NL#150 - Guide ultime : déployer l’IA générative sans risques légaux

Bonjour et bienvenue dans cette 150ème newsletter,

J’espère que vous allez bien (oui je passe au vouvoiement :) )

Première énorme information : je lance officiellement mon entreprise MAIjin (voir ce post).

Et pour fêter ça, je change aussi de système d’envoi de newsletter. Je passe sur beehiv pour que vous puissiez commenter, trouver les anciennes newsletters facilement, bref, pour monter en gamme ! Désormais tout se passera ici : https://maijin.beehiiv.com/

Et je vous enverrai la newsletter avec l’adresse [email protected].

Sinon, rien ne change. C’est toujours moi qui t’écris.

A ce propos…

Il y a un OBSTACLE qui revient toujours chez les PMEs et les grands groupes que j’accompagne : les usages autorisés de l’IA générative et les outils à utiliser ne sont pas clairs.

Alors je me suis dit que j’allais rédiger une newsletter pour vous aider.

J’ai fait un point sur ce que je savais, et j’ai recherché des informations sur les zones d’ombre.

Mon ambition est d’éviter que :

• vous soyez un jour épingler par le gouvernement pour une effraction à la LPD ou RGPD

• vos secrets commerciaux, stratégiques ou industriels soient divulgués à des entreprises américaines.

• Vos employés n’utilisent pas l’IA générative par manque de clarté

Alors c’est parti.

Bonne lecture,

JB

Le guide ultime pour déployer l’IA générative en entreprise, sans préjudices légaux

L’IA générative créé du nouveaux contenus sur la base des données sur lesquelles est entrainée.

Les IA génératives les plus connues et les plus utilisées sont les grands modèles de langage disponibles dans ChatGPT, Gemini et Copilot.

Leur fonctionnement est basé sur 1) une phase de développement et une 2) phase de déploiement.

Dans la phase 1, les ingénieurs entrainent le modèle sur une gigantesque base de données de textes, ce sont les données d’apprentissages. 
Puis dans la phase 2, le modèle de langage utilise les instructions communiquées par les utilisateurs et collectées pour analyser et répondre à leurs requêtes.

Ces modèles d’IA utilisent donc des données personnelles et des données sensibles.

Or l’exploitation de ces données est régie par des lois européennes auxquelles les entreprises comme la vôtre doivent se conformer. L’exploitation de ces données est aussi soumise à des législations américaines qui peuvent mettre en danger vos secrets commerciaux et industriels.

Pourtant, vous auriez tort de ne pas utiliser ces systèmes d’IA générative, dont les impacts sur la productivité et l’excellence ne sont plus à prouver.

Alors comment faire ?

Suivez le guide :)

Etape 1 : comprendre les types des données et le faire comprendre

Vous êtes peut être en charge de la transformation numérique dans votre entreprise, et vous connaissez la distinction entre les données. Ou peut être que ce n’est pas clair pour vous. Ma certitude après 29 mois de formation en entreprise, ce n’est pas clair pour grand monde.



Alors quelle est différence entre données personnelles, sensibles, confidentielles ?

Les données personnelles selon la CNIL

Selon le CNIL, c’est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée :

• directement (exemple : nom, prénom)

• ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

Les données personnelles sont soumises au RPGP pour “règlement général sur la protection des données”. Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. En Suisse, c’est la nLPD pour nouvelle loi de protection des données, valable depuis le 01 septembre 2023.

Les données sensibles en entreprise

Une donnée « sensible », au titre de l'article 1er de la loi relative à la protection économique des entreprises, peut être identifiée comme un document ou un renseignement d'ordre économique, commercial, industriel, financier ou technique détenu par une société.

Au sein de chaque entreprise, la sensibilité d’une donnée s’évalue par le préjudice potentiel lié à sa divulgation ou son altération

Pharmaceutique : la formule d’un médicament en test ou les résultats d’essais cliniques sont des données sensibles. Leur fuite peut avantager un concurrent ou nuire à la réputation du labo.

E-commerce : les marges, le fichier client ou un plan marketing à venir sont stratégiques. Leur divulgation peut permettre à un concurrent de mieux cibler ou casser les prix.

Tech / SaaS : le code source, la roadmap produit ou les conditions commerciales négociées sont sensibles. Leur vol ou altération fragilise la compétitivité de la startup.

