Une alternative à l'IA des géants de la tech · Essai n° 4 sur 7

Votre modèle, vos murs

Pour les équipes qui ne peuvent pas stocker de données sensibles dans le cloud d’un tiers : une IA qui fonctionne au sein de votre propre infrastructure et qui ne communique jamais avec l’extérieur.

Résumé. Pour un service de conseil, une équipe de gestion de cas, un conseil d’administration traitant des questions commerciales sensibles, un prestataire de soins de santé (hauora), ou une unité chargée de la sécurité au sein d’une grande organisation, « c’est dans le cloud » est une façon polie d’exprimer le problème. La plupart des IA utilisées dans les logiciels d’entreprise analysent votre texte en l’envoyant vers le modèle d’un fournisseur, sur une infrastructure que vous ne contrôlez pas, soumise à une juridiction étrangère. The Village conserve le modèle là où se trouvent déjà les données : chaque communauté exploite son propre modèle modeste, hébergé sur une infrastructure souveraine située en Nouvelle-Zélande et sur le territoire de l’UE, et aucune donnée ne sort pour entraîner le produit de quelqu’un d’autre. En juin, nous avons supprimé le dernier chemin de code permettant à un Village d’appeler un modèle externe, quel qu’il soit. Cet essai explique ce que « votre modèle, vos murs » signifie dans la pratique.

Télécharger le PDF Présentation sous forme de diapositives PDF de présentation

Messages clés — cliquez sur n’importe quelle ligne pour lire la section

Un travail qui ne peut pas sortir de la piècePour les travaux sensibles, « c’est dans le cloud » est une façon polie de poser le problème.
  • Les notes de consultation, les dossiers de cas, la stratégie du conseil d’administration, les dossiers des patients ne doivent pas être une vitrine que d’autres peuvent observer.
  • C’est une question d’architecture, pas d’un simple commutateur mal réglé : les données doivent être transférées pour qu’un modèle cloud puisse les lire.
  • Ces équipes n’ont pas besoin d’une meilleure promesse concernant les données qui sont parties ; elles ont besoin qu’elles ne partent pas.

Certaines organisations ont jugé que tout le débat sur l’IA passait à côté de l’ essentiel, car il part d’un postulat disqualifiant : pour utiliser l’IA, il faut envoyer ses données sur l’ordinateur de quelqu’un d’autre. Une note de consultation. Un dossier de protection de l’enfance. La stratégie d’un conseil d’administration avant sa publication. Un dossier médical. Pour les personnes en charge de ces documents, la question n’a jamais été « quel assistant IA est le meilleur ». C’était « comment puis-je obtenir de l’aide à ce sujet sans que ces données ne quittent la pièce ? » De la part des principaux fournisseurs, la réponse a été : c’est impossible.

La cause réside dans l’architecture elle-même. Une fonctionnalité d’IA dans le cloud analyse votre texte en le transmettant au modèle du fournisseur, où il est traité selon une politique que vous devez accepter sur la base de la confiance et qui, au moment de l’utilisation, est visible par une partie autre que vous. Vous pouvez lire la page sur le traitement des données, cocher la case « entreprise », croire chaque mot, mais le fait demeure : les informations sensibles ont quitté vos locaux pour que la machine puisse les lire. Pour des contenus ordinaires, ce risque est gérable. Pour les contenus sensibles, c’est là tout le problème, et aucun bouton ne peut y remédier, car ce bouton ne régit que ce qu’un fournisseur fait des données qu’il détient déjà.

Où « le cloud » emmène réellement vos donnéesUne fonctionnalité d’IA dans le cloud lit votre texte en l’envoyant hors du bâtiment.
  • Ces données reposent sur l’infrastructure de quelques grandes entreprises, soumises à la législation étrangère où que vous soyez.
  • Votre texte peut être conservé, examiné ou servir à élaborer la prochaine version du modèle.
  • La question décisive est « puis-je savoir partout où cela a été » — et la réponse est négative.

« Dans le cloud », pour ce type de travail, signifie trois choses :

  • les données reposent sur une infrastructure appartenant à l’une des rares très grandes entreprises, dont la plupart sont soumises au droit étranger, où que vous et vos membres vous trouviez ;
  • l’IA qui les analyse est le modèle du fournisseur, sur le matériel du fournisseur ;
  • votre texte peut être conservé, peut être examiné, peut influencer la prochaine version du modèle, et est au moins lisible par le fournisseur au moment de son utilisation.

Il n’y a là aucune malveillance. C’est la nature même de l’accord : l’intelligence leur appartient, fonctionne sur leur plateforme, et vos données doivent y être transférées.

Pour une équipe soucieuse de la sécurité, cette configuration est rédhibitoire. Leur modèle de menace se résume à une seule question : puis-je rendre compte, à un régulateur, à un tribunal ou à la personne à qui appartient ce dossier, de tous les endroits où ces informations ont été ? Dès que la réponse inclut « puis elles ont été transmises à un modèle situé dans un autre pays », le compte rendu est invalidé. Une meilleure garantie concernant les données qui ont déjà quitté le territoire ne vaut rien à leurs yeux. Ils ont besoin que les données ne quittent pas le territoire.

