IA souveraine : la responsabilité reste en interne
Eva Mickler
7 min de lecture Qui intègre un modèle d’IA dans son environnement de production en assume la responsabilité ...
Les données déterminent aujourd’hui la manière dont les entreprises travaillent, prennent des décisions, développent et déploient des innovations. Elles ont de la valeur parce qu’elles offrent des perspectives, optimisent les processus et garantissent des avantages concurrentiels. Celui qui possède des données, les contrôle et décide en toute souveraineté de leur utilisation dispose ainsi d’un atout décisif. Mais où en est la souveraineté des données en Allemagne et en Europe ? Cet article, réalisé en collaboration avec des experts du Bundesverband IT-Mittelstand (BITMi, Fédération allemande des PME du secteur informatique), apporte des réponses et propose des pistes de solution.La souveraineté des données, c’est-à-dire le contrôle sur la création, le stockage et le traitement des informations sensibles, n’a plus rien d’évident aujourd’hui. Nous vivons dans un monde piloté par les données, mais rares sont ceux qui peuvent décider en toute souveraineté de ce qu’il advient de leurs propres données. Que ce soit dans la sphère privée ou professionnelle, beaucoup ignorent – ou se désintéressent simplement – de ce qui arrive réellement aux informations que nous générons quotidiennement en utilisant des services numériques. Un risque majeur. Données de localisation, coordonnées, contenus d’appels et de discussions, durée d’utilisation, profils de navigation, informations de paiement… La liste est quasi infinie. Toutes ces données sensibles peuvent causer d’importants dommages entre de mauvaises mains.Les entreprises, elles aussi – et surtout -, manquent souvent de contrôle sur leurs propres données, un constat valable en Europe et particulièrement en Allemagne. Azure, IBM, AWS, Google Cloud… Peu d’entreprises n’utilisent pas, sous une forme ou une autre, les services de fournisseurs de cloud américains. Même si les contrats conclus avec l’UE offrent un certain niveau de protection et un cadre pour le traitement des données, celles stockées et traitées sur ces plateformes restent potentiellement accessibles aux autorités américaines. Cela s’applique même lorsque des prestataires tiers interviennent et indépendamment du lieu d’hébergement.
« Dans un contexte où les structures d’entreprise deviennent de plus en plus complexes, nous perdons de plus en plus de vue qui a réellement accès à nos données – surtout lorsque les prestataires ont des actionnariats internationaux », explique Lennart Schröder, expert du BITMi et Senior Broker chez contego GmbH.
Les entreprises locales peinent à savoir qui accède à leurs données et comment celles-ci sont utilisées et traitées par leurs différents prestataires de services numériques. « Souvent, les entreprises ignorent même combien de sources de données elles possèdent et où celles-ci se trouvent. Dans le même temps, les risques s’accroissent : cyberattaques, espionnage industriel et conflits géopolitiques menacent la sécurité et la confiance dans leur propre stratégie de données. Sans oublier que l’intelligence artificielle, aussi mystérieuse qu’omniprésente, crée des défis entièrement nouveaux », explique Jannik Schumann, directeur général de basec GmbH.
Ce manque de transparence rend quasi impossible la reconquête de la souveraineté sur ses propres données. « Sans une vision claire de l’endroit où se trouvent les données et des personnes qui y ont accès, toute mesure de sécurité reste fragmentaire. Les entreprises s’exposent ainsi à des risques de non-conformité réglementaire », met en garde Schumann. Tant que le contrôle des flux de données et des lieux de stockage demeure entre les mains de fournisseurs internationaux, la souveraineté des données restera un simple mot à la mode – sans application concrète dans le quotidien des affaires.
Contexte DACH : En Allemagne, en Autriche et en Suisse (région DACH), la souveraineté des données est un enjeu clé, notamment face aux réglementations strictes comme le RGPD (Règlement général sur la protection des données) et aux exigences croissantes en matière de cybersécurité. Les entreprises locales sont particulièrement sensibles à la dépendance vis-à-vis des géants technologiques étrangers, perçue comme une menace pour leur autonomie stratégique.
C’est la promesse de formidables opportunités qui a poussé les entreprises dans cette dépendance. Les données leur permettent de prendre des décisions plus éclairées, d’optimiser leurs processus et d’améliorer leurs flux de travail grâce à l’automatisation fondée sur l’analyse des données. Pourtant, ces opportunités s’accompagnent de risques considérables. Si des données tombent entre de mauvaises mains, elles peuvent révéler des secrets industriels, menacer la position concurrentielle, voire anéantir des modèles économiques entiers. Et ce risque s’accroît en l’absence d’une véritable souveraineté des données.
