Points clés
- DeepSeek API présente le risque RGPD le plus élevé de tous les grands LLM car les serveurs sont soumis à la loi chinoise sur l'accès aux données (PIPL) ; Qwen et Llama locaux portent un risque équivalent plus faible
- Claude et les API GPT-4o avec résidence des données dans l'UE portent un risque moyen et nécessitent des clauses contractuelles types (CCT)
- Piles recommandées : startups (Claude + CCT), organisations sensibles aux données (Qwen 24 Go local), entreprises (Qwen multi-GPU + air-gap)
- La matrice de décision des risques couvre cinq vecteurs : résidence des données, juridiction des données d'entraînement, conservation des données ToS et exigence CCT/TIA
- Les modèles Qwen et Llama locaux satisfont les articles 44 (pas de transfert), 25 (protection des données dès la conception) et 32 (sécurité)
Quatre vecteurs de risque RGPD pour les LLM
Le risque RGPD pour les LLM est déterminé par quatre facteurs indépendants : résidence des données, juridiction des données d'entraînement, politiques de conservation des données ToS et exigences CCT/TIA.
Matrice de risque : comparaison modèle par modèle
Le tableau ci-dessous résume le profil de risque RGPD de chaque option de déploiement.
Verdict par modèle et utilisation recommandée
Utilisez cette section pour comprendre quand chaque déploiement est approprié pour votre posture de conformité RGPD.
Pile recommandée par type d'organisation
La bonne pile LLM dépend de la sensibilité des données, du budget et de la posture de conformité de votre organisation.
DeepSeek est-il conforme au RGPD si je l'utilise avec une CCT ?
Non. Les CCT seules ne satisfont pas les transferts RGPD Article 44 vers la Chine continentale car : (1) il n'y a pas de décision d'adéquation UE-Chine post-Schrems II ; (2) la loi chinoise (PIPL) mandate que les entreprises partagent les données avec les autorités gouvernementales ; (3) les principaux fournisseurs refusent d'opérer avec des CCT en Chine. Pour les données personnelles des résidents de l'UE, n'utilisez pas DeepSeek API. Si vous avez besoin de DeepSeek, utilisez les poids locaux.
L'utilisation de Claude EU avec CCT satisfait-elle le RGPD ?
Essentiellement oui, avec des réserves. Claude EU garde vos données en Irlande ou en Allemagne pendant le traitement et les supprime dans les 30 jours. Anthropic a publié une CCT conforme au RGPD. Cependant, les données d'entraînement de Claude sont toujours basées aux États-Unis, et Anthropic est une entreprise américaine. Pour la conformité pratique, Claude EU + CCT est acceptable. Pour la position la plus solide (sans risque de transfert), utilisez Qwen ou Llama locaux.
Puis-je utiliser Llama 4 Scout comme remplacement pour Claude ?
Pour la conformité RGPD : oui. Llama est open-source et peut s'exécuter localement, il satisfait donc les articles 44, 25 et 32 complètement. Pour les capacités : peut-être. Testez sur votre charge de travail d'abord. Pour les tâches simples de questions-réponses et de résumé, Llama 4 Scout est compétitif.
Que se passe-t-il si j'enregistre mes prompts localement à des fins d'audit ?
L'enregistrement est encouragé pour la conformité Article 30. Enregistrez : nom du modèle, horodatage de la session, nombre de jetons d'entrée, nombre de jetons de sortie et un hash SHA-256 du prompt et de la réponse. N'enregistrez PAS le texte brut des prompts contenant des données personnelles. L'enregistrement basé sur le hash satisfait l'article 30 (registres des traitements) et l'article 32 (sécurité).