Équilibrer la souveraineté des données et l'IA
Comment préserver la régionalité des données sensibles pendant l'utilisation de l'IA
Conserver les données à leur place
Face à la complexité croissante des réglementations en matière de données, la provenance des données, leur destination et l'identité des personnes qui les traitent deviennent chaque jour plus importantes. Dans de nombreuses régions du monde, la réglementation relative aux données exige que ces dernières demeurent dans leur région d'origine, à moins que des entreprises externes ne puissent démontrer leur conformité à ces réglementations. Ce concept est appelé « souveraineté des données » : l'idée que le traitement des données est réglementé par les législations des pays ou des régions dans lesquels elles sont traitées.
Pourtant, même si la région ou le fournisseur vers lequel sont transférées les données sont eux-mêmes conformes à la réglementation, les transferts de données transfrontaliers peuvent entraîner des violations. Par exemple, les agences gouvernementales de certains pays peuvent être habilitées à examiner les données franchissant leurs frontières, ce qui pourrait alors enfreindre les réglementations relatives aux données imposées par d'autres pays.
Les entreprises qui transfèrent des données hors de leur région d'origine sans avoir déployé une protection adéquate peuvent s'exposer à de graves conséquences juridiques et financières. À titre d'exemple, en 2023, Meta s'est vue infliger une amende de 1,3 milliard de dollars pour avoir transféré des données personnelles depuis l'UE vers les États-Unis sans avoir déployé de mesures de protection adéquates pour assurer la confidentialité des données transférées.
Ce constat a donné naissance au concept de régionalisation des données : pour préserver la conformité réglementaire en matière de données et la confiance des consommateurs, les entreprises sont souvent confrontées à la nécessité de conserver les données sur leur territoire géographique.
Le fondement de la régionalisation des données est que les données sont conservées dans un pays ou une région donnés, et non transférées au-delà des frontières, avant d'être traitées ou stockées sur des serveurs situés dans des régions distantes. Cependant, cette approche rend plus complexes l'informatique cloud et le recours à des services tiers externes, car ces services ne sont généralement pas régionalisés de cette manière. Les datacenters du cloud sont situés partout dans le monde, indépendamment de l'endroit où sont basés les services qu'ils prennent en charge.
Cela signifie que, pour de nombreuses entreprises, la nécessité de régionaliser les données peut entrer en conflit avec l'un des plus importants services dans le cloud disponibles aujourd'hui : l'intelligence artificielle (IA).
L'IA s'est imposée comme un outil puissant pour les entreprises
Ces dernières années, l'association d'équipements plus puissants et de logiciels toujours plus perfectionnés a entraîné une véritable explosion des capacités de l'IA. Les entreprises intègrent l'IA à leurs processus dans le but de faciliter la modélisation prédictive, la formulation d'idées de contenu, la recherche, l'analyse des sentiments et l'automatisation du service à la clientèle. Des cabinets d'analyse tels que McKinsey continuent à se montrer optimistes quant à l'expansion des scénarios d'utilisation professionnelle de l'IA générative (GenAI). Cependant, la plupart des entreprises ne disposent pas du temps ou des ressources nécessaires pour développer leurs propres modèles d'IA, et sont donc tributaires de fournisseurs externes pour pouvoir utiliser ces technologies.
Le fonctionnement de l'IA, toutefois, est tributaire de l'ingestion d'importants volumes de données. Les modèles d'IA reposent sur de grands ensembles de données, utilisés pour former des algorithmes complexes. Les grands ensembles de données peuvent être (et sont) stockés dans différents endroits, mais leur évolutivité nécessite que les données d'apprentissage utilisées pour former l'IA soient pratiquement toujours stockées dans le cloud, au sein de datacenters présents dans le monde entier. (Extrait de la FAQ des services pour consommateurs d'OpenAI : « Le contenu est stocké sur les systèmes d'OpenAI et les systèmes de nos prestataires de services de confiance aux États-Unis et dans le monde entier. » [les caractères gras ont été ajoutés])
Cela signifie que les données transférées vers l'IA ou utilisées pour former des modèles d'IA générative échappent au contrôle de l'entreprise qui détenait à l'origine les données et résident très probablement hors de la région géographique d'où elles proviennent.
