Spheriq AI travaille avec des informations qui sont précieuses et souvent sensibles pour les organisations à but non lucratif et les organismes de financement. Ce qui n’a pas été rendu public dans un profil est souvent digne de protection ou porte les traces de contextes de travail internes qui doivent également rester internes. La protection des données n’est pas un ajout, mais le fondement de l’architecture de Spheriq AI.
Dans le secteur associatif, il ne s’agit pas seulement de données organisationnelles publiques. Les demandes peuvent contenir des informations sur la maladie, la pauvreté, la situation sociale, les groupes vulnérables, les stratégies organisationnelles ou des détails financiers qui ont un caractère confidentiel. Même les informations institutionnelles les plus anodines peuvent être sensibles, par exemple lorsqu’elles permettent d’identifier des personnes, des décisions de financement ou des décisions stratégiques.
La protection des données est particulièrement importante dans le secteur à but non lucratif
Il en va de même pour l’autre partie : l’accès aux subventions n’est pas simplement une question « technique ». Il est régi par des statuts et des directives qui ne sont pas entièrement publics, mais aussi par des discussions internes et des décisions humaines qui sont prises dans un cadre confidentiel. Une IA qui apporte son soutien dans cet environnement doit donc être particulièrement attentive aux données.
Spheriq AI suit le principe suivant : l’IA ne peut utiliser que ce que l’utilisateur concerné est autorisé à voir lui-même dans le contexte concret. Elle n’a pas une vue libre sur toutes les données, mais travaille de manière cohérente dans le cadre des autorisations existantes. L’IA n’est donc disponible que pour les utilisateurs connectés, car ils sont les seuls à voir un contexte de plate-forme spécifique. L’accès est basé sur les rôles et le contexte. Cela signifie qu’un utilisateur sur un profil d’organisation, un bailleur de fonds dans le contexte d’une demande ou une organisation à but non lucratif lors de la recherche de subventions ont chacun des points de vue et des possibilités d’accès différents. Spheriq AI reprend exactement ces limites. L’IA ne voit pas plus que les utilisateurs eux-mêmes.
L’IA de confiance comme principe directeur
Mais la protection des données n’est pas la seule à avoir des conséquences. De manière générale, on attend une utilisation responsable de la technologie dans le secteur à but non lucratif, en particulier en ce qui concerne l’IA. Des concepts tels que « Responsible AI » ou « Explainable AI » se sont entre-temps établis. L’architecture de Spheriq s’inspire de ces principes reconnus pour une IA fiable (voir la première partie de la série d’articles de fond : Spheriq AI comme pipeline).
Elles ont été formulées de manière particulièrement claire dans les lignes directrices du groupe d’experts en IA de la Commission européenne (des principes comparables peuvent être trouvés à l’OCDE, l’UNESCO, l’ISO, l’IEEE, le BSI ou le Conseil de l’Europe). Ces sept exigences sont particulièrement pertinentes pour Spheriq AI :
- Supervision humaine : Spheriq AI aide à la préparation et au classement, mais ne prend pas de décision d’éligibilité.
- Robustesse technique et sécurité : le pipeline vérifie le contexte, l’accès aux données, l’évidence et la réponse avant d’émettre un résultat.
- Protection et gestion des données : l’IA n’utilise que les informations accessibles dans le contexte de rôle et de travail concerné.
- Transparence : les outils, documents et sources utilisés doivent rester compréhensibles.
- Équité et non-discrimination : les évaluations sont basées sur des critères professionnels, des profils, des logiques de promotion et des preuves documentées, et non sur des attributions invisibles.
- Bien-être social et environnemental : Spheriq AI est exploité de manière à préserver les ressources et, pour des raisons écologiques (entre autres), il n’utilise pas de modèles de haute performance gourmands en énergie.
- Responsabilité : les étapes de traitement, les sources et les bases de décision restent vérifiables.
De par son architecture, Spheriq AI est fondamentalement conçu pour un traitement peu gourmand en données. Le contexte est fourni avec précision et n’est pas recherché à chaque fois sur le web. Les données ne sont donc pas utilisées n’importe comment, mais traitées dans le cadre d’étapes de travail clairement définies.
Une infrastructure souveraine
Le traitement des données de Spheriq AI a lieu dans son propre environnement de données. L’IA est gérée par PeakPrivacy, la plateforme suisse pour les applications d’IA souveraines. Alors que les services d’IA courants transfèrent les données vers des hyperscalers internationaux, PeakPrivacy exploite ses modèles dans des centres de données en Suisse, en Allemagne et en France, ce qui garantit qu’aucune donnée ne quitte les serveurs ou n’est utilisée pour l’entraînement des modèles d’IA.
Cette architecture renforce la gouvernance pour tous les utilisateurs. Elle réduit les risques liés aux pays tiers, aux fournisseurs et au contrôle. Cela est particulièrement important pour les organisations qui traitent des données de demande, des évaluations internes ou des documents confidentiels.
Pourquoi ne pas simplement utiliser ChatGPT ?
Les outils d’IA généraux sont puissants, mais ils ne sont pas automatiquement conçus pour répondre aux exigences spécifiques du secteur associatif en matière de protection des données. Les personnes qui saisissent des données dans des chats d’IA bien connus comme ChatGPT ou Claude doivent vérifier au cas par cas si ces données peuvent être partagées, si elles sont personnelles ou confidentielles et si leur utilisation est compatible avec les directives internes.
Le modèle de contrat, mais aussi le traitement des commandes du point de vue du propriétaire des données saisies, sont décisifs. Par le passé, les droits d’accès des autorités étrangères ont également été un sujet récurrent, notamment pour les États-Unis, où la plupart des modèles sont exploités. En outre, divers exemples rendus publics montrent que des données d’utilisateurs ont été utilisées pour l’entraînement de modèles, même si l’entreprise avait affirmé le contraire auparavant.
Spheriq AI adopte ici une approche complètement différente. L’IA fonctionne avec un accès contrôlé, utilise les ensembles de données existants et les traite entièrement sur l’infrastructure contrôlée de PeakPrivacy. L’IA est ainsi directement utilisable au sein de l’espace de travail protégé. La combinaison du contrôle d’accès et de l’infrastructure souveraine crée ainsi une double sécurité.
Responsabilité et contrôle humain
La protection des données ne s’arrête pas à la technique. Spheriq AI est conçu comme un système de soutien. Elle peut structurer les informations, faire des suggestions, évaluer l’adéquation, identifier les lacunes ou préparer des textes. Cependant, les décisions ayant un impact important sur les personnes ou les organisations sont toujours prises par des personnes.
C’est particulièrement vrai pour les décisions de subvention. Spheriq AI peut certes soutenir un examen préliminaire, appliquer une logique de subvention ou préparer une expertise. Mais il ne décide pas de l’acceptation ou du refus. D’un point de vue juridique, ces décisions doivent toujours être assumées par les personnes et les organes de l’organisme de financement.
Pour Spheriq AI, la protection des données est un principe architectural de base. L’accès basé sur les rôles, l’obligation de se connecter, la minimisation des données, l’infrastructure souveraine sans apprentissage de modèles et les sources traçables forment ensemble un cadre solide. Ainsi, l’IA peut être utilisée là où elle est particulièrement utile dans le secteur à but non lucratif : directement dans le travail quotidien, avec un contexte clair, un accès contrôlé aux données et sans perdre le contrôle.
