L'intelligence artificielle transforme les entreprises, mais elle pose une question fondamentale que trop de décideurs ignorent encore : que deviennent vos données ? Quand un collaborateur colle un contrat client dans ChatGPT pour en extraire les clauses clés, quand un commercial uploade une base prospects dans un outil d'enrichissement IA, quand une équipe RH utilise un assistant pour trier des CV -- dans chaque cas, des données potentiellement sensibles quittent le périmètre de l'entreprise.
Ce n'est pas un risque théorique. En 2025, plusieurs entreprises françaises ont fait l'objet de signalements auprès de la CNIL pour utilisation non encadrée d'outils d'IA générative. Cet article fait le point sur les risques concrets, les obligations légales, les solutions d'hébergement souverain et les bonnes pratiques à adopter avant tout déploiement.
Les risques liés aux données
Le premier risque est la fuite de données vers des fournisseurs tiers. Lorsque vous utilisez un service d'IA cloud grand public (ChatGPT, Gemini, ou tout autre assistant en ligne), les données que vous saisissez sont transmises aux serveurs du fournisseur. Selon les conditions d'utilisation, ces données peuvent être utilisées pour entraîner les modèles futurs, stockées pendant une durée indéterminée, ou accessibles aux équipes du fournisseur pour des audits de qualité. Le simple fait de coller un extrait de contrat dans un prompt constitue un transfert de données hors de votre contrôle.
Le deuxième risque est l'utilisation de données d'entraînement. Les modèles d'IA sont entraînés sur d'énormes volumes de texte. Si vos documents internes finissent dans un jeu d'entraînement, ils peuvent potentiellement être restitués, même partiellement, à d'autres utilisateurs du service. Ce phénomène, appelé mémorisation, est documenté dans la recherche académique et a déjà provoqué des incidents réels chez des entreprises technologiques.
Le troisième risque est le shadow AI, c'est-à-dire l'usage non encadré d'outils d'IA par vos collaborateurs. Sans politique claire, chaque employé choisit ses propres outils : un comptable utilise un assistant pour analyser des bilans, un juriste fait résumer des contrats confidentiels, un commercial enrichit sa base de contacts. Chacun de ces usages crée un point de fuite potentiel que l'entreprise ne contrôle ni ne détecte.
Enfin, il y a le risque d'exposition concurrentielle. Les informations stratégiques -- projets en cours, résultats financiers non publiés, stratégies de pricing, fusions envisagées -- ont une valeur considérable. Si elles transitent par un outil IA externe, elles échappent à votre maîtrise. Même avec des garanties contractuelles, le risque zéro n'existe pas dès lors que les données quittent votre infrastructure.
RGPD et IA : ce que dit la loi
Le RGPD (Règlement Général sur la Protection des Données) ne mentionne pas explicitement l'intelligence artificielle. Mais il encadre tout traitement de données personnelles, quel que soit le moyen technique utilisé. Dès qu'un système d'IA traite des données permettant d'identifier directement ou indirectement une personne physique, le RGPD s'applique intégralement.
Base légale et finalité du traitement
Tout traitement de données personnelles par un système d'IA doit reposer sur une base légale clairement identifiée : consentement explicite, exécution d'un contrat, intérêt légitime dûment documenté, ou obligation légale. Si vous utilisez l'IA pour analyser des candidatures, la base légale est l'exécution de mesures précontractuelles. Si vous l'utilisez pour profiler des clients à des fins commerciales, vous devez obtenir leur consentement ou justifier un intérêt légitime avec une mise en balance des droits.
Contrats de sous-traitance (DPA)
Chaque fournisseur d'IA qui traite des données personnelles pour votre compte est un sous-traitant au sens du RGPD. Vous devez signer un Data Processing Agreement (DPA) avec chaque fournisseur. Ce contrat doit préciser les données traitées, les finalités, la durée de conservation, les mesures de sécurité, les conditions de transfert hors UE et les modalités de suppression. Sans DPA, le traitement est non conforme, même si le fournisseur est une entreprise de renommée mondiale.
Droit à l'explication et décisions automatisées
L'article 22 du RGPD encadre les décisions automatisées produisant des effets juridiques ou significatifs. Si votre IA prend ou aide à prendre des décisions impactant des personnes (tri de CV, scoring crédit, attribution de services), les personnes concernées ont le droit d'obtenir une explication de la logique utilisée et de contester la décision. Cela impose de documenter le fonctionnement de vos modèles et de prévoir un recours humain.
Minimisation et conservation limitée
Le principe de minimisation impose de ne collecter et traiter que les données strictement nécessaires à la finalité poursuivie. Concrètement, ne transmettez pas un document entier à un modèle d'IA si seul un paragraphe est pertinent. Ne conservez pas les prompts et réponses au-delà de la durée nécessaire au traitement. Supprimez les données personnelles des historiques de conversation dès que le traitement est terminé.
AI Act européen : une couche supplémentaire
Le règlement européen sur l'IA (AI Act), en application progressive depuis 2024, ajoute des obligations spécifiques pour les systèmes IA à haut risque (recrutement, crédit, santé). Si votre IA entre dans cette catégorie, des exigences de transparence, de documentation technique et de contrôle humain s'ajoutent au RGPD.
Hébergement souverain et solutions locales
L'hébergement souverain consiste à faire tourner vos modèles d'IA et stocker vos données sur des serveurs situés en France (ou dans l'Union européenne), opérés par des entreprises soumises au droit européen. L'intérêt principal est d'échapper à l'extraterritorialité du droit américain, notamment le CLOUD Act, qui autorise les autorités américaines à accéder aux données détenues par des entreprises américaines, y compris sur des serveurs situés en Europe.