À mesure que les modèles reçoivent des données, leur affinage se poursuit. Cela signifie que les données entrantes peuvent influencer les résultats futurs, voire réapparaître sous forme de résultats futurs (ces derniers constituent d'ailleurs un risque pour les données sensibles, qui ont conduit certaines entreprises à interdire l'utilisation de l'IA générative par leur personnel). Le déroulement de cette opération se caractérise souvent par une visibilité très limitée, car les utilisateurs de l'IA peuvent ne pas savoir où se trouvent les machines qui traitent les données qu'ils fournissent. Parmi les autres sources de préoccupation figure également l'IA fantôme (ou Shadow AI), c'est-à-dire l'utilisation non autorisée d'outils d'IA, sans la visibilité ou l'autorisation des équipes informatiques.
Dans de nombreuses juridictions, l'IA fantôme peut potentiellement mettre les entreprises en situation de conflit avec les exigences en matière de souveraineté des données. Parmi les risques liés au non-respect de ces exigences figurent des amendes (allant d'amendes modestes à la colossale amende infligée à Meta), des sanctions et l'atteinte à la réputation publique et à la confiance des clients.
D'un autre côté, les risques qu'entraînent la réticence à utiliser l'IA et le retard pris par rapport à la concurrence constituent une menace similaire pour les entreprises.
Pour résumer, l'IA est extrêmement utile, mais elle peut comporter un risque pour les entreprises soumises à des réglementations strictes en matière de données – à moins qu'elles ne parviennent à adopter, autour de l'IA, une approche respectueuse de la souveraineté des données.
Options permettant de tirer parti de l'IA sans franchir les frontières
Comment les entreprises peuvent-elles utiliser l'IA tout en évitant le risque de voir leurs données franchir des frontières géographiques ? Elles doivent adopter une approche alliant une puissance de calcul élevée, capable de prendre en charge des modèles d'IA complexes, à un traitement régionalisé. Les entreprises doivent également s'assurer qu'elles contrôlent l'endroit où leurs données sont stockées et traitées, aussi bien en transit qu'au repos.
La meilleure voie à suivre est donc celle de la régionalisation des données associée à des instances IA locales, soit développées sur une plateforme tierce, soit préalablement développées par un fournisseur. La régionalisation complète des données implique le contrôle total de l'endroit où sont stockées les données, de l'endroit depuis lequel elles sont servies aux utilisateurs et de l'endroit où sont stockées les clés cryptographiques (puisque cet aspect détermine l'endroit où les données existent sous leur forme déchiffrée). Ces capacités doivent être intégrées à un puissant réseau mondial d'IA, doté d'une présence régionale, disposant d'une puissance de calcul suffisante et disponible à la demande pour exécuter des modèles d'IA.
Les entreprises confrontées à la fois à la nécessité d'utiliser l'IA et aux exigences relatives à la régionalisation des données doivent pouvoir se fier à un partenaire capable de comprendre ces exigences et de les prendre en charge. Cloudflare propose une suite de régionalisation des données, conçue pour soutenir toutes les entreprises qui doivent se conformer à différentes exigences en matière de souveraineté des données. Et surtout, Cloudflare for AI offre un accès à des processeurs graphiques partout dans le monde, et fournit aux développeurs des moyens rapides d'intégrer des modèles d'IA répandus.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Comment la localisation des données contribue à assurer la conformité avec les cadres réglementaires
Le conflit entre les services d'IA et la préservation de la régionalisation des données
Une solution technologique pour préserver la régionalisation des données lors de l'utilisation de l'IA
Ressources associées
Approfondir le sujet
Pour découvrir comment simplifier et sécuriser les initiatives en matière d'IA, consultez l'ebook « Le cloud de connectivité : une approche pour reprendre le contrôle de l'informatique et de la sécurité ».