Quand vous collez vos données dans ChatGPT, où vont-elles vraiment ?
Adopter l'IA sans envoyer ses données à l'autre bout du monde, c'est possible. Tour d'horizon honnête de l'IA souveraine pour les TPE et PME : ce que ça change, ce que ça coûte, et quand ça vaut le coup.
Il est 9 h 40. Vous avez un contrat client de douze pages à résumer avant midi. Vous l'ouvrez, vous copiez tout, vous le collez dans ChatGPT, et trois secondes plus tard vous avez votre synthèse. Bluffant. Vous passez à la suite.
Petite question, l'air de rien : où sont parties ces douze pages ?
Pas « dans le cloud » au sens vague. Concrètement : sur des serveurs, dans une juridiction donnée, soumis à des règles données, conservés pour une durée donnée, potentiellement relus, peut-être réutilisés. Le contrat de votre client — ses tarifs, ses clauses, son nom — vient de quitter votre entreprise. Et vous ne l'avez pas vraiment décidé. Vous avez cliqué sur « Envoyer ».
C'est la question que presque personne ne se pose avant d'adopter l'IA. Et c'est précisément celle qui devrait venir en premier.
Ce que « envoyer ses données » veut dire, vraiment
Quand vous utilisez un outil d'IA grand public, vos données font un voyage. Trois choses méritent votre attention.
La destination. La plupart des grands modèles tournent sur des infrastructures américaines. Or le droit américain — notamment le Cloud Act — permet aux autorités d'exiger l'accès à des données hébergées par une entreprise américaine, même si ces données sont physiquement stockées ailleurs. Ce n'est pas un fantasme de geek : c'est une asymétrie juridique réelle entre l'Europe et les États-Unis.
La rétention. Selon l'outil et le forfait, vos échanges peuvent être conservés, et parfois consultés par des humains pour « améliorer le service ». Les versions entreprise offrent en général de meilleures garanties que les versions gratuites — encore faut-il les avoir lues et activées.
L'usage. Vos données servent-elles à entraîner le prochain modèle ? Là encore, ça dépend du forfait et des réglages. Le réglage par défaut n'est pas toujours celui que vous croyez.
Rien de tout ça n'est illégal ni scandaleux. Mais pour une PME qui manipule des données clients, des contrats, des fiches de paie ou des secrets industriels, c'est une décision — et une décision qui relève aussi du RGPD. Coller des données personnelles dans un outil sans savoir où elles vont, c'est exactement le genre de zone grise qu'un contrôle n'apprécie pas.
Le faux choix : IA puissante ou pas d'IA du tout
Face à ça, beaucoup de dirigeants se rangent dans l'un des deux camps.
Camp 1 : « Tant pis, l'outil est génial, on fonce. » On gagne en productivité, on ferme les yeux sur le reste.
Camp 2 : « Trop risqué, on interdit l'IA dans la boîte. » Sauf que vos équipes l'utilisent déjà, en douce, sur leur téléphone perso. L'interdiction ne protège rien : elle vous rend juste aveugle.
Les deux camps partagent la même erreur : croire qu'il n'existe que deux options. Il en existe une troisième.
La troisième voie : l'IA souveraine
L'IA souveraine, ce n'est pas un label marketing. C'est une idée simple : vos données restent en Europe, sous votre contrôle. Et elle se décline en deux modalités très concrètes.
Modalité 1 — le cloud européen. Des modèles performants, hébergés et opérés en Europe, soumis au droit européen. Mistral, l'acteur français, en est l'exemple le plus connu, mais ce n'est pas le seul. Vous gardez le confort du cloud (rien à installer, ça marche tout de suite), sans l'exposition juridique américaine. Pour la grande majorité des PME, c'est l'équilibre le plus raisonnable.
Modalité 2 — le LLM local, chez vous. Là, le modèle tourne sur votre propre machine ou votre propre serveur. Vos données ne sortent jamais de l'entreprise. Pas de cloud, pas de transit, pas de juridiction étrangère : tout reste entre vos murs. C'est la solution la plus protectrice qui existe.
Et non, ce n'est plus de la science-fiction. On n'est plus en 2022. Des modèles ouverts, gratuits, capables de tourner sur une machine de bureau correcte, font aujourd'hui un travail très honorable : résumer, rédiger, classer, répondre à des questions sur vos propres documents. Ce qui exigeait un datacenter il y a deux ans tient désormais sur un bon PC.
Soyons honnêtes : ce que le local ne fait pas (encore)
Si je m'arrêtais là, je vous vendrais du rêve. Ce n'est pas le genre de la maison.
Un LLM qui tourne en local n'égale pas les meilleurs modèles cloud sur les tâches les plus complexes. Sur un raisonnement long, une analyse très fine, du code élaboré, l'écart est réel. Vous le sentirez.
Le local a aussi un coût d'entrée : il faut une machine adaptée, une installation, un minimum de maintenance. Ce n'est pas « gratuit », c'est « pas d'abonnement mensuel mais un investissement initial et un peu de compétence ».
Et toutes les tâches ne justifient pas ce niveau de protection. Reformuler un post LinkedIn public ? Aucun intérêt à le faire en local. Traiter le fichier RH de vos salariés ? Là, oui, ça change tout.
La bonne question n'est donc pas « local ou cloud ? » dans l'absolu. C'est : quelle donnée, pour quelle tâche, mérite quel niveau de protection ?
Comment trancher pour votre PME
Trois questions suffisent à éclairer 80 % des décisions :
- La donnée est-elle sensible ? (personnelle, confidentielle, stratégique) → plus c'est sensible, plus on penche vers le cloud européen ou le local.
- La tâche est-elle complexe ? → plus c'est complexe, plus le cloud performant garde l'avantage.
- Le volume justifie-t-il un investissement ? → un usage quotidien et massif amortit vite une solution locale ; un usage ponctuel non.
Croisez les trois, et la réponse apparaît presque toujours d'elle-même. Une PME industrielle qui interroge tous les jours ses cahiers des charges confidentiels n'a pas le même besoin qu'un commerçant qui rédige des fiches produit publiques.
Le vrai sujet n'est pas l'outil. C'est la maîtrise.
Adopter l'IA, ce n'est pas choisir « le meilleur modèle ». C'est décider, en connaissance de cause, ce qui sort de votre entreprise et ce qui y reste. Beaucoup de dirigeants découvrent qu'ils ont fait ce choix sans le savoir — en cliquant sur « Envoyer », un mardi matin, à 9 h 40.
La bonne nouvelle, c'est qu'on peut reprendre la main. Cartographier ses usages, classer ses données, choisir la bonne modalité pour chaque tâche : ça se fait, et ça ne demande pas de devenir expert. Juste de poser les bonnes questions, dans le bon ordre.
C'est exactement le point de départ d'un audit IA. Pas pour vous vendre la dernière technologie à la mode — pour vous dire, sur vos données et vos flux, ce qui peut rester en Europe, ce qui peut rester chez vous, et ce que vous gagnez à le faire.
La semaine prochaine : on entre dans le concret. « J'ai installé un LLM sur un vieux PC du bureau : voici ce qu'il sait faire (et ce qu'il rate). » Un test grandeur nature, sans filtre, chiffres à l'appui.
Une question sur vos propres données ? Testez votre conformité IA en 10 questions, ou parlons de votre projet.