La première question que je pose à un dirigeant qui veut se lancer dans l’IA n’est pas quel outil. C’est quelles données, et où elles vont.
Parce qu’une IA branchée sur vos contenus, ce sont vos contrats, vos prix, vos clients, vos méthodes qui passent quelque part. Savoir où, c’est la base. Et beaucoup ne se posent jamais la question, jusqu’au jour où elle leur revient en pleine figure.
Quand un pays entier débranche un outil d’IA
En mars 2023, l’autorité italienne de protection des données, le Garante, a tout simplement bloqué ChatGPT sur le territoire italien, le temps que des garanties soient apportées sur le traitement des données personnelles. Un pays du G7 qui débranche l’outil d’IA le plus populaire du monde, ce n’est pas un détail. C’est le signal que la question des données n’est pas un caprice de juriste, mais un risque réel, capable d’arrêter net un usage qu’on croyait acquis.
Pour une entreprise, la leçon est claire. Ce qui peut faire reculer une autorité nationale peut aussi, à votre échelle, vous exposer à une plainte, à une fuite, ou simplement à la perte de la confiance d’un client qui découvre où ont atterri ses informations.
Les trois points à verrouiller en amont
Trois décisions méritent d’être prises avant la première ligne de code, pas après.
Le premier point, c’est l’endroit où les données sont traitées. Un outil grand public peut, selon ses conditions, conserver et réutiliser ce que vous lui envoyez. Pour des informations sensibles, ce n’est pas acceptable. Il faut savoir lire ces conditions, ou choisir une solution qui garde vos données chez vous. La différence entre un outil public et une IA privée se joue exactement là.
Le deuxième point, c’est qui a accès à quoi. Une IA qui répond à partir de vos documents ne doit pas révéler au premier commercial venu les fiches de paie, ni à un stagiaire la stratégie confidentielle. Les droits d’accès qui existent dans votre entreprise doivent se retrouver dans l’outil. Or c’est souvent oublié : on branche une IA sur tout, et on découvre qu’elle répond à tout le monde sur tout. Une IA bien conçue respecte les cloisons que vous avez déjà posées.
Le troisième point, c’est la traçabilité. En cas de doute, vous devez pouvoir savoir ce qui a été demandé, par qui, et sur quelles sources la réponse a été construite. Sans cette trace, vous pilotez à l’aveugle, et vous ne pourrez ni corriger une erreur ni répondre à une question gênante.
Ce n’est pas de la technique, c’est de l’organisation
Voici ce qui devrait rassurer un dirigeant qui ne se sent pas technique. Aucune de ces trois décisions ne demande de comprendre comment fonctionne un modèle. Ce sont des choix d’organisation et de bon sens. Où vivent mes informations sensibles ? Qui peut les voir ? Comment je garde une trace ? Un dirigeant sait répondre à ça mieux que n’importe quel ingénieur, parce que c’est lui qui connaît la valeur réelle de chaque information.
La nuance honnête, c’est que ces décisions se prennent avant, pas après. Une fois que les données circulent, les rattraper coûte cher, et parfois c’est trop tard, une information partie ne revient pas. C’est exactement la logique que je suis quand je conçois une IA privée pour une entreprise : on commence par dessiner où vit l’information et qui peut la voir. L’outil vient après. Dans le bon ordre, l’IA devient un atout sûr. Dans le désordre, c’est une fuite qui s’ignore, jusqu’à ce qu’un Garante, un client ou un concurrent vous rappelle qu’elle existait.