Les versions grand public des IA génératives absorbent les données qu’on leur soumet pour entraîner les modèles suivants. C’est ce qui sépare une fuite de propriété intellectuelle d’un gain de productivité de 30 % sur les tâches quotidiennes. La nuance vaut quelques millions d’euros.
La réponse classique consiste à dire « prenez la version entreprise ». Elle est nécessaire, mais ne suffit pas. Sécuriser l’IA générative n’est pas cocher une case sur un contrat : c’est une décision à plusieurs niveaux, calée sur la sensibilité de la donnée que vos équipes manipulent. Une note de réunion banale ne se traite pas comme un dossier M&A. À chaque niveau sa réponse technique : l’API d’entreprise pour la donnée sensible courante, le proxy d’anonymisation pour sortir du périmètre sans exposer le contenu, le modèle ouvert sur cloud souverain pour ce qu’aucune amende ne compense. C’est ce spectre qu’on déroule ici, du moins exigeant au plus verrouillé.
La paranoïa des dirigeants est devenue rationnelle
Le 10 juin 2025, devant la commission d’enquête du Sénat français, le directeur juridique de Microsoft France a confirmé sous serment qu’il ne pouvait pas garantir que les données françaises confiées à Microsoft ne seraient jamais transmises aux autorités américaines sans l’autorisation de la France. Six mots qui ont changé la conversation dans les comités de direction du CAC 40.
Pendant ce temps, les directions métier voient leurs équipes utiliser ChatGPT, Claude ou Gemini à un rythme qui rend tout interdit illusoire. Un commercial colle un fichier client pour en faire un résumé. Un développeur dépose un bout de code source pour corriger un bug. Une assistante met le compte-rendu d’un comex dans une boîte de dialogue pour le reformuler. Ces données quittent physiquement l’entreprise.
Bloquer ces usages, c’est sacrifier les gains de productivité que les concurrents captent déjà. Les laisser sans cadre, c’est risquer des amendes qui, depuis l’application intégrale de l’EU AI Act le 2 août 2026, peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Le RGPD garde son plafond à 20 millions d’euros ou 4 % du CA pour les transferts illégaux. La même logique de niveaux vaut côté conformité : la traçabilité exigée n’est pas la même pour un usage interne anodin et pour un système à fort impact, comme on le détaille dans notre analyse de l’IA Act et la traçabilité.
La version entreprise : nécessaire, jamais suffisante
Voici la chose qui surprend encore beaucoup de DSI : payer un abonnement ChatGPT Plus ne donne aucune garantie de confidentialité. Les conversations sont, par défaut, utilisées pour entraîner les versions suivantes du modèle. Pour les exclure, il faut une action manuelle dans les paramètres, utilisateur par utilisateur. Idem côté Gemini grand public, où les conversations font régulièrement l’objet d’une revue manuelle par des opérateurs humains pour annoter les réponses.
Le scénario qui réveille les juristes la nuit : un collaborateur soumet un brief commercial confidentiel à ChatGPT Plus, le contenu rentre dans la mémoire d’entraînement, et six mois plus tard, un concurrent qui pose la bonne question reçoit une réponse étrangement bien informée. Probabiliste, pas certain. Mais techniquement possible, donc non négociable.
Les versions entreprise des mêmes outils inversent ce contrat. Sur ChatGPT Enterprise, Claude Enterprise ou Vertex AI, aucune donnée client n’est utilisée pour l’entraînement par défaut. C’est contractuel, documenté, auditable. Mais c’est le premier barreau de l’échelle, pas le sommet. La version entreprise règle la question de l’entraînement, pas celle de la localisation des données, de l’accès d’un gouvernement tiers, ou du sort des données vraiment stratégiques. Pour ces sujets, il faut empiler des couches. C’est ce que recouvrent les trois piliers qui suivent : chacun répond à un niveau de sensibilité, et c’est leur combinaison, pas un produit unique, qui fait une architecture sûre.
Les trois piliers techniques pour sécuriser l’IA en entreprise
Ces trois couches se complètent, chacune calée sur un degré de sensibilité. Aucune ne suffit seule. Toutes ensemble, elles permettent d’ouvrir les vannes sans risque.
Pilier 1 · Le proxy LLM, votre douanier des données
Le proxy LLM est une passerelle logicielle qui s’interpose entre vos collaborateurs et les modèles externes. Toute requête passe par lui. Avant qu’elle ne sorte du réseau, il scanne le texte pour repérer les informations sensibles : noms, emails, numéros de téléphone, identifiants bancaires, mais aussi noms de clients, noms de projets internes, codes produits confidentiels.
Les éléments détectés sont remplacés par des jetons neutres. « Le contrat avec EDF d’un montant de 2,3 M€ signé par Sophie Martin » devient « Le contrat avec [CLIENT_A] d’un montant de [MONTANT_1] signé par [PERSONNE_1] ». Le LLM raisonne sur la requête anonymisée, produit sa réponse, et le proxy ré-injecte les valeurs originales à la réception, avant de livrer le résultat au collaborateur.
Les filtres récents font ça en quelques dizaines de millisecondes, avec un taux de détection de 97 à 99 % sur les entités sensibles. Le collaborateur ne voit rien. La donnée critique n’a jamais quitté votre périmètre de confiance.
Pilier 2 · Les API d’entreprise, et ce que les hyperscalers font pour s’extraire du CLOUD Act
Pour les usages courants où la donnée est sensible sans être stratégique, les API d’entreprise des grands fournisseurs (Azure OpenAI Service, AWS Bedrock, Vertex AI) sont la voie de référence. Le contrat (DPA) interdit l’usage des données pour l’entraînement. La rétention est plafonnée à 30 jours par défaut, avec option Zero Data Retention disponible sur dossier pour les cas sensibles. Le chiffrement est de bout en bout.
