Lorsqu'une entreprise décide d'adopter l'intelligence artificielle générative, la première question technique qui se pose n'est pas quel modèle choisir, mais où ce modèle va s'exécuter. La décision entre déployer l'IA sur votre propre infrastructure (on-premise ou cloud privé) ou la consommer comme service depuis le cloud public a des répercussions directes sur les coûts, la confidentialité des données, la conformité réglementaire et le délai de mise en production. Il n'existe pas de réponse universelle : tout dépend de votre secteur, du type de données que l'IA traite et du volume d'utilisation. Cet article décortique les facteurs clés pour que vous puissiez prendre cette décision en toute connaissance de cause.
Ce que signifie réellement « IA on-premise »
Le terme on-premise dans le contexte de l'IA désigne l'exécution du modèle de langage — ou d'un autre modèle d'IA — sur des serveurs que votre organisation contrôle physiquement, ou dans un cloud privé (cloud privé dans votre propre datacenter ou dans une installation de colocation exclusive). Les données d'entrée et les réponses ne quittent jamais le périmètre que vous gérez.
Les options les plus courantes en 2025-2026 sont :
- Modèles ouverts déployés localement : Llama 3 (Meta), Mistral, Gemma 2 (Google DeepMind) ou Qwen 2.5, exécutés avec Ollama, vLLM ou LM Studio sur vos propres GPU.
- Appliances dédiés : serveurs préconfigurés de NVIDIA (DGX, HGX) ou solutions Dell, HPE et Lenovo avec GPU A100/H100 optimisés pour l'inférence.
- Cloud privé contractualisé : instances GPU dédiées (non partagées) chez des fournisseurs comme Hetzner, OVHcloud ou AWS Outposts où l'infrastructure est logiquement exclusive.
Dans tous les cas, le dénominateur commun est que les données ne traversent jamais une API publique et n'entrent pas dans les systèmes d'entraînement du fournisseur.
Ce que signifie déployer l'IA dans le cloud public
L'alternative consiste à consommer le modèle via l'API d'un fournisseur : OpenAI, Google Vertex AI, AWS Bedrock, Azure OpenAI Service ou Mistral AI Platform sont les plus répandus en Europe. Le modèle s'exécute sur les serveurs du fournisseur ; vous envoyez le prompt et recevez la réponse. L'avantage est évident : pas d'infrastructure propre, pas de GPU, pas de maintenance. Mais les données voyagent hors de votre environnement.
Entre ces deux extrêmes, il existe un éventail d'options intermédiaires : déploiements sur des clouds souverains européens (GAIA-X, Scaleway, T-Systems), accords contractuels de traitement des données avec des fournisseurs hyperscale garantissant que les données ne sont pas utilisées pour le ré-entraînement (comme le Data Processing Addendum d'OpenAI Enterprise ou Azure OpenAI avec la politique « no training on customer data »), et architectures hybrides où une partie du traitement s'effectue en local et l'autre dans le cloud.