Concrètement, plusieurs options s'offrent à vous selon votre niveau d'exigence et vos moyens.
Fournisseurs cloud souverains
Des hébergeurs français comme OVHcloud, Scaleway ou Outscale proposent des infrastructures certifiées (SecNumCloud pour les plus exigeants) permettant de déployer des modèles d'IA open source. Vos données restent sur le sol français, sous juridiction française, sans aucun lien juridique avec une entité extra-européenne.
Déploiement on-premise
Pour les entreprises manipulant des données hautement sensibles (défense, santé, juridique), le déploiement sur vos propres serveurs reste l'option la plus sécurisée. Les modèles open source comme Mistral, Llama ou Qwen peuvent tourner sur des serveurs GPU internes. Les données ne quittent jamais votre réseau. Le coût d'investissement initial est plus élevé, mais le coût marginal par requête est faible une fois l'infrastructure en place.
Instances privées de LLM
Entre le full cloud et le full on-premise, les instances privées offrent un compromis pertinent. Le fournisseur met à disposition une instance dédiée du modèle, isolée des autres clients, sur une infrastructure souveraine. Vous bénéficiez des performances d'un modèle de pointe sans gérer le hardware. Vos données ne sont ni partagées ni utilisées pour l'entraînement. C'est souvent l'approche la plus adaptée pour les PME et ETI.
Les modèles open source ont atteint en 2026 un niveau de maturité qui les rend viables pour la grande majorité des cas d'usage professionnels. Mistral Large, développé par la startup française Mistral AI, offre des performances comparables aux meilleurs modèles propriétaires pour les tâches en français. Son déploiement sur une infrastructure souveraine est simple et bien documenté. Le surcoût par rapport à une solution cloud américaine est de l'ordre de 20 à 40%, un investissement raisonnable au regard du risque réglementaire et réputationnel d'une fuite de données.
Checklist sécurité avant de déployer l'IA
Avant de déployer tout système d'IA dans votre entreprise, parcourez cette liste de vérification en 10 points. Chaque élément adresse un risque spécifique et constitue une bonne pratique reconnue par les experts en sécurité des données.
10 points de contrôle avant déploiement
Classification des données : identifiez quelles données sont publiques, internes, confidentielles ou sensibles. Seules les données publiques et internes non nominatives peuvent transiter par un outil IA externe sans précaution supplémentaire.
Contrôle d'accès : définissez qui peut utiliser quels outils IA, avec quelles données. Un stagiaire ne doit pas avoir accès aux mêmes modèles qu'un directeur financier.
Piste d'audit : chaque interaction avec un système d'IA doit être tracée (qui, quand, quelle donnée, quel outil). Ces logs sont indispensables en cas d'incident ou de contrôle CNIL.
Anonymisation des données : mettez en place un pipeline d'anonymisation en amont. Les noms, emails, numéros de téléphone et autres identifiants doivent être remplacés par des pseudonymes avant tout envoi à un modèle.
Évaluation des fournisseurs : auditez chaque fournisseur IA avant intégration. Localisation des serveurs, politique de rétention, certifications (ISO 27001, SOC 2, SecNumCloud), DPA disponible.
Plan de réponse aux incidents : documentez la procédure à suivre en cas de fuite de données via un outil IA. Qui est notifié, dans quel délai, quelles mesures correctives sont déployées.
Politique d'usage interne : rédigez et diffusez une charte d'utilisation de l'IA. Quels outils sont autorisés, quelles données sont interdites, quels sont les recours en cas de doute.
Consentement et information : vérifiez que les personnes concernées (clients, candidats, collaborateurs) sont informées de l'usage de l'IA dans le traitement de leurs données.
Revue périodique : planifiez un audit trimestriel de vos usages IA. Les outils évoluent, les équipes changent, de nouveaux usages émergent. Sans revue régulière, les écarts se creusent.
Formation des équipes : sensibilisez tous les collaborateurs aux risques liés aux données dans le contexte de l'IA. La première ligne de défense, c'est l'humain qui décide quoi envoyer dans le prompt.
Cette checklist n'est pas un exercice bureaucratique. C'est un cadre opérationnel qui protège votre entreprise, vos clients et vos collaborateurs. Les entreprises qui intègrent la sécurité dès la conception de leurs projets IA avancent plus vite et plus sereinement que celles qui tentent de régulariser après coup.
L'engagement Dragnoc : hébergement français et conformité RGPD
Toutes les solutions IA déployées par l'Dragnoc reposent sur un hébergement souverain en France. Vos données ne quittent jamais le territoire français. Nous intégrons la conformité RGPD dès la conception de chaque projet : anonymisation automatique, DPA signés avec chaque sous-traitant, pistes d'audit complètes. La sécurité n'est pas une option, c'est notre standard.
Besoin d'un cadrage sécurité pour votre projet IA ?
Dragnoc vous aide à concevoir des solutions IA conformes au RGPD, avec hébergement souverain et anonymisation intégrée. Sécurité et performance ne sont pas incompatibles.
Articles similaires
Comment nous avons automatisé le traitement de 500 emails/jour pour une PME industrielle
Retour d'expérience concret : comment Dragnoc a déployé une solution IA de tri, classification et réponse automatique aux emails pour une PME de 120 salariés.
Lire l'article
IA en PME : par où commencer concrètement ?
Guide pratique pour les PME qui veulent intégrer l'IA : identifier les cas d'usage, évaluer le ROI et lancer un premier projet concret.
Lire l'article
Automatiser le traitement des emails avec l'IA
Comment l'IA peut réduire de 70% le temps passé sur les emails entrants : tri, classification, réponses suggérées.
Lire l'article