Ces 5 questions s'appliquent à tout fournisseur IA : SaaS avec LLM intégré, API de modèle, plateforme RAG, outil copilot. Posez-les lors de la phase commerciale, avant toute signature.

Question 1 : « Où sont hébergées mes données — y compris les logs d'inférence ? »

Pourquoi c'est important
La localisation contractuelle du siège social ne dit rien sur la localisation réelle des données. Un fournisseur « français » peut héberger ses modèles sur AWS us-east-1. Ce qui compte : où transitent les requêtes et où sont stockés les logs.

Réponse acceptable
« Toutes les données — requêtes, réponses, logs — sont hébergées en France ou dans l'UE, chez [nom de l'hébergeur]. Je vous fournis le sous-traitant dans notre DPA. » Une réponse précise avec un hébergeur nommé est un bon signe.

Red flags
« Nos données sont sécurisées » sans préciser où. « Nous utilisons AWS / Azure / GCP » sans préciser la région. « Ça dépend de la configuration » sans vous aider à configurer correctement.

Question 2 : « Est-ce que vous utilisez mes données pour entraîner ou améliorer vos modèles ? »

Pourquoi c'est important
Plusieurs fournisseurs IA grand public utilisent par défaut les interactions pour améliorer leurs modèles. En B2B, vos données (contrats, données clients, stratégie) pourraient se retrouver dans un dataset d'entraînement. Le RGPD encadre cela, mais contractuellement, tout dépend de ce qui est écrit.

Réponse acceptable
« Non, vos données ne sont jamais utilisées pour entraîner nos modèles ou ceux de nos sous-traitants. C'est contractuellement garanti à l'article X de notre DPA. » Exigez que ce soit dans le contrat, pas juste dans la FAQ.

Red flags
« Par défaut non, mais vous pouvez choisir de contribuer à l'amélioration » — vérifiez si l'opt-out est actif par défaut. « Nous utilisons des données anonymisées » — l'anonymisation des données IA est souvent discutable. Silence ou réponse vague sur ce point précis.

Question 3 : « Quel est votre plan de sortie (exit) si nous mettons fin au contrat ? »

Pourquoi c'est important
La dépendance fournisseur (vendor lock-in) est un risque sous-estimé dans les projets IA. Si le fournisseur augmente ses prix de 50%, change ses CGU ou est racheté, vous devez pouvoir partir sans perdre vos données et votre travail.

Réponse acceptable
« Vous pouvez exporter toutes vos données dans un format standard (JSON, CSV) à tout moment. Après résiliation, vos données sont disponibles pendant 30 jours puis définitivement supprimées. Nous documentons l'API pour faciliter la migration. »

Red flags
Pas de procédure d'export documentée. Données exportables seulement dans un format propriétaire. Délai de suppression après résiliation non précisé. Fine-tuning ou configurations non exportables.

Question 4 : « Avez-vous un DPA conforme RGPD, et couvre-t-il spécifiquement les traitements IA ? »

Pourquoi c'est important
Un DPA générique rédigé avant l'ère des LLM ne couvre pas les spécificités du traitement IA : logs d'inférence, données dans le contexte, apprentissage continu, sous-traitants du modèle de base. Un DPA IA doit être plus précis qu'un DPA hébergement classique.

Réponse acceptable
Le fournisseur vous remet un DPA signable qui mentionne explicitement : la liste des sous-traitants (y compris le fournisseur du modèle de base), la durée de conservation des logs d'inférence, l'interdiction d'entraînement et les mécanismes d'effacement.

Red flags
DPA générique sans mention de l'IA. DPA disponible « sur demande » avec des délais. Références aux CGU du fournisseur du modèle de base sans les annexer. Sous-traitants non listés ou liste « susceptible d'être modifiée sans préavis ».

Question 5 : « Êtes-vous soumis au Cloud Act américain ? »

Pourquoi c'est important
Le Cloud Act permet aux autorités américaines d'accéder aux données détenues par des entreprises américaines, quelle que soit la localisation des serveurs. Une injonction judiciaire américaine peut contraindre un fournisseur à livrer vos données hébergées en France, sans vous en informer.

Réponse acceptable
Pour un fournisseur européen : « Non, nous sommes une entité de droit [français/allemand/etc.], sans maison mère américaine. Le Cloud Act ne s'applique pas à nous. » Pour un fournisseur américain qui reconnaît le risque : « Oui, nous y sommes soumis. Pour les données ultra-sensibles, nous proposons une option d'hébergement via un opérateur mandataire européen [nom] qui coupe ce lien. »

Red flags
« Nous respectons le RGPD » — ce n'est pas une réponse à la question Cloud Act. « Nos données sont en Europe donc nous ne sommes pas concernés » — c'est faux si l'entité est américaine. Silence ou esquive sur la nationalité juridique de l'entité qui détient les données.

À retenir

  • Ces 5 questions doivent être posées par écrit et les réponses doivent être dans le contrat, pas seulement dans un email commercial
  • Un fournisseur sérieux a des réponses prêtes à ces questions — l'hésitation est déjà un signal
  • Pour les données sensibles, exigez systématiquement un hébergeur européen nommé et un DPA spécifique IA
  • Pour aller plus loin : Cloud Act : ce que ça change vraiment pour vos données