Adopter une IA, c'est souvent lui confier vos données les plus sensibles : emails, contrats, fiches clients. En tant que responsable de traitement, vous restez juridiquement comptable de ce qu'il advient de ces données. Avant de signer avec un fournisseur — Halirom compris — posez ces cinq questions. Si une réponse est floue, c'est un signal.
Où sont hébergées mes données, et qui peut y accéder ?
Demandez la localisation physique des données et le rattachement juridique du fournisseur. Un hébergeur américain, même avec des serveurs en Europe, peut être soumis au Cloud Act. Exigez une réponse écrite sur la localisation et sur la liste des personnes et sous-traitants pouvant accéder à vos données.
Mes données servent-elles à entraîner les modèles ?
C'est la question la plus souvent éludée. Certains services réutilisent les contenus soumis pour améliorer leurs modèles, ce qui peut exposer des informations confidentielles. Exigez un engagement clair : vos données ne sont pas utilisées pour l'entraînement, sauf accord explicite et révocable.
Y a-t-il un contrat de sous-traitance (DPA) conforme ?
Le RGPD impose un contrat de sous-traitance (article 28) entre vous (responsable de traitement) et le fournisseur (sous-traitant). Il doit préciser les finalités, les durées de conservation, les mesures de sécurité et le sort des données en fin de contrat. Pas de DPA = pas de signature.
Comment sont gérés les droits des personnes ?
Accès, rectification, effacement, portabilité : vos clients et salariés disposent de droits que vous devez pouvoir exercer. Vérifiez que le fournisseur permet concrètement de retrouver, corriger et supprimer les données d'une personne, et qu'un journal d'audit trace les accès. La traçabilité est votre meilleure preuve en cas de contrôle.
Puis-je récupérer mes données et partir ?
La réversibilité est trop souvent négligée. Demandez sous quel format et dans quel délai vous pouvez exporter l'intégralité de vos données, et ce qu'il en advient après résiliation. Un fournisseur confiant dans son produit n'a aucune raison de rendre la sortie difficile.
En résumé
Hébergement et accès, entraînement des modèles, contrat de sous-traitance, droits des personnes, réversibilité : ces cinq points couvrent l'essentiel du risque RGPD d'un projet d'IA. Halirom a été conçu pour répondre « oui » à chacun — données chez vous, hors Cloud Act, DPA fourni, journal d'audit complet, export à tout moment — mais la check-list vaut pour tout fournisseur que vous évaluerez.
Cet article a une vocation pédagogique et ne constitue pas un avis juridique. Pour votre situation précise, consultez votre conseil ou votre DPO.