Quel outil d'IA pour quel niveau de confidentialité
L'IA peut vous faire gagner du temps. On en a parlé dans l'article précédent. Mais une question revient systématiquement : "Où vont mes données quand je les donne à ces outils ?"
C'est la bonne question. Et la réponse n'est pas la même selon ce que vous leur confiez. Concrètement, il y a trois niveaux. Chacun a ses outils, ses règles, et son niveau de risque.
Données publiques : allez-y
Si l'information est trouvable sur Google, elle peut passer dans n'importe quel outil d'IA sans risque.
Ça concerne : la veille sectorielle, les articles de presse, les appels d'offres publics, les textes de loi, les fiches produit de vos concurrents. Rien de confidentiel, rien de sensible.
Ce que vous pouvez faire :
- Résumer un article de 20 pages en cinq points
- Comparer deux appels d'offres pour identifier les différences
- Traduire un document technique
- Reformuler un texte pour un autre public
Les outils gratuits suffisent : ChatGPT, Claude, Mistral Le Chat. Pas besoin d'abonnement, pas besoin de configuration. Vous copiez, vous collez, vous récupérez le résultat.
La règle est simple : si vous seriez à l'aise de publier cette information sur votre site, vous pouvez la donner à un outil d'IA externe.
Données métier : attention au canal
C'est là que ça se complique. Vos emails internes, vos rapports de vente, vos retours clients, vos chiffres mensuels. Ce n'est pas secret défense, mais ce n'est pas public non plus.
Le problème avec les versions gratuites des outils d'IA, c'est que vos échanges peuvent être utilisés pour entraîner le modèle. Concrètement, ça veut dire que le contenu que vous envoyez peut, en théorie, influencer les réponses données à d'autres utilisateurs.
Le risque que votre rapport de vente ressorte tel quel est quasi nul. Mais le principe même pose un problème de confidentialité.
Deux solutions :
Les abonnements professionnels. ChatGPT Team, Claude Pro, Mistral Le Chat Pro. Ces versions garantissent contractuellement que vos données ne servent pas à l'entraînement. Vous payez un abonnement mensuel, et en échange, vos échanges restent privés. C'est la solution la plus simple pour une PME.
Les accès à la demande. Au lieu de passer par l'interface grand public, vous utilisez un accès technique qui envoie votre demande et récupère la réponse, sans stockage. C'est plus technique à mettre en place, mais c'est aussi la méthode la plus propre : rien n'est conservé côté fournisseur. Un intégrateur peut vous aider à le configurer.
La règle à ce niveau : ne collez jamais un document métier dans une version gratuite. Si vous avez un doute, vérifiez les conditions d'utilisation de l'outil. La mention à chercher : "vos données ne sont pas utilisées pour l'entraînement".
Et vérifiez régulièrement. En 2023, Zoom a modifié discrètement ses conditions d'utilisation pour s'accorder le droit d'utiliser les contenus de ses utilisateurs (vidéos, messages, fichiers partagés) pour entraîner ses modèles d'IA. Sans prévenir, sans possibilité de refuser.
Il a fallu un tollé public pour que l'entreprise fasse marche arrière. Ce n'est pas un cas isolé : c'est un rappel que les conditions d'utilisation changent, et qu'elles ne changent pas toujours en votre faveur.
Données stratégiques : restez souverain
Vos secrets industriels, votre stratégie commerciale, vos contrats en cours, votre propriété intellectuelle. Ce type de données ne devrait jamais quitter un environnement que vous contrôlez.
Ici, il y a trois approches selon votre situation :
Vous avez déjà une suite bureautique (Microsoft 365, Google Workspace). Copilot ou Gemini sont intégrés et fonctionnent dans votre environnement existant. C'est pratique.
Mais il faut être lucide sur une limite : ces fournisseurs sont américains, et ils sont soumis au CLOUD Act. Cette loi fédérale de 2018 permet au gouvernement américain d'exiger l'accès aux données hébergées par une entreprise américaine, même si les serveurs sont physiquement en Europe.
Concrètement, vos données peuvent être stockées à Francfort ou à Paris : si le fournisseur est américain, les autorités américaines peuvent y accéder sans passer par la justice européenne et sans vous prévenir. Ce n'est pas de la théorie. C'est la loi.
Le postulat raisonnable : partez du principe que ces données pourraient être consultées, et choisissez ce que vous y mettez en connaissance de cause.
Vous voulez une solution européenne. Des fournisseurs comme Infomaniak (Suisse) ou Euria proposent des modèles d'IA hébergés en Europe, hors juridiction américaine, conformes au RGPD. Vos données ne traversent pas l'Atlantique et ne sont pas soumises au CLOUD Act. Pour une PME qui traite des données sensibles de clients européens, c'est souvent le bon compromis entre facilité d'utilisation et protection réelle.
Vous voulez le contrôle total. Des outils comme Ollama ou Mistral permettent de faire tourner un modèle d'IA directement sur votre machine ou votre serveur. Rien ne sort. C'est la solution la plus sûre, mais aussi la plus technique. Il faut du matériel adapté et quelqu'un pour le maintenir.
Comment choisir : le tableau de synthèse
En résumé
Pas besoin de tout verrouiller. Pas besoin de tout ouvrir non plus.
Commencez par les données publiques. C'est gratuit, c'est sans risque, et ça vous permet de voir concrètement ce que l'IA peut faire pour vous. Quand vous êtes à l'aise, passez aux données métier avec un abonnement professionnel. Et si vous avez des données vraiment sensibles, prenez le temps de choisir une solution souveraine.
L'enjeu n'est pas de savoir si vous allez utiliser l'IA. C'est de savoir comment.
Sources
Zoom – modification des conditions d'utilisation pour l'entraînement IA (août 2023). variety.com et axios.com
CLOUD Act (2018) – accès du gouvernement américain aux données hébergées par des entreprises américaines, y compris en Europe. massivegrid.com et conceptboard.com