RAG local pour données métier : IA conforme RGPD pour documents sensibles (2026)

Faits rapides

• 6 contrôles obligatoires pour tout RAG régulé : air-gap, RBAC, journaux d'audit, chiffrement, traçabilité, parcours de suppression.
• 3 modèles de déploiement : laptop mono-utilisateur (solos), serveur on-prem (5–50 utilisateurs), cloud privé EU (multi-entités).
• Une PIA est obligatoire (Art. 35) dès que des données sensibles (santé, juridique, biométrique) sont traitées à grande échelle.
• AI Act : la plupart des RAG locaux = risque limité ; haut risque dès que la recherche alimente des décisions automatisées (crédit, emploi, prestations).
• Le droit à l'effacement doit se propager aux documents source, index vectoriels, embeddings en cache ET historique des réponses.
• La CNIL recommande l'IA locale pour le traitement des données professionnelles sensibles (financières, médicales, juridiques) lorsque l'enjeu de souveraineté ou de secret professionnel le justifie.
• Les modèles d'embeddings open source sont conformes RGPD seulement si les poids sont figés, l'inférence est entièrement locale et la licence est relue.

Comparaison des modèles de déploiement

Choisir un modèle de déploiement

Pourquoi un RAG local pour les données sensibles

• Transfert transfrontalier (Art. 44–49). Envoyer des données personnelles à un sous-traitant hors UE exige des Clauses Contractuelles Types, une analyse d'impact transfert et une réponse crédible sur les pouvoirs d'injonction de la juridiction réceptrice. Le RAG local ne transfère pas — la question disparaît.
• Prolifération des sous-traitants (Art. 28). Les fournisseurs LLM cloud reposent typiquement sur de l'infrastructure hyperscaler, des services de modération et des outils d'observabilité. Chacun est un sous-traitant à lister, contractualiser et auditer. Le RAG local n'a aucun sous-traitant par défaut.
• Fuite vers les données d'entraînement. De nombreuses CGU LLM cloud se réservent le droit d'utiliser les prompts clients pour améliorer le modèle, sauf à payer un palier entreprise et vérifier la clause anti-entraînement. Le RAG local utilise des modèles dont vous contrôlez les poids ; rien ne quitte l'hôte.
• Clauses de confidentialité dans les contrats clients. Conventions d'avocat externe, NDA M&A et accords sur données patient interdisent souvent la transmission du matériel protégé à des sous-traitants tiers. Le RAG local contourne entièrement la clause.
• Exposition aux injonctions et procédures judiciaires. Les documents stockés chez un fournisseur cloud peuvent être réquisitionnés par une procédure visant le fournisseur, parfois sans notification rapide au responsable de traitement. Les documents qui ne quittent jamais vos locaux ne peuvent être réquisitionnés que chez vous.

