L’efficacité économique de l’IA et la souveraineté des données s’opposent, obligeant à repenser les cadres de gestion des risques des entreprises mondiales. Pendant plus d’un an, le récit de l’IA générative s’est concentré sur une course à la capacité, mesurant souvent le succès par le nombre de paramètres et des scores de référence défectueux. Cependant, les conversations en salle de conseil subissent une correction nécessaire.
Alors que l’attrait des modèles à bas coût et à haute performance offre un chemin tentant vers l’innovation rapide, les responsabilités cachées liées à la résidence des données et à l’influence étatique obligent à une réévaluation de la sélection des fournisseurs. Le laboratoire d’IA basé en Chine, DeepSeek, est devenu récemment un point focal de ce débat à l’échelle de l’industrie.
Selon Bill Conner, ancien conseiller d’Interpol et du GCHQ, et actuel PDG de Jitterbit, la réception initiale de DeepSeek a été positive car elle remettait en question le statu quo en démontrant que « les grands modèles linguistiques performants ne nécessitent pas nécessairement des budgets de la Silicon Valley ». Pour les entreprises cherchant à réduire les coûts énormes associés aux pilotes d’IA générative, cette efficacité était compréhensiblement attrayante.
L’enthousiasme pour des performances à bas prix se heurte à des réalités géopolitiques. L’efficacité opérationnelle ne peut être dissociée de la sécurité des données, en particulier lorsque ces données alimentent des modèles hébergés dans des juridictions avec des cadres juridiques différents en matière de confidentialité et d’accès de l’État.
Les récentes révélations concernant DeepSeek ont modifié les données pour les entreprises occidentales. Conner souligne « les récentes révélations du gouvernement américain indiquant que DeepSeek ne stocke pas seulement des données en Chine, mais les partage activement avec les services de renseignement de l’État. » Cette divulgation déplace le problème au-delà de la simple conformité GDPR ou CCPA. Le « profil de risque s’intensifie au-delà des préoccupations de confidentialité typiques pour s’installer dans le domaine de la sécurité nationale ».
Pour les dirigeants d’entreprise, cela présente un danger spécifique. L’intégration des LLM n’est jamais un événement isolé ; elle implique de connecter le modèle à des réservoirs de données propriétaires, des systèmes d’information client et des référentiels de propriété intellectuelle. Si le modèle d’IA sous-jacent possède une « porte dérobée » ou oblige à partager des données avec un appareil de renseignement étranger, la souveraineté est éliminée et l’entreprise contourne effectivement sa propre périmètre de sécurité et efface tout avantage en termes d’efficacité économique.
Conner met en garde contre le fait que « l’implication de DeepSeek dans les réseaux de passation de marchés militaires et les tactiques présumées d’évasion des contrôles à l’exportation devrait servir de signal d’alarme critique pour les PDG, les CIO et les responsables des risques ». L’utilisation de cette technologie pourrait involontairement impliquer une entreprise dans des violations de sanctions ou des compromissions de la chaîne d’approvisionnement.
Le succès ne se limite plus à la génération de code ou à des résumés de documents ; il s’agit du cadre légal et éthique du fournisseur. Surtout dans des industries comme la finance, la santé et la défense, la tolérance à l’ambiguïté concernant la généalogie des données est nulle.
Les équipes techniques peuvent privilégier les benchmarks de performance de l’IA et la facilité d’intégration pendant la phase de preuve de concept, en négligeant potentiellement la provenance géopolitique de l’outil et la nécessité de la souveraineté des données. Les responsables des risques et les CIO doivent imposer une couche de gouvernance qui interroge le « qui » et le « où » du modèle, pas seulement le « quoi ».
Décider d’adopter ou d’interdire un modèle d’IA spécifique relève de la responsabilité d’entreprise. Les actionnaires et les clients s’attendent à ce que leurs données restent sécurisées et utilisées uniquement à des fins commerciales prévues.
Conner le formule explicitement pour les dirigeants occidentaux, en affirmant que « pour les PDG, les CIO et les responsables des risques occidentaux, il ne s’agit pas d’une question de performance du modèle ou d’efficacité économique ». Au contraire, « il s’agit d’une question de gouvernance, de responsabilité et de responsabilité fiduciaire ».
Les entreprises « ne peuvent pas justifier l’intégration d’un système où la résidence des données, l’intention d’utilisation et l’influence de l’État sont fondamentalement opaques ». Cette opacité crée une responsabilité inacceptable. Même si un modèle offre 95 % des performances d’un concurrent à moitié prix, le potentiel d’amendes réglementaires, de dommages à la réputation et de perte de propriété intellectuelle efface instantanément ces économies.
L’étude de cas de DeepSeek sert de rappel pour auditer les chaînes d’approvisionnement actuelles en IA. Les dirigeants doivent s’assurer qu’ils ont une visibilité complète sur l’endroit où l’inférence du modèle se produit et qui détient les clés des données sous-jacentes.
À mesure que le marché de l’IA générative mûrit, la confiance, la transparence et la souveraineté des données l’emporteront probablement sur l’attrait de l’efficacité économique brute.