Risque et IA : le cas DeepSeek

« Le R1 de DeepSeek est un modèle impressionnant, notamment au niveau rapport qualité-prix » - Sam Altman, fondateur d’Open AI et créateur de ChatGPT. 
« C’est un avertissement pour nos industriels » - Donald Trump, nouveau président des États-Unis. 
« Moment Sputnik de l’IA » - Marc Andreessen, gourou de la tech et du capital-risque. 
« Encourageant pour l’Europe » - Neil Lawrence, professeur en machine learning à l’université de Cambridge.

Ce serait un euphémisme de dire que le lancement du chatbot DeepSeek a provoqué des remous dans la sphère du digital et même bien au-delà. La start-up chinoise éponyme a sorti deux modèles d’intelligence artificielle notamment spécialisées dans la résolution de problèmes complexes en décembre 2024 et en janvier 2025 : le V3 et le R1. Mais qu’est-ce qui différencie cet énième entrant dans la course à l’IA d’une concurrence déjà exacerbée ?

Son coût. D’après l’équipe de DeepSeek, il aurait été conçu avec « seulement » 5,6 millions de dollars contre les habituels centaines de millions investis dans la Silicon Valley et autre hubs européens. Autre avantage : sa demande en énergie serait beaucoup moins faible que les grands acteurs du domaine, qui se basent principalement sur des data centers extrêmement énergivores.

Controverses

Pourtant, au-delà de ses capacités extraordinaires, son retour sur investissement et son impact écologique qui fait frémir jusqu’à Washington, l’arrivée de ce nouvel acteur suscite beaucoup d’interrogations. Outre les doutes concernant la source de ses capacités (utilisation de puces Nvidia selon Alexandr Wang, PDG de Scale AI) ou l’impossibilité de poser des questions sur des figures politiques chinoises ou des événements portant atteinte au régime de l’Empire du Milieu, DeepSeek relance le débat sur l’utilisation des données d’un pays qui n’a pas toujours fait preuve de transparence quant à ses activités et objectifs en ligne.

Qu’est-ce que DeepSeek fait ?

L’entreprise collecte diverses données sur ses utilisateurs, incluant des informations personnelles comme l’adresse électronique et le numéro de téléphone, des données comportementales telles que les rythmes de frappe, et le contenu des échanges avec le chatbot. C’est leur business model comme l’affirme Clara Ripault, avocate spécialisée en IA et confidentialité des données : « Ils réutilisent les données comprises dans les prompts des utilisateurs pour pouvoir améliorer leurs algorithmes et entraîner leur IA derrière ».

Que fait DeepSeek des données collectées ?

Conformément à sa politique de confidentialité, DeepSeek stocke ces données en Chine. La société se réserve également le droit de partager ces informations avec les autorités policières ou gouvernementales pour se conformer aux lois et procédures légales.

Quelles sont les réactions provoquées par DeepSeek ?

De par le monde, l’entrée fracassante de la marque chinoise sur le marché de l’IA a poussé de nombreux responsables à prendre la parole :

• La réponse la plus sérieuse à ce jour (fin janvier 2025) provient de l’Italie : Garante, l’autorité nationale de protection des données, a donné 20 jours à DeepSeek pour donner des réponses sur son utilisation des données personnelles, et plus particulièrement sur l’objectif de sa collecte et son modèle de stockage en Chine
• Aux Etats-Unis où le bannissement temporaire de TikTok continue de provoquer des remous, la Maison-Blanche a confirmé que des enquêtes sont en cours pour déterminer les risques quant à la sécurité nationale
• Le ministre australien des industries et des sciences a invité ses compatriotes à être très prudent en utilisant l’outil

Protection, droit et loi

Les termes et conditions de DeepSeek ne mentionnent pas une seule fois le RGPD ni le Standard Contractual Clause (SCC) ou des éléments cruciaux comme la source de ses modèles de données ou de garanties sur le transfert des données de l’UE vers des pays extraterritoriaux. Ces manquements aux règles (et bien d’autres encore) suscitent des interrogations voire des doutes sur les politiques et objectifs de l’entreprise. 

Il convient de préciser que tout organisme opérant en Union européenne est soumis à des règles strictes et ce, peu importe leur origine géographique. Les français et leurs homologues européens bénéficie du cadre juridique solide du Règlement Générale sur la Protection des Données (RGPD) et de l’AI Act pour faire valoir leurs droits.

Est-ce que DeepSeek est conforme au RGPD ?

Selon Me. Ripault : « L’entreprise ne semble pas respecter le RGPD sur plusieurs point comme la collecte de données personnelles concernant des européens aux fins d’entraînement de leurs IA. Une demande d’information a d’ailleurs été adressée à Deepseek par la Cnil italienne afin d’avoir de plus amples informations sur la façon dont Deepseek se conforme ou non au RGPD ».