Les six contrôles indispensables

1. 1
   Air-gap ou contrôle strict de l'egress
   Why it matters: Confirme que les documents et les embeddings ne peuvent pas fuir par des appels sortants — SDK de télémétrie, sondes de mises à jour, crash reporters, callbacks de modération, CDN tiers pour les polices. Désactivez complètement l'accès réseau (vrai air-gap) ou exécutez une allowlist d'egress qui n'autorise que des serveurs de mise à jour signés.
2. 2
   Authentification par utilisateur avec accès par rôle
   Why it matters: Vous devez pouvoir répondre à "qui a accédé à quel document" avant qu'un régulateur ne le demande. SSO contre un fournisseur d'identité, accès par groupe aux collections et ACL par document quand le dossier le justifie. Les comptes partagés ne sont pas un contrôle — c'est un échec d'audit en sursis.
3. 3
   Journaux d'audit immuables couvrant ingestion et recherche
   Why it matters: Pour chaque document : qui l'a chargé, quand, chemin source, hash. Pour chaque requête : qui a demandé, ce qui a été demandé (si la base légale le permet), quels chunks ont été retournés, depuis quels document IDs, quelle réponse. Les journaux doivent être à preuve d'altération — append-only, signés, avec une rétention couvrant la fenêtre d'enquête de l'autorité de contrôle. Pour la traçabilité au niveau prompt — versionnement, changelog, rollback — voir [workflows de version control des prompts](/prompt-engineering/prompt-version-control-workflows?lang=fr).
4. 4
   Chiffrement au repos et en transit
   Why it matters: Chiffrement disque sur l'hôte, TLS pour tout appel service-à-service interne, gestion de clés qui survit au vol d'un laptop ou à la compromission d'un compte admin. Clés gérées par le client pour les déploiements cloud. Sans cela, un vol d'appareil devient une violation notifiable au titre de l'article 33.
5. 5
   Traçabilité déterministe du chunk vers la source
   Why it matters: Chaque chunk retourné doit remonter à son document source, sa page, sa section et sa version. C'est ce qui permet (a) de vérifier la réponse, (b) d'honorer une demande de suppression, (c) de défendre le système en justice quand un résumé généré est contesté. "On ne peut pas reproduire quel chunk a produit quelle réponse" n'est pas une réponse acceptable face à une autorité de contrôle.
6. 6
   Parcours de suppression écrit incluant l'index vectoriel et les embeddings en cache
   Why it matters: Une demande de droit à l'effacement doit se propager du stockage source, à travers l'index vectoriel, jusqu'aux embeddings en cache et à la rétention des journaux de recherche. La plupart des déploiements gèrent proprement la suppression source et oublient le reste. Documentez le runbook de suppression avant la mise en production ; répétez-le sur des données synthétiques.

Air-gap et contrôle de l'egress

• Vrai air-gap — pas de DHCP, pas de résolution DNS vers des destinations publiques, pas de TCP sortant. Les mises à jour passent par des supports signés qu'un administrateur connecte physiquement. C'est le bon modèle pour les travaux classifiés, certains réseaux hospitaliers et tout déploiement dont le modèle de menace inclut une dépendance malveillante.
• Allowlist d'egress — le réseau sortant n'est autorisé qu'à une courte liste de destinations nommées (serveurs de mise à jour de modèle, fournisseur d'identité, forwarders de logs vers des collecteurs internes). Tout autre trafic est rejeté au pare-feu. C'est le défaut pratique pour la plupart des déploiements départementaux régulés.
• Ce qu'il faut vérifier sur la plateforme : zéro télémétrie par défaut, aucun appel sortant pendant l'inférence, aucun CDN de polices dans l'UI, aucun crash reporter qui expédie des payloads. Vérifiez avec une capture de paquets ou un outil comme Little Snitch sur le banc d'essai avant promotion en production.
• Gouvernance des mises à jour — poids du modèle, poids de l'embedder, code applicatif et patches OS passent tous par une fenêtre de mise à jour contrôlée. L'administrateur qui promeut une mise à jour signe par écrit ; le changement est journalisé.
• Cassure d'air-gap classique : un SDK d'analytique fourni avec un composant UI tiers, une référence CDN de polices dans le chrome de l'application, ou une sonde "vérifier les mises à jour" qui s'exécute au démarrage. C'est pourquoi l'étape de vérification compte — ne supposez rien à propos des défauts.

Journaux d'audit qui tiennent face à un contrôle

• Événements d'ingestion : document ID, hash (SHA-256), nom de fichier, chemin source, chargé par, horodatage, tag de classification, taille, nombre de pages, groupe propriétaire, classe de rétention. Classifiez chaque document à l'ingestion — la classification rétroactive de gros corpus est laborieuse et rarement complète.
• Événements de recherche : query ID, user ID, horodatage, chunk IDs retournés (et les document IDs d'origine), scores de retrieval, hash de la réponse finale, identifiant du modèle, identifiant de l'embedder, top-K utilisé. Le texte de la requête lui-même est sensible — ne le journalisez que si la finalité du traitement le couvre ; sinon, journalisez le hash et l'horodatage.
• Événements administratifs : promotion de modèle, changement d'embedder, reconstruction d'index, modifications utilisateurs/groupes, modifications d'ACL, modifications de politique d'accès. Chaque événement signé par l'administrateur responsable.
• Preuve d'altération : journal append-only, chaîne de hashs (chaque entrée référence le hash de la précédente), clé de signature out-of-band, rapprochements réguliers avec une copie distincte conservée par un autre administrateur ou sur un support write-once.
• Rétention : alignée sur la fenêtre d'enquête de l'autorité — au minimum la durée de rétention du dossier ; communément six à sept ans dans les industries régulées ; plus longue selon les règles sectorielles.
• Pipeline : l'application émet des événements structurés ; un forwarder les expédie vers un store de logs séparé et restreint en écriture. Le serveur applicatif ne doit jamais avoir le droit de supprimer ou réécrire des entrées de log — c'est la séparation des fonctions qui rend le journal crédible.

