Modèles d'IA hébergés dans l'UE

Que signifie « hébergé dans l'UE » ?

Hébergé dans l'UE signifie que l'inférence — l'exécution effective du modèle de langage sur des serveurs GPU — se déroule dans des centres de données physiquement situés dans l'Union européenne. Cela est différent d'avoir un siège social dans l'UE ou une entité juridique européenne dans un registre du commerce. Une entreprise domiciliée légalement à Amsterdam mais dont toute la capacité de calcul se trouve en Virginie n'est pas hébergée dans l'UE au sens technique pertinent pour les obligations RGPD. Pourquoi cette distinction est-elle importante ? Parce que le RGPD exige des responsables du traitement — et de leurs personnes concernées — de savoir où les données personnelles résident physiquement lors du traitement. Lorsqu'une invite contenant des données personnelles (noms, adresses, descriptions médicales) atteint une API de LLM, cela constitue un transfert de données personnelles vers un sous-traitant. L'emplacement physique de ce traitement détermine les mécanismes de transfert applicables. Les sous-traitants ultérieurs jouent également un rôle. Un fournisseur cloud européen peut louer de la capacité GPU à une société de centre de données appartenant à une société mère américaine. Cela peut être conforme — à condition que des clauses contractuelles types (CCT) ou des mécanismes de transfert équivalents soient en place — mais cette information doit être explicitement documentée dans le DPA (accord de traitement des données) de votre fournisseur de LLM. Lisez toujours le DPA, pas seulement la page marketing.

Implications RGPD de l'inférence hébergée dans l'UE

Le RGPD régit la manière dont les données personnelles des résidents de l'UE sont traitées. Lorsque votre organisation appelle une API de LLM avec des données contenant des données personnelles, vous êtes le responsable du traitement et le fournisseur d'API est le sous-traitant. Cela crée trois obligations concrètes : 1. Accord de traitement des données (Article 28). Vous devez conclure un DPA avec le fournisseur. Vérifiez-y : quels sous-traitants ultérieurs sont engagés, dans quel pays ils se trouvent et quel mécanisme juridique s'applique (CCT, décision d'adéquation, règles d'entreprise contraignantes). 2. Évaluation du transfert (Article 46 / Schrems II). Si le fournisseur est américain — même s'il héberge à Francfort — la législation américaine FISA 702 signifie que les autorités américaines peuvent dans certaines circonstances exiger l'accès aux données. Après l'arrêt Schrems II de la CJUE (2020), les clauses contractuelles types plus une analyse d'impact du transfert (TIA) constituent le mécanisme standard. Avec des fournisseurs purement hébergés dans l'UE sans société mère américaine, cette évaluation du transfert disparaît largement, réduisant considérablement la charge de conformité. 3. Conservation et effacement. Le fournisseur de LLM stocke-t-il des journaux d'invites pour la formation, l'affinage ou le suivi de la qualité ? Si oui, pendant combien de temps, et pouvez-vous soumettre une demande d'effacement ? L'hébergement dans l'UE ne résout pas cela automatiquement ; cela nécessite des engagements contractuels dans le DPA.

Fournisseurs hébergés dans l'UE dans la base de données Tokonomix

Le tableau ci-dessous montre les fournisseurs dont la région d'hébergement dans la base de données Tokonomix est marquée comme région UE (eu / nl / de / fr). Le score moyen est le score de référence moyen sur les 7 derniers jours ; — signifie qu'aucune mesure récente n'est disponible. Les données sont mises à jour chaque semaine à partir de la documentation des fournisseurs et des runs de benchmarks.

Matrice de conformité RGPD : modèles par fournisseur

Le tableau ci-dessous répertorie tous les modèles actifs hébergés dans l'UE dans la base de données Tokonomix, avec la région d'inférence, le pays d'origine du modèle et la modalité de sortie. Ce sont des données en direct ; le tableau est mis à jour automatiquement lorsque des fournisseurs ou des modèles sont ajoutés ou modifiés.

Règlement européen sur l'IA — ce qu'il faut savoir

Le règlement européen sur l'IA (règlement 2024/1689) a été progressivement mis en place. Pour la plupart des organisations utilisant des API de LLM, les règles relatives à l'IA à usage général (GPAI) sont les plus pertinentes. Les modèles de frontier présentant un risque systémique — évalués via des seuils de calcul et d'évaluation des risques — supportent des obligations supplémentaires de transparence et d'audit pour les fournisseurs, pas pour vous en tant que déployeur. En tant que déployeur, vous avez toutefois des obligations de transparence lorsque vous utilisez l'IA dans des contacts directs avec le public (p.ex. chatbots) et dans certaines applications à haut risque (sélection RH, score de crédit, etc.). L'inférence hébergée dans l'UE réduit la charge de conformité sur les transferts de données, mais ne vous exempte pas des obligations du déployeur en vertu du règlement sur l'IA. Consultez votre DPO ou conseiller juridique pour une évaluation de votre cas d'usage spécifique.