Le Cloud Act menace les données sensibles des entreprises. Cette loi US s’applique aux entreprises américaines ou aux filiales d’entreprises américaines établies en Europe ou en Suisse, comme les principaux fournisseurs de cloud comme Microsoft, Amazon, Google et Meta.

Comme le dit lexis nexis, cette loi : “permet aux autorités américaines d’accéder aux données d’individus et d’entreprises (et de leurs clients) situées en dehors des États-Unis à condition que l’entité qui héberge ces données ait un lien avec les Etats-Unis.” AIE AIE.

Etape 2 : classifiez les données

Je vous propose une check-list réalisée avec Claude pour différencier les données sensibles et personnelles dans votre entreprise :

DONNÉES À RISQUE - ne pas utiliser avec des IA publiques

Données personnelles (RGPD/nLPD)

• Noms et prénoms des collaborateurs/clients

• Adresses emails professionnelles ou personnelles

• Numéros de téléphone

• Adresses postales

• Numéros clients/identifiants

• Photos ou vidéos de personnes

• Données biométriques (empreintes, reconnaissance faciale)

• Informations de santé ou médicales

• Données bancaires ou financières personnelles Données sensibles d’entreprise

• Formules ou recettes propriétaires

• Code source et algorithmes

• Stratégies commerciales et plans marketing

• Fichiers clients et bases de données

• Marges et tarifications

• Résultats financiers non publics

• Contrats et conditions commerciales négociées

• Roadmaps produits

• Résultats de R&D ou d'essais

• Données de performance interne

DONNÉES SANS RISQUE - utilisables avec des IA publiques Informations publiques

• Contenus de votre site web public

• Documentation technique publique

• Articles de presse et communiqués

• Données de marché publiques

• Réglementations et textes légaux

• Formations et contenus éducatifs génériques Données anonymisées

• Statistiques agrégées sans identification possible

• Tendances sectorielles générales

• Exemples fictifs ou anonymisés

• Templates et modèles générique

EN CAS DE DOUTE

Posez-vous ces questions :

1. Si cette information fuitait, cela pourrait-il nuire à une personne identifiable ?

2. Si un concurrent avait accès à cette donnée, cela nous désavantagerait-il ?

3. Sommes-nous légalement tenus de protéger cette information ?

Si vous répondez OUI à l'une de ces questions → Données à risque

Retrouvez la check-list ici : https://claude.ai/public/artifacts/9aab4fd3-1084-4297-8c1e-ea676c6bc8ae

Enfin, n’oubliez pas la mise en vigueur de l’AI act européen qui classe les systèmes d'IA en quatre catégories de risques. Toute entreprise qui déploie ou exploite un système d'IA doit évaluer son niveau de risque. Vous serez concernés si vous déployez un système d’IA à haut risque : systèmes soumis à des obligations strictes (santé, éducation, RH, infrastructures critiques).

Étape 3 : Choisir votre méthode de déploiement de l'IA générative

Secteurs à haut risque

Dans ces secteurs, considérez TOUTES vos données comme sensibles et personnelles : Santé • Finance • Droit • Gouvernement • Défense • Recherche pharmaceutique

Comparatif des solutions de déploiement

ChatGPT/Claude gratuits

Verdict : à éviter en entreprise

• Vos données peuvent être utilisées pour entraîner les modèles

• Aucune garantie de confidentialité

• Stockage des conversations par défaut

• Usage recommandé : personnel uniquement, avec des données publiques

Versions entreprise (ChatGPT Team/Plus, Claude Pro)

Verdict : OK pour données non sensibles et non personnelles uniquement Prérequis obligatoires :

• Utiliser une adresse email professionnelle

• Désactiver l'entraînement des modèles dans les paramètres

• Utiliser les conversations temporaires quand disponibles Avantages : rapide à déployer, peu coûteux, fonctionnalités avancées Inconvénients : soumis au Cloud Act, données stockées aux USA

Astuce : créer un contrat avec le fournisseur de service. Ce contrat devra bien préciser les périmètres de responsabilité et les accès autorisés aux données traitées.

API et intégrations métier Verdict :

même niveau que les versions entreprise Permet d'intégrer l'IA dans vos outils existants (CRM, ERP, etc.) mais avec les mêmes limitations de sécurité. Idéal pour automatiser des tâches sur des données non sensibles.

