Les données d’entreprise ne sont pas simplement des informations techniques. Elles contiennent des connaissances, des processus, des informations clients, des contrats, des procédures internes, l’état d’avancement des projets, le contenu des échanges, des décisions et souvent aussi des secrets d’affaires.

Dans le cadre de l’utilisation de l’IA, il est donc essentiel de savoir où les données sont traitées, qui peut y avoir techniquement accès et à quel ordre juridique est soumis le prestataire utilisé.

Un sujet important dans ce contexte est le US CLOUD Act.

La désignation exacte est la suivante :

Clarifying Lawful Overseas Use of Data Act, en abrégé CLOUD Act.

Le CLOUD Act est une loi américaine de 2018 et a notamment complété le US Stored Communications Act. En vertu du 18 U.S. Code § 2713, certains fournisseurs américains peuvent être tenus de remettre des données qui se trouvent en leur possession, sous leur garde ou sous leur contrôle, indépendamment du fait que ces données soient stockées à l’intérieur ou à l’extérieur des États-Unis.

Que réglemente le US CLOUD Act ?

Le CLOUD Act vise à faciliter l’accès des autorités d’enquête aux informations électroniques, en particulier lorsque des données sont stockées chez des fournisseurs de communication ou de cloud opérant à l’échelle mondiale. Le ministère américain de la Justice décrit l’objectif principalement dans le contexte d’enquêtes sur des infractions graves et de preuves électroniques.

Important : le CLOUD Act ne signifie pas que les autorités américaines peuvent accéder arbitrairement et sans procédure à toutes les données. Il s’agit de demandes légales de remise de données adressées à des fournisseurs soumis à la juridiction américaine.

Pour les entreprises européennes, le point reste néanmoins pertinent : ce n’est pas seulement le lieu de stockage qui compte, mais aussi l’ordre juridique auquel le fournisseur est soumis et s’il peut techniquement contrôler les données.

Pourquoi est-ce critique pour les données d’entreprise ?

Pour les entreprises, le CLOUD Act est surtout critique parce que la souveraineté des données ne découle pas à elle seule d’un centre de données situé en Europe.

Lorsqu’un fournisseur est soumis à un ordre juridique non européen et qu’il a en même temps accès aux données ou peut les contrôler, des conflits juridiques peuvent apparaître. Cela concerne notamment les données d’entreprise confidentielles, les secrets d’affaires, les communications internes, les données sensibles des clients, les données de projet, la documentation technique ou les bases de connaissances pour l’IA.

Sur le plan du droit de la protection des données, il faut ajouter que le RGPD impose des exigences particulières pour les transferts de données à caractère personnel en dehors de l’Espace économique européen. Le Comité européen de la protection des données souligne que, lors de transferts internationaux de données, un niveau de protection des données essentiellement équivalent à la protection européenne doit être garanti.

Les autorités européennes de protection des données voient également un risque lorsque des données particulièrement sensibles sont stockées chez des fournisseurs qui ne sont pas soumis exclusivement au droit européen. La CNIL, l’autorité française de protection des données, indique que les données détenues par des entreprises soumises à un droit non européen peuvent être exposées à un risque de remise à des autorités étrangères. Pour les traitements particulièrement sensibles, elle recommande des fournisseurs soumis exclusivement au droit européen et offrant un niveau de protection adéquat.

Qu’est-ce que cela signifie pour les systèmes d’IA ?

Les systèmes d’IA traitent souvent des informations d’entreprise particulièrement précieuses. Il s’agit par exemple de documents, de bases de connaissances internes, de configurations système, d’historiques de chat, de contenus de réunions, de dossiers de projet, de connaissances sur les processus, de données clients et d’informations techniques.

Lorsque de telles données sont intégrées dans des systèmes d’IA, il faut définir clairement :

• où les données sont stockées et traitées,
• quels prestataires sont impliqués,
• à quel ordre juridique ces prestataires sont soumis,
• quels accès sont techniquement possibles,
• quelles données sont chiffrées ou stockées séparément,
• quelles données peuvent être exportées, supprimées ou restreintes,
• si et comment les données clients sont utilisées pour les fonctions d’IA.

Pour Vimmera, une chose est donc claire :

L’IA ne doit pas déplacer de manière incontrôlée les connaissances de l’entreprise vers des systèmes tiers. L’IA doit être conçue de manière à préserver la souveraineté des données, la sécurité et la transparence.

Comment Vimmera a-t-elle conçu sa structure en conséquence ?

Vimmera développe et exploite des solutions d’IA pour les entreprises avec un accent particulier sur la protection des données, la sécurité des données et un traitement contrôlé des données. La structure technique est conçue pour ne pas divulguer inutilement les données d’entreprise, limiter les accès et maintenir la traçabilité des flux de données.

Traitement orienté vers l’Europe

Dans la conception de son logiciel, de ses données et de son infrastructure d’hébergement, Vimmera mise sur un traitement aussi orienté que possible vers l’Europe. L’objectif est de traiter les données d’entreprise, dans la mesure du possible, au sein de l’UE ou de l’Espace économique européen et d’éviter les liens avec des pays tiers ou, à tout le moins, de les sécuriser de manière contrôlée.

Ce n’est qu’à la demande expresse et avec un marquage clair que sont utilisés des systèmes soumis au US CLOUD Act !

Mesures contractuelles et techniques de protection

Lorsque des prestataires sont intégrés, cela se fait sur la base de dispositions contractuelles appropriées, de mesures techniques de protection et de responsabilités documentées.

Cela peut notamment inclure :

• des contrats de sous-traitance,
• des clauses de confidentialité,
• des mesures techniques et organisationnelles,
• des restrictions d’accès,
• le chiffrement,
• des concepts de suppression et de conservation,
• la journalisation,
• l’examen des sous-traitants,
• des règles relatives au lieu de stockage et aux flux de données.

Notre compréhension

Le US CLOUD Act montre pourquoi l’architecture technique et le cadre juridique doivent être pensés ensemble.

Il ne suffit pas d’examiner l’IA uniquement sous l’angle fonctionnel. Il est également décisif de savoir si un système répond aux exigences de protection d’une entreprise.

Vimmera développe donc des solutions d’IA non pas selon le principe « tout dans un grand cloud », mais avec une structure claire :

• traitement aussi européen que possible,
• sélection contrôlée des prestataires,
• espaces de données séparés,
• droits d’accès clairs,
• flux de données traçables,
• possibilités d’exportation et de suppression,
• sécurisation contractuelle,
• protection des connaissances de l’entreprise.