI est une entreprise française, ce qui est notable. Ses modèles sont publiés en open source (Mistral 7B, Mixtral, etc.) et peuvent être téléchargés et faire tourner en local — c'est un vrai avantage. L'API en ligne de Mistral (la Plateforme Mistral) héberge les données sur infrastructure européenne. Cela dit, nous ne faisons pas de déclaration de conformité : évaluez les conditions du service en fonction de vos besoins. Les informations officielles sont sur mistral.ai.

Que dit concrètement la CNIL sur l'IA ?

La CNIL s'est saisie activement du sujet. Elle a publié des recommandations sur les systèmes d'IA, les données d'entraînement, les droits des personnes concernées et les obligations des responsables de traitement. Elle a notamment rappelé l'importance des analyses d'impact (AIPD) pour les traitements à risque élevé, et a attiré l'attention sur les cas où des données personnelles sont incluses dans les prompts envoyés à des services d'IA. Tout est disponible directement sur cnil.fr/intelligence-artificielle.

Comment savoir si un service cloud utilise mes conversations pour s'entraîner ?

C'est dans les conditions d'utilisation, section « utilisation des données » ou « amélioration du service ». La plupart des grands services permettent de désactiver l'utilisation des conversations pour l'entraînement, souvent dans les paramètres du compte (cherchez « data controls » ou « historique et entraînement »). Cette option n'est pas toujours activée par défaut — il faut aller la chercher. Quand c'est flou dans les conditions, considérez que vos données peuvent être utilisées.

Continuer la lecture