Désinstallation dans l’ensemble des administrations publiques fédérales belges des applications à partir du 1er décembre
Une circulaire en septembre, la désinstallation aujourd’hui. Malgré de nombreux signaux venus de l’étranger, la Belgique n’a pas été rapide. Pourquoi avoir interdit DeepSeek si tard ?
« En interdisant l’usage de ce système, nous faisons preuve de vigilance afin de garantir que nos administrations restent un espace sûr, protégé et exemplaire », commente Vanessa Matz, ministre de l’Action et de la Modernisation publiques.
L’interdiction concerne tant les services fédéraux, que les entreprises publiques autonomes, les institutions publiques, la Défense, la police fédérale… Elle vaut pour l’ensemble des appareils de service utilisés par le personnel, à savoir « les appareils dont les frais d’abonnement, d’utilisation ou d’achat sont pris en charge en partie ou en totalité par les pouvoirs publics ».
La ministre avait déjà lancé le 11 septembre une circulaire visant à interdire l’usage de l’IA chinoise. Dans celle-ci, elle insistait sur l’importance de la fiabilité de toute technologie utilisée par les services fédéraux », rappelant au passage la Charte pour une utilisation responsable de l’IA, signée par toutes les administrations fédérales en juin.
Premier pays à réagir, l’Italie
Mais pourquoi avoir attendu si longtemps pour désinstaller ? L’Italie a été le premier pays à avoir ouvert une enquête sur DeepSeek, à qui elle a interdit de traiter les données d’utilisateurs italiens. Saisie par Altroconsumo, une association de protection des consommateurs, le Garante per la protezione dei dati personali a annoncé le 28 janvier 2025 avoir envoyé une demande d’information à Hangzhou DeepSeek Artificial Intelligence et Beijing DeepSeek Artificial Intelligence, les deux sociétés qui fournissent le service de chatbot, à la fois sur la plateforme web et sur l’application.
Le Garante souhaitait savoir « quelles données personnelles sont collectées, à partir de quelles sources, à quelles fins et sur quelle base juridique et si elles sont stockées sur des serveurs situés en Chine ». Elle interrogeait également l’entreprise sur la provenance des données d’entraînement de ses modèles. Pour se défendre, DeepSeek a affirmé que n’étant pas établi en Italie, la législation ne lui était pas applicable.
C’aurait-pu être un signal. A-t-il été entendu ? Après l’Italie, les autorités taïwanaises ont interdit à leurs fonctionnaires et à des infrastructures clés d’utiliser les applications de la start-up chinoise, invoquant des risques pour « la sécurité nationale de l’information ». Cette décision a été suivie quelques jours plus tard par l’Australie. Puis par la Corée du Sud.
Un déficit de garanties, souligné par le Luxembourg
Début février, c’est la CNPD au Luxembourg qui réagissait officiellement, constatant des difficultés, voire une impossibilité, pour les autorités comme pour les personnes d’exercer leurs droits prévus par le GDPR : « l’absence d’un représentant de l’entreprise DeepSeek dans l’Union européenne crée une insécurité juridique pour les utilisateurs du Luxembourg et de l’UE. »
Pour la CNPD, il y a clairement « un déficit de garanties claires en matière de conformité au RGPD, un manque de transparence sur la gouvernance de cette IA, ainsi que l’implication potentielle d’acteurs étatiques ou tiers dans la gestion des données, amplifiant les risques de violation des données personnelles et du droit fondamental au respect de la vie privée. »
La Belgique, à l’issue d’une analyse demandée au CCB, est arrivée à la même conclusion. Mais un peu tard. Et donc avec quels risques ?