Traçabilité du chunk à la source

• Traçabilité au niveau document : chaque document a un ID interne stable, un hash de contenu, un horodatage d'ingestion, un propriétaire, une classification et une classe de rétention. Le fichier original reste sur le store source ; le système RAG détient une référence, pas le maître.
• Traçabilité au niveau chunk : chaque chunk référence son document parent, sa page (PDF), sa section (documents structurés), son offset caractère, sa longueur et la version de la stratégie de chunking. Quand vous re-chunkez (vous le ferez), les anciens chunks sont marqués tombstoned, pas supprimés in place — pour que les anciens journaux de recherche restent résolvables.
• Traçabilité au niveau embedding : chaque vecteur d'embedding référence son chunk ID et l'identifiant de l'embedder. Quand vous changez d'embedder, les anciens vecteurs sont conservés jusqu'à ce que les nouveaux soient validés et que tout dossier les ayant référencés soit clos ; alors seulement ils sont purgés.
• Traçabilité au niveau réponse : chaque réponse générée référence les chunk IDs qui l'ont produite, l'identifiant du modèle, la version du template de prompt et l'horodatage. Quand un utilisateur demande « d'où vient cette réponse », le système résout chunk → document → page en un clic.
• Réindexation sans casser la traçabilité : les reconstructions préservent les document IDs et incrémentent les versions de la stratégie de chunking. Les anciens chunk IDs restent résolvables dans les journaux de recherche même après que l'index live a changé.

Chiffrement et contrôle d'accès

• Chiffrement au repos — chiffrement disque complet sur l'hôte (LUKS sous Linux, BitLocker sous Windows, FileVault sous macOS pour les laptops). Sur les serveurs, chiffrez aussi les partitions du store vectoriel et de la zone de staging d'ingestion. Clés gérées par le client pour tout déploiement cloud, avec rotation selon votre politique.
• Chiffrement en transit — TLS pour chaque saut service-à-service, même sur localhost. Politique de chiffrement alignée sur votre baseline sectorielle. Mutual TLS quand le modèle de menace le justifie — typiquement serveur-à-serveur en cloud.
• Authentification — SSO contre votre fournisseur d'identité existant (OIDC, SAML). Pas de comptes locaux en production. MFA appliqué pour tout utilisateur ayant un accès administrateur ou à des collections sensibles.
• Autorisation — accès par groupe au niveau collection ; ACL au niveau document quand le dossier le justifie (salles M&A, enquêtes RH). Le pipeline de retrieval doit appliquer les ACL au moment de la requête — pas seulement l'UI. Un utilisateur qui ne doit pas voir un document ne doit pas non plus recevoir ses chunks.
• Accès administratif — gestion des accès privilégiés pour tout compte capable de lire ou reconstruire des index, voir les journaux d'audit ou changer les ACL. Élévation just-in-time avec justification journalisée plutôt que droits admin permanents.
• Sécurité des endpoints — appareils gérés pour les déploiements laptop (enrôlés MDM, chiffrés, verrouillage écran imposé). Un laptop solo avec le store documentaire déchiffré laissé sans surveillance dans un café est la violation RGPD que vous ne voulez pas avoir à signaler.

