Assistants IA et Confidentialité des Données : Le Vrai Bilan pour les DSI

Assistants IA et Confidentialité des Données : Le Vrai Bilan pour les DSI

Conformité Ismaël DIB 2 juin 2025 8 min de lecture EN Read in English
IA Confidentialité RGPD DSI Données

La question que toutes les DSI évitent de poser

"Nos données partent-elles chez OpenAI ?" C'est la question que j'entends le plus souvent dans les comités de direction suisses quand on parle d'assistants IA. La réponse honnête : ça dépend. Et "ça dépend" n'est pas une réponse acceptable pour une DSI responsable.

Voici l'état réel des garanties de confidentialité des principaux assistants IA en 2025.

Cartographie des pratiques de données par fournisseur

FournisseurEntraînement sur vos données ?Hébergement UE ?RGPD/LPD ?Offre Enterprise ?
Anthropic (Claude)Non (par défaut)US (AWS)Clauses contractuelles typesOui (Claude for Enterprise)
OpenAI (GPT-4)Non (API, par défaut)US + Azure EUClauses contractuelles typesOui (ChatGPT Enterprise)
Google (Gemini)Non (Workspace Business)EU disponibleDPA disponibleOui (Gemini for Workspace)
Microsoft (Copilot)Non (M365 Copilot)EU disponibleDPA M365Oui (M365 Copilot)

Les trois niveaux de risque

Niveau 1 — Données publiques ou non-sensibles

Utilisation des assistants IA grand public acceptable. Exemple : rédiger un email de communication externe, chercher des informations générales, générer des idées de brainstorming.

Niveau 2 — Données internes non-confidentielles

Utiliser une offre Enterprise avec engagement contractuel de non-utilisation pour l'entraînement. Exemple : analyser des rapports internes, générer de la documentation projet.

Niveau 3 — Données sensibles ou réglementées

Trois options : LLM on-premise (Ollama + Llama 3 / Mistral), API privée dans votre cloud souverain, ou refus catégorique d'utiliser un LLM externe. Exemple : données clients bancaires, dossiers médicaux, informations contractuelles confidentielles.

La politique IA que recommande aux DSI suisses

Toute organisation suisse traitant des données personnelles ou confidentielles devrait disposer d'une politique IA documentant : la liste des outils IA autorisés par niveau de sensibilité des données, les contraintes d'utilisation par usage, la procédure d'approbation pour de nouveaux outils IA, et la formation obligatoire des collaborateurs.

"La question n'est pas 'd'utiliser ou pas l'IA'. C'est 'quelle IA, pour quelles données, avec quelles garanties ?'"
Conformité RGPD et satisfaction DSI par fournisseur IA
Classification des données par niveau de sensibilité

Vous travaillez sur un projet d'automatisation ou de transformation IA ?

Discutons de vos enjeux. J'accompagne les équipes IT suisses dans leur transition vers l'IA.

Me contacter →