Comparatif direct : on-premise vs cloud
| Dimension | On-premise / IA souveraine | Cloud public (API externe) |
|---|---|---|
| Contrôle des données | Total. Les données ne quittent pas le périmètre. | Partiel. Dépend du contrat DPA et de la politique du fournisseur. |
| Coût initial | Élevé (matériel GPU, licences, installation). | Faible ou nul (paiement à l'usage dès le premier token). |
| Coût à l'échelle | Faible par inférence une fois le matériel amorti. | Croît linéairement avec le volume de tokens traités. |
| Latence | Très faible si le GPU est sur le réseau local. | Variable selon la région et la saturation du fournisseur. |
| Qualité du modèle | Limitée aux modèles ouverts (Llama 3, Mistral…) ; légèrement en deçà des modèles propriétaires de pointe. | Accès aux modèles les plus puissants (GPT-4o, Gemini 1.5 Pro, Claude 3.5…). |
| Délai de mise en production | Semaines ou mois (achat, installation, intégration). | Jours, voire heures. |
| Maintenance | Responsabilité interne ou du consultant. | Gérée par le fournisseur (mises à jour, montée en charge). |
| Conformité RGPD | Plus simple ; données sous votre contrôle direct. | Requiert des clauses contractuelles types (CCT) si le fournisseur est hors EEE. |
| AI Act (Règlement UE 2024/1689) | Plus grande autonomie pour gérer le cycle de vie du modèle. | Responsabilité partagée ; le fournisseur assume une partie de la conformité en tant que « fournisseur de modèles d'IA à usage général ». |
| Personnalisation / fine-tuning | Liberté totale sur le modèle de base. | Limitée aux options que le fournisseur propose (fine-tuning OpenAI, Azure…). |
Le cadre réglementaire qui doit guider la décision
RGPD et transferts internationaux de données
Le Règlement général sur la protection des données (RGPD) — Règlement UE 2016/679 — exige que tout traitement de données personnelles respecte les principes de minimisation des données, de limitation de la finalité et de licéité. Lorsque vous envoyez un prompt contenant des données personnelles (nom d'un client, dossier médical, adresse e-mail) à l'API d'un fournisseur américain, vous effectuez un transfert international de données qui nécessite une base juridique adéquate : le Cadre de protection des données UE–États-Unis (Data Privacy Framework, approuvé en juillet 2023 par la Commission européenne par la Décision d'adéquation 2023/1795), les Clauses Contractuelles Types (CCT) mises à jour en 2021, ou des règles d'entreprise contraignantes.
Si les données sont particulièrement sensibles — dossiers cliniques, dossiers du personnel, données financières soumises au secret bancaire —, la solution on-premise élimine à la racine le risque de transfert et simplifie considérablement l'audit RGPD.
AI Act : le Règlement européen sur l'IA
Le Règlement UE 2024/1689 sur l'intelligence artificielle (AI Act), en vigueur depuis août 2024, classe les systèmes d'IA par niveau de risque. Les systèmes à haut risque — applications dans les RH, le crédit, l'accès aux services essentiels, les infrastructures critiques — doivent satisfaire des exigences de traçabilité, de supervision humaine et de documentation technique. Si vous exécutez le modèle dans votre propre infrastructure, vous disposez d'un contrôle total sur les journaux d'inférence, les logs et la chaîne de traçabilité des données, ce qui facilite la démonstration de conformité lors d'un audit. Dans le cloud, cette traçabilité dépend de ce que le fournisseur expose dans ses consoles.
Pour les secteurs réglementés (santé, finance, défense), l'architecture on-premise ou en cloud souverain européen est souvent la seule qui résiste à l'examen du Délégué à la Protection des Données ou du régulateur sectoriel. Si vous avez besoin d'un accompagnement sur l'adéquation de votre système à l'AI Act, nos collègues de Summum Consultoría — AI Act s'occupent de la partie conformité légale et gouvernance.
Réglementations sectorielles complémentaires
Au-delà du RGPD et de l'AI Act, des réglementations sectorielles tranchent souvent le débat sans marge d'interprétation :
- Secteur financier : Le Règlement DORA (Règlement UE 2022/2554), applicable depuis janvier 2025, exige que les entités financières documentent et gèrent le risque de leurs prestataires TIC, y compris les fournisseurs d'IA en cloud.
- Secteur de la santé : Le Règlement sur l'Espace Européen des Données de Santé (EHDS, en cours de finalisation) introduira des restrictions supplémentaires sur le traitement des données cliniques hors EEE.
- Administrations publiques et leurs prestataires : Le Schéma National de Sécurité espagnol (ENS, Décret Royal 311/2022) impose que les systèmes TIC supportant des services publics soient hébergés dans des infrastructures offrant des garanties équivalentes ; en pratique, cela pousse vers un cloud souverain ou un cloud privé certifié.