Depuis la promulgation de la loi en 2018, les citoyens européens disposent des droits suivants :

1. Droit d’accès : Vous pouvez demander à DeepSeek de vous informer sur les données personnelles qu’elle détient à votre sujet, leur origine et les finalités de leur utilisation
2. Droit de rectification : Si vous constatez que des données sont inexactes ou incomplètes, vous pouvez demander à DeepSeek de les corriger
3. Droit « à l’oubli » : Dans certaines circonstances, vous pouvez demander à DeepSeek de supprimer vos données personnelles, notamment si elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, si vous avez retiré votre consentement ou si vous vous êtes opposé au traitement
4. Droit à la limitation du traitement : Vous pouvez demander à DeepSeek de limiter l’utilisation de vos données dans certaines situations, par exemple si vous contestez l’exactitude des données ou si vous vous êtes opposé au traitement
5. Droit à la portabilité des données : Vous avez le droit de recevoir les données personnelles que vous avez fournies à DeepSeek dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement
6. Droit d’opposition : Vous pouvez vous opposer à tout moment à l’utilisation de vos données personnelles, notamment à des fins de marketing direct
7. Droit de ne pas être soumis à une décision individuelle automatisée : Vous avez le droit de ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques à votre égard ou qui vous affecte de manière significative de façon similaire

Pour les entreprises, les droits sont similaires mais une approche basée sur la précaution est à recommander :

• Analyser attentivement la politique de confidentialité de DeepSeek : Avant d’utiliser DeepSeek, il est important de lire attentivement sa politique de confidentialité pour comprendre comment vos données seront traitées
• Évaluer les risques : Il est primordial d’évaluer les risques liés à l’utilisation de DeepSeek en termes de protection des données, en tenant compte des spécificités de votre entreprise et des données que vous traitez
• Mettre en place des mesures de sécurité complémentaires : En fonction de votre évaluation des risques, vous devrez peut-être mettre en place des mesures de sécurité complémentaires pour protéger les données de vos clients
• Informer vos clients : Si vous utilisez DeepSeek pour traiter des données personnelles de vos clients, vous devez les informer de ce traitement et de leurs droits en matière de protection des données

Comment exercer ces droits auprès de DeepSeek ?
La société chinoise est tenue de mettre à disposition des mécanismes simples et transparents pour permettre aux utilisateurs d’exercer leurs droits. En général, cela se fait en contactant le responsable de la protection des données de l’entreprise ou en utilisant les formulaires de contact disponibles sur la plateforme.

Que faire en cas de non-respect ?
Si vous estimez que DeepSeek ne respecte pas vos droits en matière de protection des données, vous pouvez déposer une plainte auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) en France.

Est-ce que DeepSeek est conforme à l’AI Act ?

En tant que fournisseur de modèles d’IA, DeepSeek sera concerné par l’AI Act. Pourtant il y ‘a du chemin à faire comme le clame Clara Ripault : « Utiliser les modèles d’IA de la concurrence pour entrainer son propre système est interdit par les conditions générales des concurrents et pourtant ils le font ».

Entrée en vigueur en août 2024 mais appliquée dès février 2025, le règlement européen sur l’intelligence artificielle garantit que les systèmes d’IA utilisés dans l’UE sont fiables, sûrs et respectueux des droits fondamentaux des utilisateurs.

La protection de ceux-ci se feraient de plusieurs manières :

1. Transparence accrue : DeepSeek devrait être plus transparent sur les données collectées, leur utilisation et le fonctionnement de ses algorithmes
2. Responsabilité renforcée : DeepSeek serait tenu responsable des dommages causés par son IA si celle-ci ne respecte pas les exigences de l’AI Act
3. Mécanismes de recours : Les utilisateurs pourraient disposer de mécanismes de recours plus efficaces en cas de problème lié à l’utilisation de DeepSeek

Il existe malgré tout des défis pour l’application de ces directives :

• L’AI Act aura plus de difficultés à contraindre les entreprises extra-européennes
• Les développements rapides dans le domaine de l’IA pourraient rendre difficile l’adaptation de la législation

Pour les entreprises utilisant DeepSeek, il y aura plusieurs éléments à considérer :

• Classification du risque : Les entreprises qui utilisent DeepSeek devront déterminer le niveau de risque de leur application d’IA. Si l’application est considérée comme à haut risque, elles devront se conformer aux exigences spécifiques de l’AI Act pour ce type d’application
• Transparence et explicabilité : L’AI Act met l’accent sur la transparence et l’explicabilité des systèmes d’IA. Les entreprises devront être en mesure d’expliquer comment fonctionne leur application d’IA et comment elle prend ses décisions
• Documentation : L’Act exige que les systèmes d’IA soient accompagnés d’une documentation technique complète. Les entreprises devront s’assurer qu’elles disposent de la documentation nécessaire pour leur application DeepSeek
• Responsabilité : La directive prévoit des règles en matière de responsabilité pour les dommages causés par les systèmes d’IA. Les entreprises devront s’assurer qu’elles sont couvertes en cas de problème

Conclusion

L’apparition soudaine de DeepSeek sur le marché ne fait qu’illustrer une tendance grandissante depuis plusieurs années : l’intelligence artificielle est un domaine-clé, apportant tout autant de bénéfices que de craintes et de risques pour les consommateurs, les sociétés et les gouvernements. Réguler et établir des cadres pour un secteur aussi mouvant s’avère être complexe et repose sur des aspects touchant autant à l’éthique qu’à la technologie. 

Se conformer n’est pas seulement une question d’ordre juridique mais peut également être bénéfique pour le business model de l’entreprise comme le confirme Clara Ripault : « Ce n’est pas dans leur intérêt de se voir interdire le marché européen. Pour réentraîner leur modèle ils ont besoins de données, donc ils ont plutôt intérêt à rester sur le marché ».

Mais ne vous inquiétez pas ! Pour naviguer en toute sérénité à travers les défis que représentent l’IA, il existe une solution ! NAVEX IRM. 
Le logiciel de gestion de la confidentialité des données protège contre tous risques de violation de celles-ci.

Je veux une démo