Modèle laptop mono-utilisateur

• Matériel — un laptop classe workstation avec chiffrement disque complet, GPU dédié (ou machine récente à mémoire unifiée) et au moins 32 Go de RAM. Le modèle et l'embedder doivent tenir en mémoire avec le cache du store vectoriel. Pour les besoins matériels et la sélection par VRAM, voir le guide matériel LLM local.
• Logiciel — application RAG desktop autonome qui tourne en local ; LLM open source dont les poids sont téléchargés une fois et figés sur un hash ; embedder open source ; store vectoriel local sur le disque chiffré. Pour une comparaison de modèles open source adaptés au RAG local, voir meilleurs modèles open source pour Ollama.
• Posture réseau — air-gappé pendant le travail ; reconnecté uniquement pour des mises à jour signées explicites. Configurez le pare-feu OS pour rejeter par défaut toutes les connexions sortantes et créez des exceptions explicites pour le workflow de mise à jour.
• Manipulation des documents — documents source sur le disque chiffré ; arborescence par dossier dédié à chaque dossier ; sauvegardes hebdomadaires chiffrées sur disque externe stocké dans un autre lieu.
• Posture d'audit — le journal d'audit OS (login, accès fichiers, événements périphériques) est la base. Les événements applicatifs sont plus simples sur on-prem ; pour le laptop, traitez le log OS comme l'enregistrement primaire et complétez avec des notes manuelles dossier par dossier.
• Limites — un laptop mono-utilisateur n'est pas une plateforme multi-utilisateurs. Partager le laptop, partager les comptes ou copier le store documentaire sur la machine d'un collègue casse la posture d'audit et l'analyse de base légale.

Modèle serveur on-prem

• Matériel — un serveur avec une à deux GPU entreprise (les GPU workstation sont acceptables pour des corpus plus petits), disques redondants, mémoire ECC et onduleur. Prévoyez 2 à 4× le stockage de votre corpus brut pour couvrir vecteurs, index, journaux et sauvegardes.
• Réseau — VLAN dédié derrière le pare-feu d'entreprise ; allowlist d'egress ou air-gap complet selon le modèle de menace. Accès interne uniquement via le réseau d'entreprise, aucun ingress public.
• Stack logicielle — plateforme RAG auto-hébergée (image serveur autonome ou déploiement conteneurisé), LLM open source en modèle de chat, embedder open source et store vectoriel adapté à la taille du corpus. Le serveur applicatif, le store vectoriel et le forwarder de logs tournent en processus séparés avec des comptes de service séparés.
• Identité — fédéré contre le fournisseur d'identité d'entreprise ; appartenance aux groupes pilote l'accès aux collections. Les collections sensibles sont protégées par des workflows d'approbation supplémentaires.
• Sauvegarde et reprise — sauvegardes incrémentales nocturnes du store documentaire et de l'index vectoriel ; sauvegardes complètes hebdomadaires ; copie hors site conservée par l'IT. Runbook de restauration documenté testé au moins annuellement.
• Exploitation — fenêtre de patch selon politique de change management ; revues d'accès trimestrielles ; runbook de suppression rodé pour les demandes de droit à l'effacement ; chemin d'upgrade documenté pour modèles et embedders qui préserve la traçabilité.
• Capacité — quelques milliers de documents et 5–50 utilisateurs concurrents tiennent confortablement sur un serveur GPU mid-range. Au-delà, prévoyez un hôte plus costaud ou le passage au modèle cloud privé.

Bases vectorielles pour RAG on-prem

Modèle cloud privé EU

• Sélection du fournisseur — l'offre souveraine EU d'un hyperscaler ou un fournisseur cloud européen. Le DPA doit lister chaque sous-traitant ; les mécanismes de transfert doivent être adressés si un sous-traitant est hors EEE. Une analyse d'impact transfert type Schrems II reste au dossier même si le sous-traitant immédiat est EU.
• Région — EU uniquement, avec garanties explicites de résidence. Réplication cross-region uniquement vers d'autres régions EU. Pas de région US comme failover, même temporairement, même pour les sauvegardes.
• Chiffrement — clés gérées par le client avec rotation ; bring-your-own-key où le fournisseur le supporte ; les événements d'accès aux clés sont journalisés séparément des logs opérationnels du fournisseur.
• Réseau — VPC privé sans ingress public ; accès uniquement via connectivité privée (lien dédié ou VPN) depuis votre réseau d'entreprise ; allowlist d'egress pour toute dépendance sortante.
• Identité — fédéré contre votre IdP d'entreprise ; IAM cloud-natif lié aux identités utilisateur, pas à des comptes de service partagés ; ACL par collection appliquées dans le pipeline de retrieval.
• Logging — log d'audit cloud-natif injecté dans votre SIEM existant ; ingestion séparée pour les événements d'audit applicatifs ; rétention à preuve d'altération qui satisfait les attentes du superviseur.
• Contrats — le DPA doit être conforme à l'article 28, lister les sous-traitants, adresser les CCT si nécessaire et inclure une clause anti-entraînement explicite couvrant les poids LLM et tout service annexe (recherche, télémétrie, support).