Quand choisir le on-premise (IA souveraine)
La solution on-premise est la plus adaptée lorsqu'un ou plusieurs de ces facteurs sont réunis :
- Données particulièrement sensibles : dossiers médicaux, secret professionnel (avocats, auditeurs), casiers judiciaires, données concernant des mineurs.
- Volume d'inférence élevé et stable : si vous traitez des dizaines de milliers de requêtes par jour de façon continue, le coût par token des API cloud peut dépasser le coût d'amortissement du matériel dédié en quelques mois.
- Exigence de très faible latence : applications en temps réel (analyse vocale sur appels, vision industrielle sur ligne de production) où la latence réseau vers un datacenter externe n'est pas acceptable.
- Personnalisation profonde du modèle : si vous devez effectuer un fine-tuning continu avec des données propriétaires ou adapter l'architecture du modèle, le on-premise offre une liberté totale.
- Environnements air-gapped : installations industrielles, défense ou infrastructures critiques sans connexion à Internet.
- Exigence du client ou du contrat : cahiers des charges de marchés publics, contrats avec de grands groupes ou exigences d'audit interdisant explicitement le traitement externe.
Si votre organisation correspond à ce profil, chez Summum IA nous concevons et déployons des architectures d'IA souveraine on-premise : de la sélection du modèle à l'intégration avec vos systèmes internes, en passant par le durcissement de la sécurité et la documentation pour l'AI Act.
Quand choisir le cloud public
Le cloud présente des avantages décisifs dans d'autres scénarios :
- Projets pilotes ou preuves de concept : démarrer avec une API cloud permet de valider le cas d'usage en quelques jours, sans investissement en matériel.
- Demande variable ou saisonnière : si le volume de requêtes fluctue fortement (campagnes, pics saisonniers), le cloud s'adapte automatiquement et le coût s'ajuste à l'usage réel.
- Accès aux modèles de pointe : si la qualité du modèle est critique — par exemple, rédaction juridique complexe, analyse de contrats, génération de code avancée —, les modèles de pointe des API publiques surpassent encore les meilleurs modèles ouverts sur les tâches cognitivement exigeantes.
- Données non sensibles : si le prompt ne contient pas de données personnelles ni d'informations confidentielles (requêtes sur des catalogues publics, résumés d'actualités, traduction de textes d'entreprise génériques), le cloud est tout à fait valide au regard du RGPD avec les garanties contractuelles appropriées.
- Petite équipe technique : gérer une infrastructure GPU on-premise nécessite une ingénierie MLOps spécialisée ; si vous ne la disposez pas, le cloud réduit considérablement la charge opérationnelle.
La voie intermédiaire : RAG avec données en local et modèle dans le cloud
Une architecture très répandue chez les PME qui souhaitent tirer parti des deux mondes est la Génération Augmentée par Récupération (RAG) avec segmentation des données. Le schéma fonctionne ainsi : les documents propriétaires (manuels, contrats, base de connaissances) restent indexés dans un vector store au sein de votre infrastructure ; au moment de la requête, le système récupère en local les fragments pertinents et les injecte dans le prompt, qui voyage ensuite vers l'API du fournisseur cloud. Le modèle externe n'accède jamais directement à votre base documentaire ; il ne traite que le contexte que vous sélectionnez.
Cette architecture n'élimine pas totalement le risque de transfert — les fragments sélectionnés quittent bien votre environnement —, mais elle le minimise et permet d'utiliser des modèles cloud de haute qualité pour le raisonnement sans exposer le corpus complet. Combinée à un accord DPA solide, c'est la solution que la majorité des entreprises européennes adoptent en 2025-2026.
Coût réel : le calcul à effectuer avant de décider
L'une des erreurs les plus fréquentes consiste à comparer le coût du cloud avec celui du matériel on-premise sans tenir compte de tous les facteurs. Le calcul correct inclut :
- On-premise : matériel GPU (un NVIDIA H100 80 Go était affiché à environ 25 000–35 000 € en 2025), serveur de calcul, stockage, réseau, onduleur, rack, électricité, climatisation, personnel de maintenance, licences de logiciels d'inférence, mises à jour du modèle, sécurité.
