Le juste équilibre entre innovation et sécurité
L'utilisation de l'intelligence artificielle offre un énorme potentiel – mais qu'en est-il de la protection des données ? La réponse n'est pas la même pour toutes les entreprises. Ce qui est parfaitement adéquat pour une entreprise industrielle peut ne pas répondre aux exigences strictes de conformité d'une assurance maladie ou d'une banque.
La bonne nouvelle : vous n'avez pas à choisir entre innovation et sécurité. Nous vous présentons les différents modèles de déploiement des LLM afin que vous puissiez trouver la solution optimale pour vos exigences spécifiques et votre cadre réglementaire.
1. Utilisation directe chez l’éditeur (cloud public)
Les modèles les plus connus sont utilisés directement via les plateformes des fournisseurs.
- Fournisseurs : ChatGPT (OpenAI), Gemini (Google), Claude (Anthropic).
- Localisation des données : Ces éditeurs sont domiciliés aux États-Unis. Les données peuvent être traitées sur des serveurs mondiaux lors de l’utilisation de ces services.
- Différence clé : grand public vs entreprise
- Offres grand public / gratuites : les saisies servent souvent à améliorer les modèles.
- Licences entreprise : par contrat, les données clients ne sont pas utilisées pour entraîner les modèles de base.
Informations confidentialité utiles :
2. Utilisation via Microsoft Azure (Azure AI Foundry)
Pour les entreprises, Microsoft Azure s’intègre souvent à l’infrastructure de sécurité existante, ce qui en fait un choix privilégié. Les modèles sont proposés via des services tels qu’Azure OpenAI et Azure AI Studio.
- Standard de conformité : Azure OpenAI relève des programmes de conformité Azure. Avec une configuration adaptée, des politiques proches de Microsoft 365 / SharePoint sont possibles. Le détail figure ici : Déclaration de confidentialité Azure AI
- Pas d’entraînement : Microsoft n’utilise pas explicitement les données clients pour poursuivre l’entraînement des modèles (p. ex. fournis par OpenAI). Un « Customer Copyright Commitment » offre en outre une couverture contractuelle vis-à-vis de certains risques de droit d’auteur lors d’une utilisation conforme.
- Disponibilité régionale & hébergement :
- Suisse (Azure : North / West) : si Azure OpenAI est déployé en région Suisse sans fonctionnalités globales obligatoires, le traitement peut rester entièrement en Suisse — essentiel pour beaucoup d’exigences réglementaires (p. ex. FINMA ou LPD). La disponibilité des modèles par région : Aperçu des modèles
- Hébergement global : les modèles les plus récents ou performants arrivent souvent d’abord dans d’autres régions (p. ex. USA ou UE), avec quelques semaines de délai vers les datacenters suisses. Les données peuvent alors quitter la Suisse brièvement mais restent dans l’environnement Azure protégé.
Les règles de confidentialité complètes : Microsoft Azure OpenAI – données, confidentialité et sécurité
3. Modèles locaux (open source & self-hosting)
Pour une souveraineté maximale, les modèles peuvent tourner sur votre propre matériel.
- Modèles de pointe (avril 2026) : parmi les options open source les plus capables : Llama (Meta), Qwen (Alibaba) et des modèles Mistral.
- Exigences matérielles : l’exécution locale d’un LLM dépend de la taille du modèle et du scénario.
- Pour des modèles type Qwen 3.x ou comparables, une GPU grand public peut suffire en usage mono-utilisateur avec quantification. Des modèles plus grands ou un débit plus élevé exigent des GPU plus puissantes ou des configurations multi-GPU.
- En production, on utilise souvent des serveurs GPU (p. ex. NVIDIA A100 / H100 ou équivalents). Des machines comme le Mac Studio (M3 Ultra) peuvent convenir à certains cas et charge d’inférence modérée. Le coût dépend du modèle, de la longueur de contexte et du débit attendu.
- Performance : en général inférieure aux derniers modèles cloud ; varie selon la taille et les réglages. Il faut vérifier que le modèle suffit à votre cas d’usage.
- Avantage : contrôle total. Les données ne quittent jamais le réseau de l’entreprise.
- Risque : mises à jour, exploitation et sécurité réseau relèvent entièrement de l’entreprise.
4. Risques de sécurité au-delà du transport
La sécurité des données inclut aussi de nouveaux vecteurs d’attaque :
- Prompt injection : des entrées qui manipulent le modèle pour contourner les filtres.
- Fuite de données : divulgation involontaire de secrets d’entreprise via des modèles publics.
- Conformité au règlement UE sur l’IA : même hors UE, le texte concerne des entreprises suisses qui proposent des services dans l’UE ou dont la sortie d’IA y est utilisée.
- Transparence : les utilisateurs doivent savoir qu’ils interagissent avec une IA.
- Règles GPAI : des modèles comme GPT-5 ou Claude 4 relèvent des règles sur l’IA à usage général. Les clouds entreprise aident sur une partie de la documentation, pas sur toute la responsabilité ; en 100 % local, la conformité est à votre charge.
5. Vue d’ensemble
| Critère | Cloud public (grand public) | Cloud entreprise (Azure / AWS) | Modèles locaux (self-hosted) |
|---|---|---|---|
| Protection des données (LPD / RGPD) | Partiellement, avec contrat de sous-traitance | Très élevé | Maximum (souveraineté) |
| Entraînement sur données utilisateur | Souvent oui ; opt-out parfois possible | Non (fixé par contrat) | Non |
| Effort de mise en place | Aucun | Moyen (intégration) | Élevé (matériel / DevOps) |
| Contrôle sur les données | Faible | Élevé | Total |
| Protection du droit d’auteur | Partielle | Partielle ; garanties contractuelles du fournisseur | Risque à votre charge (responsabilité entreprise) |
| Recommandation | Peu adapté aux données d’entreprise sensibles | Référence pour les entreprises | Environnements à très haute exigence de sécurité |
Avancer sereinement vers l’IA
Nous vous aidons à choisir et mettre en œuvre en toute sécurité le dispositif LLM adapté à votre entreprise.
Nous contacter