Classification AI Act : risque limité vs haut risque

• Risque limité (la plupart des RAG locaux) — le système retourne et résume des documents pour assister un humain ; l'humain décide. Les obligations sont surtout de transparence : les utilisateurs doivent savoir qu'ils interagissent avec une IA, le contenu généré doit être identifiable, pas de design manipulateur ou trompeur.
• Haut risque — la recherche alimente une décision automatisée dans les domaines listés par l'Act : scoring crédit, sélection à l'emploi, admissions éducatives, services publics essentiels, application de la loi, migration, justice, identification biométrique, infrastructures critiques. Un RAG d'aide à la décision clinique recommandant des traitements est haut risque ; un RAG qui résume des protocoles cliniques pour aider un médecin à lire plus vite ne l'est pas.
• Obligations haut risque — système de gestion des risques sur le cycle de vie, gouvernance des données (entraînement, validation, test documentés), documentation technique, journalisation automatique, transparence et information aux utilisateurs, supervision humaine, mesures de précision et de robustesse, évaluation de conformité avant mise sur le marché, surveillance post-marché.
• IA à usage général — utiliser un LLM à usage général (open source ou non) ne transfère pas les obligations haut risque au fournisseur du modèle. Le déployeur (votre organisation) porte les obligations haut risque pour le système que vous bâtissez avec ce modèle.
• Pratiques interdites — scoring social, scraping massif d'images de visages, reconnaissance d'émotions sur les lieux de travail et à l'école, certaines catégorisations biométriques en temps réel. Hors-jeu, peu importe l'aspect local du déploiement.
• La documentation comme artefact d'audit — le dossier technique requis pour les systèmes haut risque n'est pas un livrable ponctuel ; c'est un document vivant. Liez-le à votre processus de change management pour que chaque promotion de modèle, chaque changement d'embedder et chaque modification d'ACL s'y reflète.

Exigences PIA (Article 35)

• Quand obligatoire — évaluation systématique et étendue incluant profilage à effet juridique ; traitement à grande échelle de données sensibles (santé, juridique, biométrique, raciale, politique, religieuse, syndicale) ; surveillance systématique de zones publiques. Les autorités nationales publient des listes d'opérations qui imposent toujours une PIA — vérifiez la vôtre.
• Périmètre de la PIA — finalité et base légale ; description des opérations de traitement ; nécessité et proportionnalité ; analyse de risque pour les personnes ; mesures et risque résiduel ; consultation du DPO et (si le risque résiduel reste élevé) de l'autorité de contrôle avant le début du traitement.
• Risques spécifiques au RAG à traiter : ré-identification de personnes à partir des chunks ; génération d'informations inexactes affectant une personne ; fuite via journaux ou sauvegardes ; complétude de la suppression sur droit à l'effacement ; contamination cross-collection ; accès trop larges pour les power users.
• Mesures à documenter — les six contrôles ci-dessus, plus expurgation/pseudonymisation au niveau chunk quand la base légale est consentement ou intérêt légitime ; runbook de suppression avec preuve de répétition ; revues d'accès à cadence définie.
• Reviewers — le DPO valide ; l'autorité de contrôle est consultée si le risque résiduel reste élevé après mesures. La PIA signée va au dossier technique avec la documentation de conformité AI Act si le système est aussi haut risque.
• Document vivant — refaites la PIA quand le corpus s'étend significativement, quand le modèle ou l'embedder change, quand les frontières d'accès changent ou comme baseline annuelle. Liez-la à votre processus de change management.