Questions fréquentes

L'hébergement dans l'UE est-il automatiquement conforme au RGPD ?

Non. L'hébergement dans l'UE est une condition nécessaire mais pas suffisante. Vous avez également besoin d'un accord de traitement des données valide, devez connaître les sous-traitants ultérieurs et avoir réalisé une analyse d'impact du transfert si le fournisseur a une société mère américaine. L'hébergement dans l'UE vous protège toutefois largement des problèmes liés à Schrems II et réduit le risque que des autorités étrangères exigent l'accès.

Quels fournisseurs proposent une inférence exclusivement dans l'UE ?

D'après la base de données Tokonomix, OVH AI Endpoints (Gravelines, FR) et Mistral AI (UE) sont les fournisseurs avec une région d'hébergement UE. Mistral AI est une entreprise française ; OVH est un fournisseur cloud européen. Note : la liste dans la base de données ne reflète que les fournisseurs pour lesquels Tokonomix exécute des benchmarks API. Il existe d'autres fournisseurs hébergés dans l'UE en dehors de notre base de données.

Le règlement sur l'IA change-t-il les modèles que je peux utiliser ?

Le règlement sur l'IA n'interdit pas de modèles spécifiques pour les applications professionnelles normales. Ce qui est interdit, ce sont certaines applications, pas les modèles en tant que tels : l'identification biométrique en temps réel dans les espaces publics, la notation sociale, etc. En tant que déployeur, vous devez tenir une documentation supplémentaire pour les applications à haut risque (RH, notation financière, infrastructure critique). Vous utilisez un modèle GPAI à risque systémique ? Le fournisseur porte des obligations supplémentaires ; demandez sa documentation de conformité.

Qu'en est-il des fournisseurs américains avec des régions dans l'UE ?

Un fournisseur comme OpenAI ou Google propose des options régionales dans l'UE (p.ex. Francfort/Paris), mais en tant qu'entreprise américaine, il est soumis à la FISA 702. Cela signifie que les services de renseignement américains peuvent en principe exiger l'accès, indépendamment de l'emplacement physique des données. Le cadre de protection des données UE-États-Unis (DPF, 2023) offre une décision d'adéquation pour les entreprises participantes, mais la robustesse de ce cadre pour votre cas d'usage est une appréciation juridique. Les fournisseurs purement hébergés dans l'UE sans société mère américaine ne portent pas ce risque.

Qu'en est-il des modèles non-UE fonctionnant sur une infrastructure UE ?

De nombreux modèles du pool hébergé dans l'UE de Tokonomix ont été initialement développés par des parties non-UE (États-Unis, Chine). C'est pertinent pour le RGPD en ce qui concerne l'entraînement des modèles (vos données n'y sont généralement pas impliquées) mais pas pour la relation de sous-traitance lors de l'inférence. Ce qui compte, c'est où le calcul se déroule. Si le modèle s'exécute sur des serveurs dans l'UE, l'avantage de l'hébergement dans l'UE s'applique pour les évaluations de transfert — à condition que le fournisseur ait également correctement documenté ses sous-traitants ultérieurs.

Comment Tokonomix utilise-t-il l'hébergement dans l'UE pour les appels de consensus ?

Dans la passerelle de consensus Tokonomix, vous pouvez définir le routing_intent sur 'eu'. Tokonomix acheminera alors la requête exclusivement vers les fournisseurs dont la hosting_region se trouve dans l'UE. Cela est pertinent pour les applications où tous les modèles participants doivent s'exécuter dans l'UE — p.ex. pour la conformité spécifique au secteur dans les soins de santé ou les services financiers. Le pool UE est plus petit que le pool mondial ; attendez-vous à un choix de modèles légèrement moindre mais à un contrôle total des transferts régionaux.

Quelle est la différence entre hébergé dans l'UE et souverain dans l'UE ?

Hébergé dans l'UE signifie : les serveurs sont dans l'UE. Souverain dans l'UE (ou « souveraineté des données ») va plus loin : le fournisseur est également juridiquement et organisationnellement indépendant des juridictions non-UE, y compris sans société mère étrangère et sans actionnaires étrangers ayant le contrôle. OVH et Mistral s'approchent du modèle souverain ; la plupart des grands hyperscalers (même avec des régions UE) ne le font pas. Pour les exigences de conformité les plus strictes (gouvernement, infrastructure critique), la souveraineté est le critère, pas seulement l'hébergement.

À quelle fréquence les données des fournisseurs sont-elles mises à jour ?

Les données de région d'hébergement dans la base de données Tokonomix sont mises à jour chaque semaine à partir de la documentation officielle des fournisseurs. Les scores de benchmark sont recalculés quotidiennement sur la base de cycles de tests automatisés. Si vous constatez une divergence, vous pouvez proposer une correction via le bouton de retour d'information sur la page du fournisseur.