Avant de signer un déploiement IA, posez la seule question qui compte vraiment au fournisseur : où vont mes données, et qui peut les lire. La réponse honnête n’est jamais “elles restent chez nous”. Elle implique au minimum un transit chiffré vers un serveur tiers, une rétention temporaire pour des raisons opérationnelles, et un contrat de traitement de données qui doit couvrir vos obligations légales spécifiques. Si le commercial vous répond “ne vous inquiétez pas, c’est sécurisé”, changez de commercial.

Ce qui se passe avec les API professionnelles

OpenAI API / Enterprise : les données soumises via l’API ne sont pas utilisées par défaut pour entraîner les modèles. OpenAI le précise dans ses conditions Enterprise. Les données peuvent être conservées temporairement pour la sécurité et la détection d’abus (30 jours par défaut sur l’API, configurable). Le stockage principal des données est aux États-Unis, avec des options de région limitées.

Anthropic API / Claude for Business : politique similaire. Les données soumises via l’API ne sont pas utilisées pour l’entraînement. Stockage aux États-Unis.

ChatGPT gratuit et Plus (interfaces web) : jusqu’en 2023, les conversations pouvaient être utilisées pour l’entraînement. L’option de désactivation a été ajoutée. Sur les interfaces grand public, le comportement par défaut a évolué mais mérite vérification lors de chaque mise à jour des conditions.

Le problème du secret industriel

Les conditions d’utilisation distinguent généralement l’entraînement (souvent exclu pour les API pro) de la conservation temporaire (souvent présente pour diverses raisons opérationnelles).

Mais la question du secret industriel va au-delà de l’entraînement. Si vous soumettez à une API :

  • Des contrats avec vos clauses tarifaires
  • Des stratégies de développement produit
  • Des brevets ou savoir-faire techniques
  • Des informations sur vos clients ou fournisseurs avec des clauses de confidentialité

Ces données transitent par les serveurs d’un tiers. Même sans entraînement, même avec chiffrement, vous créez un flux de données sensibles hors de votre périmètre. Ce flux peut créer des obligations légales vis-à-vis de vos clients (si vos contrats comportent des clauses de confidentialité des échanges), de vos partenaires, ou d’une future regulation.

Ce que dit le RGPD

Si vos données contiennent des informations sur des personnes physiques (salariés, clients, prospects), vous êtes en territoire RGPD.

Le recours à une API IA tiers pour traiter ces données vous place en position de responsable de traitement, avec l’obligation d’avoir un contrat de traitement de données (Data Processing Agreement, DPA) avec le fournisseur. OpenAI, Anthropic et Google le proposent dans leurs offres enterprise.

La question de la localisation des données est critique pour certains secteurs : les données de santé (HDS), les données financières, les données de défense. Pour ces secteurs, le transit hors UE est restreint ou interdit. Une API américaine sans option de localisation européenne peut créer une non-conformité.

Ce que l’AI Act change

L’AI Act européen (en vigueur depuis 2024, obligations progressives jusqu’en 2027) impose des obligations spécifiques selon le niveau de risque du système IA.

Pour les systèmes à haut risque (décisions d’embauche, scoring de crédit, décisions médicales, systèmes de justice), des exigences de transparence, d’auditabilité et de documentation sont imposées. Un système IA déployé dans ces contextes doit pouvoir être audité, et ses décisions doivent être explicables.

Pour les LLM d’usage général avec impact systémique (au-dessus d’un seuil de compute), des obligations de transparence sur les données d’entraînement et les capacités sont imposées aux fournisseurs. Ce qui change pour vous : vous pouvez demander à votre fournisseur une documentation de conformité AI Act.

Quatre choses à exiger contractuellement

Quatre choses à exiger contractuellement avant tout déploiement. D’abord, la garantie que les données ne servent pas à l’entraînement (pas dans une FAQ : dans le contrat signé). Ensuite, la localisation effective du traitement et du stockage, avec l’engagement de prévenir trente jours avant tout changement. Le contrat de sous-traitance RGPD qui couvre vos propres obligations envers vos clients et salariés. Et la procédure documentée si le modèle sous-jacent change de version. Le reste (politique de conservation, périmètre AI Act, etc.) se traite dans les annexes. Mais ces quatre points sont la condition d’entrée.