Notes pour la juridiction allemande (Datenschutz) et contexte CNIL

• Cogestion du Betriebsrat — au titre du §87 BetrVG, tout système surveillant la performance ou le comportement des salariés exige un accord du comité d'entreprise avant déploiement. Un RAG sur du contenu rédigé par les salariés (e-mails, documents internes) déclenche typiquement cette obligation. Impliquez le Betriebsrat dès la conception ; l'accord (Betriebsvereinbarung) entre dans le dossier de base légale.
• Confidentialité sectorielle — le §203 StGB pénalise la violation du secret professionnel (avocats, médecins, conseillers fiscaux, auditeurs). Un déploiement RAG exposant des données client/patient protégées à du personnel non astreint au secret ou à des sous-traitants externes peut être une infraction pénale, pas seulement civile. On-prem ou air-gappé est le choix le plus sûr dans ces secteurs.
• Telemediengesetz et TTDSG — la télémétrie sortante touchant des terminaux d'utilisateurs finaux est régulée non seulement par le RGPD mais aussi par le TTDSG. L'air-gap retire la question ; les déploiements à egress contrôlé doivent vérifier que tout appel sortant est consenti, nécessaire ou strictement technique.
• Fiches BSI-Grundschutz — pour les administrations et opérateurs KRITIS, le compendium BSI-Grundschutz fournit le référentiel. Même dans le mid-market, des fiches comme OPS.1.2.4 (usage cloud), OPS.2.1 (outsourcing) et APP.4.4 (applications web) sont des références utiles pour le dossier d'architecture.
• Autorités de contrôle (Bund et Länder) — le contrôle des données du secteur privé est organisé par Land. Adressez-vous au Landesbeauftragte für Datenschutz compétent quand une consultation au titre de l'article 36 est requise.
• Contexte CNIL pour la francophonie — la CNIL recommande explicitement le recours à l'IA traitée localement pour les données professionnelles sensibles (financières, médicales, juridiques) lorsque le secret professionnel ou la souveraineté justifient d'écarter un sous-traitant cloud. Un RAG local satisfait l'esprit de la position CNIL par construction.
• Langue de la documentation — les autorités allemandes acceptent la documentation en anglais, mais les artefacts utilisateur clés (mentions d'information, déclarations de transparence, accords avec le Betriebsrat) doivent être rédigés en allemand pour des raisons légales et pratiques.

Checklist conformité avant la mise en production

• ☐ Base légale documentée pour chaque catégorie de données source — consentement, contrat, obligation légale, intérêt vital, mission de service public, ou intérêt légitime avec test de mise en balance au dossier.
• ☐ PIA validée par le DPO, avec runbook de suppression rodé en pièce jointe.
• ☐ Registre de traitements (Article 30) mis à jour pour inclure le RAG, les catégories de données, la rétention, les destinataires et les mécanismes de transfert (en général aucun pour le RAG local).
• ☐ Six contrôles vérifiés bout-à-bout : air-gap ou allowlist d'egress, RBAC, journaux d'audit, chiffrement, traçabilité, parcours de suppression.
• ☐ Capture de paquets sortante propre sur 24 h ; répétée après chaque mise à jour applicative.
• ☐ Intégration fournisseur d'identité testée avec un vrai utilisateur de chaque palier d'accès ; les collections sensibles exigent une élévation séparée.
• ☐ Sauvegardes prises et restauration vraiment testée sur matériel isolé, pas seulement vérifiée dans un panneau de statut.
• ☐ Runbook droit à l'effacement rodé sur données synthétiques couvrant store source, index vectoriel, embeddings en cache et rétention des journaux.
• ☐ Classification AI Act confirmée (risque limité vs haut risque) ; dossier technique en place si haut risque.
• ☐ Contrats fournisseurs (le cas échéant) revus : DPA conforme à l'article 28, sous-traitants listés, clause anti-entraînement couvrant les données client.
• ☐ Accord avec le Betriebsrat en place quand du contenu rédigé par les salariés est dans le périmètre (Allemagne ; règles européennes similaires ailleurs).
• ☐ Mention de transparence rédigée en langage utilisateur expliquant l'assistance IA, le human-in-the-loop et le flux de données.
• ☐ Runbook de réponse à incident mis à jour pour couvrir les scénarios spécifiques RAG : fuite d'index, manipulation de log, échec de suppression, swap de modèle cassant la traçabilité.
• ☐ Revue d'accès trimestrielle planifiée et assignée ; première revue calée avant la mise en production.
• ☐ Rafraîchissement annuel de la PIA planifié et lié au processus de change management.

