Vous êtes une asbl à Bruxelles ou en Wallonie, vos budgets sont serrés, vous gérez les données de vos publics et vous aimeriez utiliser une IA en ligne pour résumer des documents, analyser des rapports ou rédiger des projets... Problème : vous savez que vous devez respecter le RGPD et l'AI Act, car les sanctions encourues pourraient mettre en péril votre structure. Alors : laquelle choisir ? Entre les promesses de « confidentialité » et les services « gratuits », comment être sûr de ne pas faire d'impair ? Spoiler : la réponse ne va pas vous plaire.

Dans le contexte actuel, combien d'asbl actives en Belgique peuvent consacrer un budget à un audit de leurs usages IA ? Très peu, n'est-ce pas. Alors on repousse l'échéance. Voire, on applique la politique de l'autruche : tant que je regarde ailleurs, rien ne peut arriver...

L'ennui, c'est que vos collègues ont vraisemblablement adopté la praticité et l'efficacité de ChatGPT et des autres. Et qu'entre passer cinq heures à transpirer sur un rapport ou confier celui-ci aux bons soins de la machine, le choix de beaucoup est fait. C'est ce qu'on appelle le Shadow AI ou le BYOAI (Bring Your Own AI) : en l'absence de cadre clair, chacun·e utilise son compte personnel pour son travail quotidien. Jusqu'au jour où vous avez une inspection RGPD ou un contrôle AI Act. Et c'est le drame. Voire la clé sous la porte.

Bah ! On n'a qu'à utiliser une IA éthique, vous dites-vous ! C'est moins efficace que Claude ou Gemini, mais ça peut faire le job, non ? La réponse en un mot : NON ! La quasi-totalité des outils « grand public » (gratuits ou payants) sont des pièges à conformité pour un usage professionnel en Belgique ou en France.

D'abord, ils sont américains ou leurs serveurs sont situés sur le sol des États-Unis, donc soumis au CLOUD Act, une loi qui permet aux autorités américaines de saisir vos données à leur guise. Ensuite, ils ne proposent pas de DPA (Data Processing Agreement), un contrat de sous-traitance obligatoire pour votre conformité RGPD (Art. 28). Enfin, leur sécurité laisse à désirer. Parfois, ils ne garantissent même pas que vos documents stockés chez eux seront chiffrés !

Votre besoin n'est pas un simple « chatbot ». Il vous faut un RAG (Retrieval-Augmented Generation), capable de lire vos propres documents. La seule solution viable : un RAG souverain.

Mon classement des différentes solutions, des plus sûres aux plus dangereuses.

La solution « zéro risque » (et gratuite) : l'auto-hébergement

C'est la seule façon d'être 100 % conforme au RGPD avec vos données les plus sensibles. Le principe : les données ne quittent jamais votre PC.

Outils : Ollama ou Jan.ai
Prix : gratuit (logiciel).
Hébergement : 100 % sur votre machine locale.
Modèles : open-source (Mistral 7B, Llama 3, etc.).
RGPD : conformité parfaite (pas de sous-traitant, pas de transfert de données).

Verdict : vous placez un moteur d'IA (Ollama) sur votre PC. Ensuite, vous utilisez une interface comme Brave Leo (en mode « BYOM » — Bring Your Own Model) ou Open WebUI pour « discuter » avec vos PDF. C'est 100 % privé, 100 % gratuit, 100 % souverain. Et c'est la seule solution possible pour vos données Art. 9 (bénéficiaires, santé, social). L'inconvénient, c'est qu'elle exige un PC suffisamment puissant et quelques compétences techniques pour l'installation.

La solution « clé en main » (mais payante) : le cloud souverain

Si l'auto-hébergement vous fait peur, l'alternative consiste à payer une entreprise européenne qui gérera un RAG souverain pour vous.

Outil : apertus.ai
Prix : sur devis.
Hébergement : Allemagne (100 % UE). Non soumis au CLOUD Act.
Modèle : Apertus (modèle souverain Suisse).
RGPD : conçu pour la conformité (DPA disponible).

Verdict : c'est la solution clé en main la plus propre. Une entreprise allemande qui héberge un modèle suisse sur des serveurs européens. Vous signez un DPA, vous payez, et vous êtes en règle. Le risque CLOUD Act est éliminé. Pour les ASBL qui ont un budget et veulent une tranquillité d'esprit juridique totale, sans se soucier de la technique.