Reste le sujet du CLOUD Act. La loi américaine de 2018 permet aux agences fédérales d’exiger d’un fournisseur américain qu’il remette des données, indépendamment de leur localisation physique. Un mandat émis à Washington peut, en théorie, atteindre une donnée hébergée à Francfort.
Ce que l’on observe en 2026, c’est que les hyperscalers ont compris l’enjeu et investissent massivement pour s’extraire de cette contrainte sur leurs offres européennes :
- AWS European Sovereign Cloud a ouvert début 2026 dans le Brandebourg, après 7,8 milliards d’euros d’investissement. Séparation logique et physique complète, personnel exclusivement européen, propre autorité de certification et DNS indépendant, processeurs Nitro qui empêchent techniquement l’accès aux données par les employés.
- Microsoft a structuré son offre EU Data Boundary pour confiner les données et leur traitement au sein de l’Union européenne, avec un encadrement contractuel renforcé sur la chaîne d’accès.
- S3NS, la coentreprise majoritairement détenue par Thales en partenariat avec Google Cloud, propose une infrastructure exploitant les technologies Google (Vertex AI inclus) mais opérée de bout en bout par l’entité française, avec clés de chiffrement sous contrôle exclusif de S3NS. Qualifiée SecNumCloud 3.2 par l’ANSSI.
L’analyse honnête : ces architectures réduisent considérablement la surface d’exposition au CLOUD Act, sans la supprimer totalement pour les filiales d’origine américaine. Les coentreprises de type S3NS coupent juridiquement la chaîne de contrôle exigée par la loi américaine. Le choix entre ces options dépend du niveau de sensibilité de la donnée, du secteur (santé, défense, OIV), et de la tolérance au risque résiduel. Ce sujet recoupe directement celui de la souveraineté numérique, qui dépasse la seule question des API IA.
Pilier 3 · Les modèles ouverts sur cloud privé, pour les données qu’on ne peut pas perdre
Pour les données qu’aucune amende ne compense (algorithmes propriétaires, dossiers M&A, secrets industriels, données de défense), il existe une troisième voie. Faire tourner un modèle de pointe directement sur votre infrastructure, ou sur un cloud souverain européen.
Mistral, Llama, Qwen et leurs versions 2026 ont atteint un niveau de performance qui rivalise avec les modèles propriétaires fermés sur la majorité des cas d’usage entreprise (résumé, classification, extraction, génération de code, recherche augmentée). Les déployer sur OVHcloud, Scaleway, STACKIT ou en privé sur votre Azure ou AWS donne une garantie simple : rien ne sort. Le choix entre brancher le modèle sur vos données via du RAG ou le spécialiser par fine-tuning structure tout le projet (d’ailleurs, si vous voulez creuser cet arbitrage, on le détaille de bout en bout dans notre comparatif RAG vs fine-tuning).
La contrepartie : coût d’infrastructure et compétences d’opération. Faire tourner un Llama 3 en production avec les SLA d’une entreprise demande une équipe MLOps réelle. C’est souvent réservé aux cas d’usage où la valeur le justifie : un fonds d’investissement, un industriel sur ses bases de connaissance R&D, une banque sur ses modèles d’analyse de risque.
Ce qui sépare une expérimentation d’une vraie mise en production
Sur le papier, les trois piliers tiennent en une page. En pratique, la mise en production révèle des frictions que peu d’entreprises anticipent :
- La latence du proxy peut faire passer un temps de réponse de 800 ms à 2,3 s si elle est mal architecturée. Sur un agent conversationnel utilisé par 500 collaborateurs simultanément, ça tue l’adoption.
- La calibration de l’anonymisation n’est jamais binaire. Trop agressive, elle prive le LLM du contexte et fait chuter la qualité. Trop permissive, elle laisse passer des informations sensibles.
- La gouvernance des accès doit s’appliquer non plus aux utilisateurs, mais aux systèmes IA qui agissent en leur nom. Le RBAC classique ne suffit plus, il faut basculer vers de l’ABAC contextuel et du Just-in-Time access.
- Le suivi des logs et de la conformité doit être pensé dès le premier jour. Sans cela, le RSSI bloquera le déploiement en production.
Ces sujets ne se règlent pas avec un produit acheté sur étagère. Ils demandent une architecture pensée bout en bout, et une équipe qui sait opérer ces systèmes dans la durée.
La sécurité n’est pas l’ennemie de l’innovation
L’expérience des déploiements menés en 2024 et 2025 le montre nettement : les entreprises qui ont posé un cadre clair sont aussi celles où les collaborateurs ont le plus innové avec l’IA. Quand les règles sont explicites et les outils approuvés, les équipes osent. Quand tout est flou ou interdit, elles utilisent leur ChatGPT personnel en cachette, et c’est là que les fuites arrivent.
Le cadre de confiance n’est pas un frein. C’est la condition pour que l’IA passe de l’expérimentation à l’usage quotidien à l’échelle de l’entreprise. 88 % des entreprises utilisent l’IA, mais seulement 33 % parviennent à la déployer à l’échelle. La différence se joue sur ce cadre.
On en parle ?
Mettre en place une architecture proxy LLM, sélectionner les bonnes API entreprise selon le niveau de sensibilité, déployer un modèle ouvert sur cloud souverain : ce sont les chantiers qu’on mène chez nos clients en 6 à 8 semaines, avec un premier cas d’usage en production. Si c’est un sujet chez vous, écrivez à contact@bomzai.fr.