L’interconnexion internationale dans le domaine du traitement et du stockage des données comporte toujours le danger que les processus pilotés par les données s’arrêtent net en cas de changement des cadres politiques ou de conflits. Parallèlement, les données relatives aux collaborateurs recèlent aussi des dangers. « Si ces données sont utilisées pour des attaques ou détournées, par exemple pour faire chanter des employés, cela peut directement menacer la sécurité d’une entreprise. De nombreuses entreprises sous-estiment ces risques et ne disposent ni de la prise de conscience ni des stratégies nécessaires pour y faire face efficacement », explique Lennart Schröder.
Contexte DACH : Dans l’espace germanophone (Allemagne, Autriche, Suisse – DACH), la souveraineté des données est un enjeu clé, notamment en raison des réglementations strictes comme le RGPD (Règlement général sur la protection des données) et des tensions géopolitiques actuelles. Les entreprises locales sont particulièrement sensibles aux questions de stockage et de traitement des données, souvent partagées avec des acteurs internationaux.
Dans notre monde résolument tourné vers les données, les risques ne cessent de croître – et l’intelligence artificielle (IA) les amplifie encore. Les systèmes d’IA détectent des schémas, révèlent des corrélations et en tirent des enseignements précieux. Si les entreprises en profitent pour optimiser leurs processus et conquérir de nouveaux marchés, cette même technologie offre aussi aux cyberattaquants un outil redoutable : l’extraction ciblée d’informations sensibles, qu’ils peuvent ensuite exploiter à leur avantage.
« Le problème devient particulièrement aigu lorsque les entreprises dépendent de prestataires externes en IA, souligne Dr. Klaus Meffert, directeur général d’IT Logic GmbH, une société spécialisée dans les solutions informatiques pour les entreprises du DACH (Allemagne, Autriche, Suisse). Sans infrastructure IA propre, elles perdent le contrôle sur l’utilisation et l’analyse de leurs données, qui se retrouvent entre les mains de tiers. »
Pour échapper à cette dépendance et renforcer leur souveraineté numérique, les entreprises se tournent de plus en plus vers des systèmes d’IA fermés. À l’avenir, le traitement des données ne pourra plus se passer de l’IA – cette technologie s’est définitivement installée dans le paysage technologique. Il est donc crucial pour les entreprises d’en tirer parti, y compris pour préserver leur souveraineté des données.
Contrairement aux plateformes ouvertes comme ChatGPT, qui jouent le rôle de généralistes, les systèmes d’IA fermés et spécialisés sont conçus sur mesure pour répondre aux besoins spécifiques d’une entreprise. Leur atout majeur ? Ils exploitent des connaissances pointues, propres au contexte de l’organisation, et délivrent ainsi des résultats bien plus pertinents et exploitables.
Pour le développement de tels systèmes, les modèles d’IA open source comme Teuken-7B, publié fin 2024 dans le cadre du projet de recherche européen OpenGPT-X, offrent une solution concrète. « Les modèles open source sont librement accessibles, de haute qualité et peuvent être adaptés avec flexibilité aux besoins spécifiques d’une entreprise – sans créer de nouvelles dépendances vis-à-vis des fournisseurs américains », explique le Dr Meffert. « En combinant l’hébergement de ces modèles d’IA et des données associées dans des centres de données propres à l’entreprise ou explicitement européens, les entreprises peuvent ainsi franchir les premiers pas vers une véritable souveraineté des données. Cela leur permet à la fois de conserver le contrôle sur leurs données et de tirer parti des avantages de l’IA de manière efficace et sécurisée. »
Aujourd’hui, le contrôle des données propres détermine la capacité d’innovation, la sécurité et l’indépendance des entreprises. Les risques actuels – des flux de données opaques aux conflits internationaux, en passant par les défis posés par l’IA – montrent à quel point il est urgent pour les entreprises d’agir. Des solutions comme des systèmes d’IA spécialisés et fermés, basés sur des modèles open source, offrent une perspective tangible pour réduire les dépendances et retrouver la maîtrise des données. Associées à un transfert résolu du traitement des données vers des environnements purement européens, elles peuvent constituer la première étape vers une véritable souveraineté des données. Ainsi, les entreprises créent les bases nécessaires pour se pérenniser dans notre monde piloté par les données.
Source de l’image à la une : Adobe Stock / Din Nasahrudin
Klaus Meffert est docteur en informatique (Diplom-Informatiker) et expert IT (surnommé « Dr. RGPD »). En tant que directeur général d’IT Logic GmbH, il propose des solutions logicielles pragmatiques « made in Germany », à forte valeur ajoutée et haut niveau de sécurité des données. Son expertise se concentre notamment sur…
Jannik Schumann, directeur général de Basec GmbH, est un consultant en sécurité de gestion expérimenté, fort de plus de 15 ans d’expertise en conseil IT. Il possède une vaste expérience auprès des donneurs d’ordre publics, des administrations et…
Lennart Schröder travaille depuis plus de deux ans chez contego en tant que courtier en assurances spécialisé dans le conseil aux entreprises pour la couverture des risques cyber et technologiques. Auparavant, il a occupé…