Erreurs fréquentes

• Erreur 1 : Traiter "local" comme synonyme de "conforme". Le on-prem résout transfert et sous-traitants ; il ne résout pas base légale, PIA, audit logging ou droits des personnes. La conformité est un programme en couches, pas un choix de déploiement.
• Erreur 2 : Sauter la PIA parce que le système est "juste un outil de recherche". Un outil de recherche qui ingère des données sensibles à grande échelle est exactement ce que couvre l'article 35. Sauter la PIA, c'est sauter sa défense en cas d'audit.
• Erreur 3 : Journaliser le texte de requête sans vérifier la base légale. Les requêtes elles-mêmes sont des données personnelles quand elles désignent des individus. Décidez à la conception si la finalité couvre la journalisation des requêtes ; sinon, journalisez seulement le hash et les métadonnées.
• Erreur 4 : Oublier les embeddings en cache dans le runbook de suppression. La suppression source marche. La reconstruction d'index marche. La couche cache ajoutée par votre plateforme pour la performance, les empreintes d'embeddings dans le journal de retrieval et l'historique des réponses dans le store de chat sont les parties oubliées.
• Erreur 5 : Laisser les power users contourner les ACL de collection. "Les admins voient tout" est commode et très répandu ; c'est aussi la première cause d'audits qui se passent mal. L'accès privilégié doit lui-même être contrôlé, borné dans le temps et justifié par usage.
• Erreur 6 : Réutiliser un même workspace pour plusieurs dossiers ou clients. La contamination croisée des citations et du contexte est un échec de confidentialité avant même qu'une partie externe ne le voie. Un dossier ou un client par collection ; ACL séparées ; rétention séparée.
• Erreur 7 : Acheter un air-gap et brancher un téléphone perso pour tester. Le périmètre air-gap doit inclure les personnes capables de transporter les données. La politique des endpoints fait partie du contrôle, pas un sujet à part.
• Erreur 8 : Traiter le choix du modèle et de l'embedder comme "set and forget". Chaque upgrade est un événement de change management avec implications PIA, traçabilité et audit. Planifiez le workflow d'upgrade avant le premier déploiement en production.

Sources

• Texte intégral du RGPD (Officiel) — Texte complet du Règlement Général sur la Protection des Données avec commentaire article par article.
• Texte intégral de l'AI Act — Texte réglementaire complet avec cadre de classification des risques.
• NIST AI Risk Management Framework — Cadre fédéral US applicable à l'évaluation des risques IA.
• BDSG-Neu (loi fédérale allemande) — Transposition allemande du RGPD avec ajouts sectoriels.
• Lignes directrices EDPB sur la PIA — Guide du Comité européen de la protection des données sur quand et comment mener une PIA.
• CNIL — Recommandations IA — Plans et fiches de la CNIL sur le déploiement IA, traitement local et données sensibles.

FAQ

Lectures complémentaires

• AnythingLLM vs PrivateGPT vs Open WebUI : meilleur RAG local — quelles plateformes auto-hébergées pour quelle posture conformité, avec notes télémétrie et licence.
• Agents IA locaux pour workflows métier et conformité EU — sujet adjacent quand la recherche alimente des étapes de workflow automatisées plutôt qu'un lecteur humain.
• Automatisation e-mail et calendrier par LLM local — schémas d'automatisation métier où le même jeu de contrôles s'applique.
• RAG local sur vos PDF étape par étape — guide pratique pour les modèles on-prem et laptop.
• Discuter avec 1 000 PDF localement — guide opérationnel pour les corpus plus volumineux qui poussent contre le plafond on-prem.
• Power Local LLM Hub — bibliothèque complète des guides de déploiement LLM auto-hébergés.