La rentabilité de l’IA et la souveraineté des données sont en contradiction, ce qui oblige les organisations mondiales à repenser les cadres de risque d’entreprise.
Pendant plus d’un an, le récit de l’IA générative s’est concentré sur une course aux capacités, mesurant souvent le succès en fonction du nombre de paramètres et de scores de référence erronés. Les conversations au sein des conseils d’administration subissent cependant une correction nécessaire.
Alors que l’attrait des modèles peu coûteux et performants offre une voie tentante vers une innovation rapide, les responsabilités cachées associées à la résidence des données et à l’influence de l’État obligent à réévaluer la sélection des fournisseurs. Le laboratoire d’IA basé en Chine DeepSeek est récemment devenu le point central de ce débat à l’échelle de l’industrie.
Selon Bill Conner, ancien conseiller d’Interpol et du GCHQ et actuel PDG de Jitterbit, l’accueil initial de DeepSeek a été positif car il a remis en question le statu quo en démontrant que « les grands modèles de langage très performants ne nécessitent pas nécessairement des budgets à l’échelle de la Silicon Valley ».
Pour les entreprises cherchant à réduire les immenses coûts associés aux pilotes d’IA générative, cette efficacité était naturellement attrayante. Conner observe que ces « faibles coûts de formation signalés ont indéniablement relancé les conversations de l’industrie sur l’efficacité, l’optimisation et l’IA « assez bonne » ».
Risques liés à l’IA et à la souveraineté des données
L’enthousiasme pour les performances à prix réduits s’est heurté aux réalités géopolitiques. L’efficacité opérationnelle ne peut être dissociée de la sécurité des données, en particulier lorsque ces données alimentent des modèles hébergés dans des juridictions dotées de cadres juridiques différents en matière de confidentialité et d’accès de l’État.
Les récentes révélations concernant DeepSeek ont modifié les calculs pour les entreprises occidentales. Conner souligne « les récentes révélations du gouvernement américain indiquant que DeepSeek non seulement stocke des données en Chine, mais les partage activement avec les services de renseignement de l’État ».
Cette divulgation déplace le problème au-delà de la conformité standard au RGPD ou au CCPA. Le « profil de risque dépasse les préoccupations typiques en matière de confidentialité et s’étend au domaine de la sécurité nationale ».
Pour les dirigeants d’entreprise, cela présente un danger spécifique. L’intégration LLM est rarement un événement autonome ; cela implique de connecter le modèle à des lacs de données propriétaires, à des systèmes d’information client et à des référentiels de propriété intellectuelle. Si le modèle d’IA sous-jacent possède une « porte dérobée » ou oblige le partage de données avec un appareil de renseignement étranger, la souveraineté est éliminée et l’entreprise contourne effectivement son propre périmètre de sécurité et efface tout avantage en matière de rentabilité.
Conner prévient que « l’implication de DeepSeek dans les réseaux d’approvisionnement militaire et les prétendues tactiques d’évasion du contrôle des exportations devraient servir de signal d’alarme critique pour les PDG, les DSI et les responsables des risques ». L’utilisation d’une telle technologie pourrait par inadvertance entraîner une entreprise dans des violations de sanctions ou dans des compromissions sur la chaîne d’approvisionnement.
Le succès ne dépend plus seulement de la génération de code ou des résumés de documents ; il s’agit du cadre juridique et éthique du prestataire. En particulier dans des secteurs comme la finance, la santé et la défense, la tolérance à l’ambiguïté concernant la traçabilité des données est nulle.
Les équipes techniques peuvent donner la priorité aux références de performances de l’IA et à la facilité d’intégration pendant la phase de validation de principe, négligeant potentiellement la provenance géopolitique de l’outil et la nécessité de souveraineté des données. Les responsables des risques et les DSI doivent mettre en place un niveau de gouvernance qui interroge le « qui » et le « où » du modèle, et pas seulement le « quoi ».
Gouvernance sur la rentabilité de l’IA
Décider d’adopter ou d’interdire un modèle d’IA spécifique est une question de responsabilité d’entreprise. Les actionnaires et les clients s’attendent à ce que leurs données restent sécurisées et utilisées uniquement aux fins commerciales prévues.
Conner définit cela explicitement pour les dirigeants occidentaux, déclarant que « pour les PDG, DSI et responsables des risques occidentaux, ce n’est pas une question de performance du modèle ou de rentabilité ». Au lieu de cela, « il s’agit d’une question de gouvernance, de responsabilité et de responsabilité fiduciaire ».
Les entreprises « ne peuvent pas justifier l’intégration d’un système dans lequel la résidence des données, l’intention d’utilisation et l’influence de l’État sont fondamentalement opaques ». Cette opacité crée une responsabilité inacceptable. Même si un modèle offre 95 % des performances d’un concurrent à moitié prix, le risque d’amendes réglementaires, d’atteinte à la réputation et de perte de propriété intellectuelle efface instantanément ces économies.
L’étude de cas DeepSeek sert d’incitation à auditer les chaînes d’approvisionnement actuelles en IA. Les dirigeants doivent s’assurer d’avoir une visibilité totale sur l’endroit où l’inférence du modèle se produit et qui détient les clés des données sous-jacentes.
À mesure que le marché de l’IA générative évolue, la confiance, la transparence et la souveraineté des données l’emporteront probablement sur l’attrait de la rentabilité brute.
