PromptQuorumPromptQuorum

DeepSeek est-il sûr au regard du RGPD ?

Read in:
🇺🇸en🇩🇪de🇫🇷fr🇯🇵ja🇨🇳zh

Réponse rapide

L'API DeepSeek présente le risque RGPD le plus élevé parmi les LLMs majeurs car les serveurs sont soumis à la loi chinoise d'accès aux données (PIPL), aucune décision d'adéquation UE n'existe pour la Chine, et les CGU se réservent explicitement le droit de partager les données avec les autorités chinoises. Les modèles DeepSeek open-weight en local ont un profil de risque différent et plus faible.

  • API DeepSeek : serveurs en Chine, loi PIPL de divulgation — risque le plus élevé
  • Pas de décision d'adéquation UE pour la Chine : CCT + EIT requis, résultat potentiellement défavorable
  • Poids DeepSeek R1/V3 en local (Apache 2.0) : risque bien plus faible sans appels API

Mis à jour : 2026-05

Privacy & Security

Points clés

  • L'API DeepSeek présente le risque RGPD le plus élevé : juridiction chinoise, loi PIPL d'accès aux données, pas de décision d'adéquation UE
  • Les CCT sont techniquement possibles mais une EIT pour la Chine aboutira probablement à un résultat défavorable pour les données sensibles
  • Les modèles open-weight DeepSeek (R1, V3, Coder V2) sont Apache 2.0 — en local, risque aussi faible que Qwen ou Llama local
  • Pour les données réglementées UE : éviter l'API DeepSeek ; utiliser les poids locaux ou un modèle avec des options API hébergées en UE

Pourquoi l'API DeepSeek est à haut risque sous le RGPD

Trois facteurs cumulatifs font de l'API DeepSeek l'option la plus risquée pour les données réglementées RGPD. Premièrement : les serveurs sont en Chine, ce qui fait de chaque appel API un transfert vers un pays tiers selon l'Article 44 du RGPD. Deuxièmement : la Chine n'a pas de décision d'adéquation UE. Troisièmement : la loi chinoise PIPL contraint les organisations opérant en Chine à fournir des données aux autorités d'État sur demande.

Les CCT sont un mécanisme juridique valide pour les transferts vers la Chine. Cependant, post-Schrems II, les organisations doivent aussi conduire une EIT évaluant si les CCT fournissent une protection réelle en pratique. Pour la Chine, l'EIT est difficile à valider pour les données sensibles : PIPL peut outrepasser les protections contractuelles.

Cela s'applique à toutes les données personnelles : dossiers RH, données clients, notes médicales, correspondance juridique. Si vos prompts contiennent ces données, l'API DeepSeek crée une exposition réglementaire que les CCT seules peuvent ne pas résoudre.

Poids locaux DeepSeek — un profil de risque totalement différent

Les modèles DeepSeek open-weight (R1, V3, Coder V2) sont un produit distinct de l'API. Publiés sous Apache 2.0, ils peuvent être téléchargés et exécutés localement sans connexion aux serveurs DeepSeek. L'exécution locale élimine entièrement le problème de transfert de l'Article 44 du RGPD.

DeepSeek R1 7B ou 8B en local tourne confortablement via Ollama sur un GPU 6–8 Go de VRAM. R1 est l'un des meilleurs modèles de raisonnement disponibles au tier 7B. Pour les tâches de code, DeepSeek Coder V2 est disponible en variantes plus compactes.

Question résiduelle pour DeepSeek local : la formation du modèle. DeepSeek n'a pas publié les détails complets des données d'entraînement. Pour les environnements à haute assurance (santé, juridique, gouvernement), cette incertitude peut être pertinente. Qwen 2.5 et Llama 4 offrent plus de transparence sur la provenance des données d'entraînement.

DéploiementRisque RGPDRaisonAction recommandée
API DeepSeekLe plus élevéServeurs chinois, PIPL, pas de décision d'adéquationÉviter pour données personnelles ou sensibles
DeepSeek local (R1/V3)FaiblePas de transfert, poids Apache 2.0Acceptable ; noter l'opacité des données d'entraînement
Qwen local (2.5/3)FaiblePas de transfert, Apache 2.0, info formation publiéeRecommandé pour usage data-sensible
Claude / OpenAI APIMoyenJuridiction US ; région UE réduit sans éliminer le risqueCCT + DPA requis ; région UE préférée

Réponses rapides : DeepSeek et RGPD

Puis-je utiliser l'API DeepSeek avec des CCT pour le RGPD ?
Techniquement oui — vous pouvez signer des CCT avec l'entité responsable de traitement de DeepSeek. Cependant, vous devez aussi conduire une EIT évaluant si la loi chinoise compromet ces CCT en pratique. Compte tenu des obligations PIPL de divulgation de données, une EIT pour des données personnelles sensibles aboutira probablement à la conclusion que les CCT ne sont pas suffisantes.
Qu'est-ce que PIPL et pourquoi est-ce important pour le RGPD ?
La loi chinoise sur la protection des informations personnelles (PIPL, en vigueur depuis novembre 2021) oblige les organisations opérant en Chine à fournir des informations personnelles aux autorités de sécurité publique ou nationale sur demande, quel que soit le siège de ces organisations. Les CCT ne peuvent pas outrepasser une obligation de divulgation obligatoire dans le droit du pays de destination.
Quel LLM est le plus sûr pour les données réglementées RGPD ?
Pour une sécurité RGPD maximale : tout modèle open-weight local (Qwen 2.5, Llama 4, DeepSeek R1 local) fonctionnant hors ligne sans appels API externes. Qwen 2.5 et Llama 4 ont une provenance de données d'entraînement plus transparente. Consultez la comparaison complète des risques RGPD des LLMs.
← Retour aux Prompt Bites