Pourquoi lire cet article ?
Imaginez qu’un conseiller bancaire copie le relevé d’un client dans un assistant d’intelligence artificielle (IA) pour résumer son profil de crédit. Le résumé arrive vite, il paraît utile. Mais une question reste ouverte : l’information du client est-elle gardée par l’outil ? Peut-elle être lue par quelqu’un d’autre ? Peut-elle servir à améliorer le service sans accord clair ?
Imaginez aussi un hôpital ou une université qui veut classer des dossiers de patients ou d’étudiants. Les noms, notes, diagnostics, pièces d’identité et adresses doivent-ils être masqués avant usage ? Qui vérifie que ces fichiers ne restent pas stockés plus longtemps que nécessaire ? Avant de demander à une IA de “gagner du temps”, il faut savoir ce qu’elle fait de vos données.
C’est quoi, concrètement ?
Savoir si une IA protège vos données, c’est vérifier si elle traite vos informations comme une banque traite l’argent de ses clients. Une phrase simple : avant d’utiliser une IA, posez sept questions sur ce qu’elle reçoit, pourquoi elle le reçoit, qui peut y accéder, où les données sont gardées, combien de temps elles restent, comment elles sont rendues illisibles aux personnes non autorisées, et si elles servent à entraîner l’outil. L’enjeu n’est pas seulement technique : c’est aussi un risque juridique, financier et de confiance.
Pourquoi c’est important pour vous
- Banques : un relevé, un historique de transaction ou une pièce d’identité client doivent être traités comme des actifs sensibles, pas comme un simple texte à copier-coller.
- Administrations : les fichiers d’état civil, fiscaux ou fonciers exigent une traçabilité claire : qui consulte quoi, quand et pour quelle raison ?
- Universités : les notes, dossiers disciplinaires, mémoires non publiés et informations d’étudiants doivent être anonymisés avant analyse.
- Hôpitaux : un diagnostic ou un résultat d’examen peut exposer une personne à un préjudice médical, social, assurantiel ou juridique.
- Petites et moyennes entreprises (PME) : les données de ressources humaines, salaires, CV, évaluations ou géolocalisation ne doivent pas alimenter des décisions opaques.
Regards depuis le Gabon et l’Afrique
Au Gabon, imaginons une PME de Libreville qui veut utiliser une IA en ligne pour analyser des fichiers clients, ou une université qui souhaite trier des dossiers d’inscription. La première question ne devrait pas être : “l’outil est-il performant ?”, mais : “où partent les données ?”. Le droit gabonais prévoit une autorité chargée de la protection des données personnelles et de la vie privée, l’Autorité pour la protection des données personnelles et de la vie privée (APDPVP). Il prévoit aussi qu’un transfert de données personnelles vers un autre État nécessite une autorisation et un niveau de protection suffisant. Pour l’Afrique francophone, l’enjeu est clair : une IA importée doit respecter les règles locales, pas seulement les conditions du fournisseur.
Pour aller plus loin
Pour les équipes numériques, plusieurs repères existent. Le National Institute of Standards and Technology Artificial Intelligence Risk Management Framework (NIST AI RMF) aide à structurer les risques. La norme International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 42001 organise le management de l’IA. L’Open Worldwide Application Security Project (OWASP) Top 10 for Large Language Model Applications traite les risques des grands modèles de langage (LLM), dont la prompt injection. Microsoft Presidio et Google Cloud Sensitive Data Protection, aussi appelé Data Loss Prevention Application Programming Interface (DLP API), détectent ou masquent des données sensibles. Open Policy Agent (OPA) automatise certaines règles d’accès.
Sources
- CNIL — IA : tenir compte de la protection des données dans la collecte et la gestion des données
- CNIL — Guide de la sécurité des données personnelles 2024
- NIST — Artificial Intelligence Risk Management Framework AI RMF 1.0
- ISO — ISO/IEC 42001:2023 AI management systems
- OWASP — Top 10 for Large Language Model Applications
- IBM — Cost of a Data Breach Report 2025
- Journal officiel du Gabon — Loi n°025/2023 sur les données personnelles
- Union africaine — Convention on Cyber Security and Personal Data Protection