A high-country lake below snow peaks at dusk, Aotearoa New ZealandLe modèle réside là où se trouvent déjà les données — sur un territoire souverain.Aotearoa Nouvelle-Zélande · © My Digital Sovereignty
Un modèle à l’intérieur de vos mursThe Village exécute le modèle là où se trouvent déjà les données — pas besoin de faire appel à OpenAI, Google ou Anthropic.
  • Un modèle ouvert modeste d’environ 14 milliards de paramètres, affiné par communauté, fonctionnant sur une infrastructure d’inférence auto-hébergée.
  • Juin 2026 : la voie de consentement pour l’IA externe a été supprimée ; le journal d’audit n’enregistre que le moteur propre au Village.
  • « Les données ne sortent pas » est désormais une propriété du logiciel, et non plus une promesse — elles n’ont nulle part où aller.
  • Une limite honnête : nous ne prétendons pas surpasser les modèles de pointe ; notre atout réside dans la garde des données, et non dans le QI brut.

Le Village conserve le modèle là où se trouvent déjà les données. Chaque type de communauté exploite son propre modèle modeste, un modèle ouvert d’environ quatorze milliards de paramètres, optimisé pour le travail que cette communauté effectue réellement, sur une infrastructure souveraine en Nouvelle-Zélande et dans l’UE, jamais sur le cloud d’un hyperscaler. Une organisation qui en a besoin peut faire déployer The Village sur sa propre infrastructure. Il n’y a aucun recours à OpenAI, Google ou Anthropic à aucun stade du processus. Un petit modèle remplit tout de même des fonctions utiles : répondre à une question, résumer un long fil de discussion, rédiger une note à faire valider par un humain, aider un nouveau venu à trouver ses marques. Tout cela se passe en interne. La manière dont chaque modèle est affiné, mis à disposition et maintenu hors de tout cloud externe est détaillée dans le guide explicatif de Village AI disponible à l’adresse mysovereignty.digital/village-ai.html.

En juin, nous avons fermé la dernière porte. Nous avons supprimé external_ai de la liste des finalités auxquelles un membre peut donner son consentement ; ainsi, le journal d’audit n’enregistre désormais que le moteur propre au Village, ou une simulation locale, comme source de toute sortie d’IA. Il n’existe plus de chemin de code par lequel un Village accède à un modèle externe. « Les données ne sortent pas » n’est plus une politique de confidentialité à laquelle il faut croire ; c’est une propriété du logiciel, car les données n’ont nulle part où aller.

Une mise en garde s’impose, car une interprétation erronée de ce principe équivaut à un mensonge. Notre modèle à quatorze milliards de paramètres ne surpasse pas les plus grands systèmes de pointe , et le corpus l’a toujours affirmé. Ces modèles sont extraordinaires ; un modèle communautaire est modeste à côté d’eux. Ce que nous proposons ici est différent : une intelligence qui ne quitte jamais votre garde. Pour des travaux véritablement sensibles, cela vaut mieux qu’un modèle plus intelligent auquel vous devez envoyer vos fichiers par e-mail. Une réponse brillante qui nécessite que votre dossier quitte les locaux est une mauvaise réponse.

Sunflowers in a field at golden hour, Aotearoa New ZealandAdapté à votre contexte, et non à la moyenne mondiale.Aotearoa Nouvelle-Zélande · © My Digital Sovereignty
Contexte spécifique, pas de moyenneUn modèle qui ne voit que votre type de travail saisit les détails que la moyenne mondiale fait disparaître.
  • Les modèles de pointe sont conçus pour appartenir à tout le monde — ce qui fait qu’en réalité, ils n’appartiennent à personne.
  • Le vôtre est adapté à votre contexte et fonctionne selon vos propres règles.
  • Aucun de ces détails ne devient jamais les données d’entraînement de quelqu’un d’autre.

Un modèle qui vit au sein d’une communauté présente un avantage discret, et il va à l’encontre de l’idée reçue selon laquelle « plus c’est grand, mieux c’est ». Un modèle Frontier est conçu pour appartenir à tout le monde à la fois, ce qui fait que, dans les détails, il n’appartient à personne. Il connaît la moyenne de la façon dont l’ensemble d’Internet aborde un sujet, mais pas la manière dont votre paroisse, votre cabinet ou votre équipe chargée d’un dossier fonctionne réellement. Un modèle « Village » est adapté sur mesure au type de communauté qu’il dessert et fonctionne selon les règles propres à cette communauté. En ne prenant en compte que votre type de travail, dans votre contexte, il saisit avec précision les détails qu’une moyenne globale gomme : le vocabulaire local, les obligations spécifiques, la façon dont vos collaborateurs s’expriment. Et aucun de ces détails ne devient une donnée d’entraînement pour le produit de quelqu’un d’autre. Situé, et non moyenné.

