Industrie

Où vont les données de votre entreprise lorsque vous utilisez AI : une réponse claire pour le conseil d'administration

Vincent Wahidi
Vincent Wahidi · 6 min de lecture
Où vont les données de votre entreprise lorsque vous utilisez AI : une réponse claire pour le conseil d'administration

Lorsque votre équipe utilise AI, vos données sont transférées partout où le modèle s'exécute. Avec un service public hébergé (la version grand public d'un chatbot), les invites et tous les fichiers que vous collez sont envoyés vers les serveurs du fournisseur, et sur les niveaux grand public, ils peuvent être conservés et utilisés pour former de futurs modèles, à moins que vous ne le désactiviez. Avec un déploiement d'entreprise ou privé, les données restent à l'intérieur d'une limite contractuelle. Il est traité pour répondre à votre demande, non conservé pour la formation, et peut être épinglé dans les centres de données de l'UE pour la résidence. La seule question qui détermine votre exposition est de savoir si le contrat stipule que nos entrées et sorties ne seront jamais utilisées pour former les modèles du fournisseur, et où ils sont physiquement stockés. Mettez cela par écrit et la plupart des préoccupations du conseil d'administration concernant la confidentialité des données de AI seront résolues en achats ordinaires.

Où vont réellement nos données lorsque nous utilisons AI ?

Cela dépend du modèle que vous utilisez parmi trois.

Un service public de consommation envoie votre invite par Internet au vendeur, génère une réponse et la renvoie. Aux niveaux gratuit et personnel, ce contenu peut être enregistré, examiné par des personnes pour en vérifier la qualité et intégré à de futures formations, à moins que vous ne vous désinscriviez.

Un niveau entreprise ou entreprise du même service envoie des données au même type d'infrastructure, mais dans le cadre d'un contrat qui interdit généralement la formation sur vos données, limite la conservation et offre une région de stockage.

Un déploiement privé ou auto-hébergé exécute le modèle dans votre propre compte cloud ou dans un locataire dédié. Les données ne quittent pas du tout cette frontière. Il s’agit de l’option la plus contrôlée et généralement la plus coûteuse à exploiter.

La technologie est similaire dans les trois. Le contrat et le déploiement, et non le modèle, décident de l'emplacement de vos données.

Que signifie la formation sur vos données et le conseil d'administration doit-il s'inquiéter ?

La formation sur vos données signifie que le fournisseur conserve vos invites et vos téléchargements et les utilise comme exemples pour améliorer le modèle que le reste du monde utilise également. L’inquiétude est double. Une future version du modèle pourrait faire apparaître des fragments d’entrées sensibles, et vos éléments confidentiels ont quitté votre contrôle dans un but que vous n’aviez pas prévu.

Pour un seul e-mail rédigé, les enjeux sont faibles. Pour les contrats, les dossiers des patients, la paie, le code source ou tout ce qui est couvert par GDPR ou une clause de confidentialité, c'est un réel problème, car le consentement et la limitation des finalités sont des obligations légales et non des préférences.

La réponse n’est pas d’interdire AI. Il s’agit d’acheminer les travaux sensibles vers un niveau qui exclut contractuellement la formation et l’examen humain. Les niveaux d'entreprise réputés le font par défaut. Confirmez-le plutôt que de le supposer.

Nos données peuvent-elles rester dans l'UE et la résidence est-elle synonyme de conformité ?

Oui, la résidence est disponible, mais elle est nécessaire plutôt que suffisante.

La plupart des grands fournisseurs proposent désormais la résidence des données dans l'UE, ce qui signifie que les données sont traitées et stockées dans les régions européennes. Pour une entreprise traitant des données personnelles européennes, cela supprime l'une des questions GDPR les plus difficiles, à savoir la base juridique du transfert international, et cela s'inscrit naturellement aux côtés des obligations que la loi européenne AI impose aux entreprises expédiant du AI.

La résidence à elle seule ne vous rend pas conforme. Vous avez toujours besoin d’un accord de traitement des données, d’une base juridique claire, de limites de conservation et d’un enregistrement des systèmes qui touchent aux données personnelles. La résidence répond où, et non si vous y étiez autorisé. Traitez-le comme un contrôle parmi plusieurs, et non comme la réponse complète.

Que devons-nous demander à un fournisseur de AI avant de signer ?

Une courte liste écrite règle l’essentiel du problème.

Question À quoi ressemble une réponse sûre
Entraînez-vous vos modèles sur nos entrées ou sorties ? Non, pas sur les données métiers, par défaut et dans le contrat.
Combien de temps nos données sont-elles conservées ? Une fenêtre courte et déclarée (souvent de zéro à 30 jours pour la surveillance des abus), puis supprimée.
Où nos données sont-elles traitées et stockées ? Une région nommée, avec résidence dans l'UE disponible.
Les gens consultent-ils nos invites ? Uniquement avec le consentement, ou jamais au niveau professionnel.
Allez-vous signer un DPA et agir en tant que sous-traitant ? Oui, avec les sous-traitants répertoriés.
Qu’arrive-t-il à nos données si nous partons ? Supprimé sur une chronologie définie, avec confirmation.

Si un fournisseur ne peut pas y répondre clairement, c'est lui-même la réponse. La même discipline qui empêche les hallucinations d'entrer dans un pipeline de documents, sachant exactement ce que fait le système et le prouvant, s'applique à la destination des données. Déterminer quel niveau convient à quelle tâche, et négocier la résidence UE et les conditions de non-entraînement dont vous avez besoin, fait partie de notre travail de conseil AI.

Le point pratique à retenir pour le conseil d'administration

Vous n’avez pas besoin d’un briefing technique approfondi pour bien gérer cela. Vous devez savoir quel niveau utilise chaque outil AI, si son contrat exclut la formation sur vos données, où ces données sont stockées et à qui appartient l'accord de traitement des données. Le travail sensible appartient à une entreprise ou à un déploiement privé avec résidence dans l'UE et clause de non-formation. Les travaux à faibles enjeux peuvent s’effectuer à des niveaux plus simples. Notez l'inventaire, attribuez un propriétaire et revisitez-le lorsqu'un nouvel outil apparaît. La plupart des risques liés aux données AI ne sont pas un problème technologique. Il s’agit d’un problème d’approvisionnement et de gouvernance que vous savez déjà gérer.

Vincent Wahidi

Auteur

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

À lire ensuite

Gouvernance AI pour les ETI : la version allégée qui tient toujours la route

Un problème qui mérite d'être résolu ?

Dites-nous ce que vous construisez ou corrigez. Nous vous répondrons dans un délai d'un jour ouvré avec une prochaine étape claire.