Modèles européens (Mistral, Aleph Alpha, etc.) avec cloud européen

Verdict : solution recommandée pour la plupart des entreprises

Avantages majeurs :

• Conformité RGPD native

• Données hébergées en Europe

• Non soumis au Cloud Act américain

• Transparence sur le traitement des données

• Support en français

Fournisseurs recommandés :

# Mistral AI (France) avec serveur européen, Aleph Alpha (Allemagne) avec serveur européen

Fournisseur d’accès avec modèle open source : OVHcloud (France), Infomaniak (Suisse), Scaleway (France)

Déploiement on-premise (sur site)

Verdict : solution la plus sécurisée

Recommandé par la CNIL pour :

• Données personnelles sensibles

• Secrets industriels critiques

• Secteurs réglementés Avantages :

• Contrôle total de vos données

• Aucun transfert vers des tiers

• Personnalisation maximale

• Conformité réglementaire optimale Inconvénients : coût élevé, expertise technique requise, maintenance complexe

Outil : votre arbre de décision

https://claude.ai/public/artifacts/43102dbc-57ab-41df-8285-de33a71d282e

Conclusion sur la réalité du terrain

Je vous ai proposé les solutions idéales vis à a vis de la loi et de la souveraineté. Sauf que l’idéal n’existe pas.

Voici la réalité du terrain :

• La plupart des entreprises que j’accompagne utilisent déjà Office 365, Google Workspace ou AWS, les soumettant de facto au Cloud Act

• Les modèles européens, accusent souvent un retard de performance (10-30% selon les tâches) et Mistral est hébergé sur des serveurs Microsoft

• Le déploiement on-premise reste complexe et coûteux pour 90% des entreprises

Alors voici une approche pragmatique en 3 étapes :

1. Segmentez intelligemment vos données

   • Identifiez le "cœur critique" (5-10% des données vraiment sensibles)

   • Utiliser des solutions européennes/on-premise UNIQUEMENT pour ce cœur

   • Accepter les outils américains performants pour le reste avec les versions entreprise

2. Optez pour une stratégie hybride progressive 

   • Commencer avec ChatGPT/Claude Enterprise pour la productivité immédiate

   • Documenter et classifier progressivement les usages

   • Migrer sélectivement les cas critiques vers des solutions souveraines

3. Mitigez les risques

   • Chiffrement côté client avant envoi

   • Pseudonymisation systématique

   • Clauses contractuelles spécifiques

   • Audit régulier des usages

Le vrai enjeu est finalement de savoir gérer intelligemment le risque tout en restant compétitif.

La souveraineté numérique absolue est une illusion, mais une souveraineté pragmatique et ciblée reste atteignable.

Qu’en dites-vous ?

JB

Comment Maijin.ch peut vous accompagner

Après 29 mois à former des entreprises suisses et européennes à l'IA générative, j'ai constaté que la théorie ne suffit pas. Les entreprises ont besoin d'un accompagnement concret et pragmatique pour naviguer entre innovation et conformité.

Nos services d'accompagnement :

1 - Audit et classification des données

• Cartographie exhaustive de vos données sensibles et personnelles

• Évaluation des risques selon le RGPD/nLPD et l'AI Act

• Recommandations personnalisées pour chaque type de donnée

2 - Rédaction de votre charte IA interne

• Politique d'usage adaptée à votre secteur et vos contraintes

• Intégration des obligations légales (RGPD, nLPD AI Act, Cloud Act)

• Guide pratique pour vos collaborateurs avec cas d'usage autorisés/interdits

3 - Déploiement de solutions sécurisées sur les 10% de données critiques

• Collaboration avec mon beau frère, PhD en IA, spécialisé dans le traitement sécurisé des données

• Mise en place de solutions hybrides (cloud européen + on-premise pour les données critiques)

• Architecture technique conforme et performante

4 - Formation des équipes

• Sessions pratiques adaptées à chaque métier

• Cas d'usage réels de votre secteur

• Certification interne des bonnes pratiques

Prêt à déployer l'IA générative en toute sécurité ?

Répondez à cet email et contactez moi. Notre site : Maijin.ch

Première consultation offerte pour évaluer vos besoins et définir une feuille de route adaptée.

JB 🙂