Jusqu’où pouvez-vous l’intégrer dans vos murs ?Choisissez l’épaisseur de vos murs — jusqu’à l’intégralité du système sur votre propre matériel.
  • Partagé mais cloisonné → une base de données dédiée → entièrement hébergée chez vous.
  • Modèle « hub-and-spoke » : les membres ne sont en contact qu’avec les modérateurs qui les aident — pour le conseil, la gestion de cas, le mentorat.
  • Votre logo, vos couleurs, votre vocabulaire, votre nom de domaine et votre messagerie — cela ressemble à ce qui vous appartient, car c’est le cas.

C’est à la communauté de décider du degré de séparation dont elle a besoin :

  • la plupart fonctionnent sur une infrastructure partagée, les données de chaque communauté étant séparées des autres par un logiciel, ce qui suffit à la grande majorité ;
  • ceux qui en veulent davantage peuvent disposer de leur propre base de données, qui leur est exclusivement réservée ;
  • ceux qui ne souhaitent en aucun cas placer leurs données sur la machine de quelqu’un d’autre peuvent faire déployer le Village sur leur propre infrastructure.

Dans les trois cas, une constante demeure : les données restent sur un territoire souverain, hors du cloud de tout hyperscaler, et le modèle qui les analyse est celui de la communauté elle-même. La plateforme sert aussi bien le cercle de tricot que l’ unité de gestion de cas ; ce qui diffère, c’est uniquement le degré de séparation que vous avez demandé.

Les barrières s’appliquent également au sein d’une communauté, lorsque le travail l’exige. Pour le conseil, la gestion de cas, le mentorat et le recrutement, le Village dispose d’un mode dans lequel les membres ordinaires ne peuvent contacter que les modérateurs qui les aident, et non les autres membres. La personne qui sollicite de l’aide n’est jamais exposée à une salle remplie d’inconnus dans la même situation ; la relation de soutien reste privée. Le même principe s’applique à la structure de la communauté plutôt qu’à son infrastructure. Ce mode « hub-and-spoke » fonctionne dans la démo de recrutement à l’adresse recruitment-demo.mysovereignty.digital.

Et comme il s’agit du vôtre, il vous ressemble : votre logo, vos couleurs, le vocabulaire que vos collaborateurs utilisent réellement plutôt que le jargon commercial de quelqu’un d’autre, votre propre domaine, votre propre messagerie.

A rain squall sweeping over farmland toward the sea, Aotearoa New ZealandPour certains, la barrière doit être absolue.Aotearoa Nouvelle-Zélande · © My Digital Sovereignty
Qui a besoin de murs aussi épais ?La plupart n’en ont pas besoin ; ceux qui en ont besoin savent exactement de qui il s’agit.
  • Des équipes soucieuses de la sécurité au sein de grandes organisations qui savent que « c’est dans le cloud » n’est pas une réponse.
  • Les services de conseil et de hauora dont le devoir de confidentialité est le fondement même de leur travail.
  • Les conseils d’administration traitant de questions commerciales sensibles ou confidentielles ; les services relevant d’une autorité de régulation.

La plupart des communautés s'en sortiront très bien avec des solutions plus légères. Pour celles qui ont besoin de murs épais, ce besoin est absolu, et elles savent qui elles sont :

  • l’équipe soucieuse de la sécurité au sein d’une grande organisation, qui a déjà conclu que « c’est dans le cloud » n’est pas une réponse pour ce qu’elle détient ;
  • les services de conseil et de santé (hauora), dont le devoir de confidentialité est le fondement même de leur travail ;
  • le conseil d’administration traitant des questions commercialement sensibles ou juridiquement privilégiées ;
  • l’unité relevant d’une autorité de régulation qui, un jour, demandera un compte rendu complet du parcours d’une information.

Pour toutes ces communautés, l’offre est précise et vérifiable : le modèle fonctionne à l’intérieur de vos murs, vos données ne les quittent pas, et il n’y a plus de porte par laquelle elles pourraient s’échapper.

C’est la partie de la série consacrée à la garde des données. Les essais précédents soutenaient que l’IA devait vous appartenir et connaître sa place ; celui-ci explique ce que « vous appartenir » signifie lorsque les données sont trop sensibles pour qu’on puisse se contenter de moins. Les prochains articles s’orienteront vers l’extérieur : gérer et promouvoir votre propre « Village » en réseau, s’associer à d’autres selon des conditions que vous fixez et que vous pouvez révoquer. Ils reposent tous sur cette base. Les murs viennent en premier.

Le Village est un système opérationnel, pas une brochure — découvrez-le sur mysovereignty.digital. Le Village exécute ses propres modèles sur une infrastructure d’inférence auto-hébergée, sans aucun chemin d’accès au code d’une IA externe ; « les données ne sortent pas » est une propriété de l’ architecture, pas une promesse politique. — John G. Stroh, My Digital Sovereignty Ltd., juin 2026.