Sécurité IA dans le secteur public : ENS et RGPD
L'adoption de l'Intelligence Artificielle dans le secteur public est passée d'une curiosité à une nécessité stratégique. Cependant, pour tout responsable de la technologie (CIO), délégué à la protection des données (DPO) ou responsable de la sécurité (CISO), l'efficacité opérationnelle ne peut jamais primer sur la sécurité.
La peur du "Shadow AI" (l'utilisation non autorisée d'outils d'IA par les employés) est réelle. Nous avons vu des cas de fuite de code ou d'autres types d'informations sensibles dans le secteur privé. Dans l'administration publique, une erreur similaire n'est pas une perte financière ; c'est une violation de la sécurité nationale ou de la vie privée du citoyen.
Lorsqu'une institution publique télécharge un cahier des charges dans le cloud, la question critique n'est pas "que peut faire l'IA avec ça ?", mais "où vont mes données, qui les voit et sont-elles utilisées pour entraîner le modèle ?".
Dans cet article technique, nous décortiquons l'architecture de sécurité de Tendios et comment nous garantissons le respect du Schéma National de Sécurité (ENS) et du RGPD dans les environnements GovTech.
L'architecture de l'isolement : votre "Coffre-fort" numérique
Le plus grand mythe —et risque— des Grands Modèles de Langage (LLM) est la confidentialité du "prompt". Les outils gratuits utilisent souvent vos données pour réentraîner leurs futurs modèles. Chez Tendios, la politique est catégorique : Vos données sont à vous. Nous n'entraînons jamais de modèles avec les données des clients.
Pour garantir cela, nous utilisons une architecture d'isolement logique strict (Single-Tenant Logic). Même si le moteur de traitement est puissant, vos données ne se mélangent jamais.
Glossaire technique : comment protégeons-nous l'information ?
Pour les profils techniques, voici comment nous traduisons notre architecture et notre sécurité :
- RAG (Base de données vectorielle) avec traçabilité : Nous utilisons la technologie RAG sur une base de données vectorielle qui permet la vérification documentaire. Cela garantit que l'IA n'"hallucine" pas ni n'invente de données, offrant toujours des réponses fondées et traçables, contrairement aux modèles génériques.
- Conformité et sécurité des données européennes : La plateforme est conçue en priorisant la conformité normative, la protection et la sécurité des données conformément aux normes européennes.
- IA Spécialisée et Centralisée : Nous n'utilisons pas de modèle généraliste ; nous opérons avec une IA spécialisée dans la complexité normative et documentaire de la Commande Publique, centralisant toute l'activité sur une plateforme all-in-one pour éviter la fragmentation de l'information.
Conformité normative et certifications
Dans la commande publique, la sécurité ne se promet pas ; elle se certifie. Notre infrastructure est alignée sur les exigences les plus strictes du secteur public espagnol et européen.
Schéma National de Sécurité (ENS)
Nous travaillons sur une infrastructure certifiée dans le Schéma National de Sécurité (Catégorie Haute). Tendios met en œuvre les mesures de sécurité organisationnelles, opérationnelles et de protection exigées pour garantir la confidentialité, l'intégrité, la traçabilité, l'authenticité et la disponibilité de l'information publique.
ISO 27001 et 27018
Nos processus et fournisseurs de cloud respectent la norme ISO/IEC 27001 (Sécurité de l'Information) et ISO/IEC 27018 (Protection des données personnelles dans le cloud) en s'alignant sur les exigences du RGPD et en assurant l'existence de contrôles auditables sur qui accède à quelle donnée et quand.
Résidence de la donnée (RGPD)
Contrairement aux outils qui acheminent les données par des serveurs aux États-Unis, nous garantissons la souveraineté de la donnée. Toute l'information traitée par Tendios réside et est traitée exclusivement au sein de l'Espace Économique Européen (EEE), éliminant les risques de transferts internationaux non conformes.
Pour se conformer au RGPD, Tendios n'utilise pas vos données stratégiques pour entraîner des modèles publics. Cette approche d'architecture fermée, basée sur la technologie RAG, fait toute la différence en matière de sécurité par rapport aux outils généralistes en garantissant que l'IA fonctionne dans un environnement véridique et exempt des hallucinations typiques de modèles tels que RAG vs ChatGPT dans les marchés publics.
Comparatif : IA publique vs Cloud générique vs Tendios
Toutes les IA privées ne sont pas égales. Quelle est la différence réelle entre contracter une API d'Azure OpenAI "brute" et utiliser Tendios ?
| Caractéristique | IA publique (ChatGPT Free/Plus) | Cloud générique (Azure/AWS) | GovTech spécialisé (Tendios) |
|---|---|---|---|
| Entraînement avec vos données | Oui (Par défaut) | NON (Configurable) | JAMAIS (Par conception) |
| Résidence de la donnée | Mondial (États-Unis) | Configurable | Union Européenne (Garanti) |
| Conformité ENS | Non conçu pour cela | Nécessite configuration complexe | Natif (Out-of-the-box) |
| Effacement des données | Difficile à vérifier | Politiques de rétention | Contrôle total de l'utilisateur (Élimination immédiate sur demande/à la clôture du dossier) |
| Traçabilité des accès | Limitée | Logs techniques complexes | Audit complet de l'utilisateur |
Foire aux questions sur la sécurité en IA (FAQ)
Est-il sûr de télécharger des cahiers des charges avec des données personnelles sur Tendios ?
Oui. En plus du cryptage, nous appliquons des techniques d'obfuscation ou de pseudonymisation là où c'est possible. De plus, en signant le contrat de Sous-traitant du Traitement (Art. 28 RGPD), nous assumons les obligations légales de protection de ces données.
Que se passe-t-il si j'utilise ChatGPT pour rédiger un cahier des charges ?
Vous exposez des informations publiques (et potentiellement confidentielles) à des serveurs hors de votre contrôle qui peuvent les utiliser pour apprendre. Cela pourrait constituer une infraction au devoir de garde de l'information administrative.
Avez-vous accès à mes données ?
Nous appliquons le principe de Least Privilege. Notre équipe technique n'a pas accès à vos dossiers sauf autorisation expresse et temporaire pour le support, et tous les accès sont enregistrés dans les logs d'audit.
Conclusion : Innover sans s'exposer
La modernisation de l'administration ne nécessite pas d'assumer des risques incontrôlés. Il est possible de profiter de la puissance de l'intelligence artificielle générative tout en maintenant les normes les plus élevées de sécurité et de souveraineté numérique.
Choisir une plateforme spécialisée n'est pas seulement une question de fonctionnalités ("qu'elle réponde bien") ; c'est la seule façon de garantir que les données publiques restent, à tout moment, sous contrôle.
Articles connexes