Les compromis risqués (les « champions » européens)

Ces solutions semblent parfaites, mais cachent des risques importants.

Mistral.ai

Prix : plan « Team » (24,99 $/utilisateur/mois).
Hébergement : Europe, MAIS sur une infrastructure américaine (AWS, Azure).
RGPD : DPA disponible, certifié (ISO 27001, SOC 2).

Verdict : c'est européen (français), ce qui est un atout, mais les plans « Gratuit » et « Pro » entraînent leurs modèles sur vos données. Seul le plan « Team » l'interdit. Plus grave : l'interface « Le Chat » ne propose pas de Zero Data Retention (car Mistral doit conserver l'historique des conversations pour l'expérience utilisateur), et l'hébergement sur AWS expose vos données au CLOUD Act. À éviter pour les données sensibles.

Lumo

Prix : plan gratuit disponible, ou payant (avec réductions OBNL).
Hébergement : Europe (Allemagne, Norvège).
RGPD : DPA disponible.

Verdict : sur le papier, c'est le meilleur : entreprise suisse, hébergement 100 % UE, DPA. Mais comme toute solution RAG cloud, Lumo doit déchiffrer vos documents en mémoire pour les traiter, ce qui ouvre une fenêtre de vulnérabilité temporaire. Pour des données Art. 9 (santé, social), ce risque est inacceptable. Les performances du modèle laissent par ailleurs à désirer.

À fuir absolument : les pièges à conformité

Ces services sont totalement non-conformes pour un usage professionnel par une ASBL. Payer ne change rien.

Les inutiles (ils ne lisent pas vos PDF)

Ils promettent la lune en matière de confidentialité, mais ne sont pas conformes (pas de DPA, transfert aux USA). De plus, ils sont inutiles, car incapables d'analyser vos documents : Duck.ai, Ecosia Chat.

Les faux amis (payants, mais toujours pas conformes)

Ces services américains (donc soumis au CLOUD Act) ciblent les individus, pas les organisations, et ne proposent pas de DPA pour leur service de chat. Les utiliser pour des données de bénéficiaires est une violation directe du RGPD : Kagi et Brave Leo (Cloud).

Les pièges « éthiques »

Ils utilisent un marketing « non-profit » ou « privé » pour cacher des pratiques désastreuses : public.ai, qui se dit « non-profit » mais refuse de fournir un DPA et stocke vos fichiers sensibles en clair (sans chiffrement au repos). Pire : Venice.ai, dont l'architecture envoie vos documents à des serveurs anonymes et décentralisés, sans chiffrement... bref vers la perte de contrôle absolue.

Les géants américains (ChatGPT, Gemini, Claude, Copilot)

Même leurs plans payants sont un risque. Vous aurez un DPA et la garantie de non-entraînement, mais le CLOUD Act s'applique toujours. Les données de vos bénéficiaires restent accessibles aux autorités américaines.

Conclusion : la stratégie en deux points pour votre ASBL

Pour les données sensibles (Art. 9 : bénéficiaires, santé, social) : une seule règle, zéro cloud. Optez pour l'auto-hébergement (Ollama + Brave Leo en mode local). C'est gratuit et 100 % souverain.

Pour les données non-sensibles (com', admin, brainstorm) : Si vous avez un budget, apertus.ai est la solution « cloud » la plus propre. Si vous n'avez pas de budget, n'utilisez aucun de ces outils pour des documents internes.

J'avais prévenu : la conclusion est raide. Vous pouvez toujours utiliser des IA grand public pour des usages « safe » : chercher des informations publiques sur un sujet qui vous intéresse avec Gemini Deep Research, produire des images avec ChatGPT ou Veo 3 (à condition de ne pas uploader de photos de personnes et d"indiquer explicitement que l'image a été générée par IA), rédiger un mail anodin avec Claude (s'il ne contient aucune information personnelle ou sensible)... Mais pour traiter vos données internes via une IA en ligne, ma réponse est simple : AUCUNE. ZÉRO. NADA.

On en parle plus en détail dans mes formations sur l'IA et l'AI Act spécifiquement conçues pour les ASBL et le secteur non-marchand à Bruxelles et en Wallonie.