- Cloud : coût par token (par exemple, GPT-4o facture environ 2,50 $/M tokens en entrée et 10 $/M tokens en sortie en 2025 ; Mistral Large environ 2 $/M en entrée ; Llama 3 70B sur Bedrock environ 0,27 $/M en entrée), auxquels s'ajoutent les coûts réseau, le stockage du contexte et d'éventuelles licences d'orchestration.
La règle pratique que nous appliquons dans nos projets de conseil : au-delà de 500 millions de tokens traités mensuellement de façon stable, le on-premise s'amortit généralement en moins de 18 mois. En deçà de ce seuil, le cloud est économiquement plus efficace, sauf contraintes liées aux données.
Questions fréquentes
Puis-je utiliser ChatGPT avec des données clients sans enfreindre le RGPD ?
Cela dépend de l'offre et du contrat. Les versions gratuite et payante standard de ChatGPT utilisent les conversations pour améliorer les modèles d'OpenAI, ce qui peut constituer une cession de données. ChatGPT Enterprise et l'API OpenAI avec Data Processing Addendum signé garantissent que les données du client ne sont pas utilisées pour le ré-entraînement et permettent de choisir la région de traitement (y compris l'Europe). Même dans ce cas, OpenAI étant une société américaine, les règles de transfert international de données s'appliquent et requièrent le cadre DPF ou les CCT. Si les données sont particulièrement sensibles, consultez votre DPO avant d'activer toute intégration.
Quels modèles ouverts sont les plus adaptés au déploiement on-premise en 2026 ?
En juin 2026, les modèles open source les plus utilisés en déploiement on-premise en entreprise sont Llama 3.1 (70B et 405B) de Meta, Mistral Large 2 et Qwen 2.5 72B d'Alibaba Cloud (licence Apache 2.0 pour usage commercial). Pour les tâches de codage, DeepSeek Coder V2 est très compétitif. Le choix dépend de la langue principale (Qwen 2.5 offre un meilleur support multilingue pour l'espagnol), de la taille du GPU disponible et de la tâche spécifique. Chez Summum IA, nous évaluons et testons les modèles avant d'en recommander un pour chaque cas d'usage.
Une PME peut-elle se permettre une IA on-premise ?
Avec du matériel de gamme intermédiaire, c'est désormais possible. Un GPU NVIDIA RTX 4090 (environ 2 000 €) ou un A10G (environ 4 000 € d'occasion) suffit pour exécuter des modèles de 7B à 13B paramètres en quantification 4 bits avec une qualité raisonnable. Les modèles plus grands (70B+) nécessitent un investissement plus important, mais l'écosystème d'outils de quantification (GGUF, GPTQ, AWQ) a considérablement démocratisé l'accès. La clé est de dimensionner la solution au cas d'usage : toute PME n'a pas besoin d'un modèle de 70B. Pour de nombreux cas d'automatisation documentaire ou d'assistance interne, un modèle de 8B bien ajusté est suffisant.
Comment l'AI Act affecte-t-il le déploiement on-premise ?
L'AI Act classe les systèmes par risque, non par architecture de déploiement. Cela signifie qu'un système on-premise à haut risque a les mêmes obligations de documentation, de traçabilité et de supervision humaine qu'un système en cloud. Ce qui change, c'est la responsabilité opérationnelle : si vous utilisez l'API d'un fournisseur, celui-ci assume une partie des obligations en tant que « fournisseur de modèles d'IA à usage général » (GPAI) au titre de l'Article 51 de l'AI Act ; si vous déployez votre propre modèle, vous êtes le fournisseur et le responsable. Cela alourdit la charge de conformité, mais vous donne également un contrôle total sur la documentation technique requise. Notre équipe de conformité technique à l'AI Act peut vous aider à structurer cette documentation quel que soit le modèle de déploiement choisi.