Tensoria Réserver un créneau
Parlons de votre projet : 07 82 80 51 40
Ingénierie & BET Par Anas R.

Sécurité des Données et IA en Bureau d'Études

La sécurité des données est le frein numéro un à l'adoption de l'IA dans les bureaux d'études. Pas le coût, pas la complexité technique, pas le manque de compétences. La peur que des données sensibles de projets finissent sur les serveurs d'un fournisseur cloud américain, accessibles à des tiers ou utilisées pour entraîner un modèle d'intelligence artificielle.

Cette inquiétude est légitime. Un bureau d'études manipule des informations à forte valeur : plans de projets non publiés, prix de marché, données clients maîtres d'ouvrage, propriété intellectuelle sur des méthodes de calcul. La moindre fuite peut avoir des conséquences contractuelles, concurrentielles et juridiques graves.

Mais entre la prudence raisonnée et le blocage complet, il y a un fossé que beaucoup de BET ne parviennent pas à franchir. Le résultat : leurs concurrents qui ont compris comment déployer l'IA de manière sécurisée gagnent en productivité pendant que les autres restent à l'écart. Cet article fait le point sur ce qui est réellement risqué, ce qui ne l'est pas, et comment protéger concrètement vos données tout en tirant parti de l'IA.

Points clés à retenir

    • La sécurité des données est le premier frein à l'adoption de l'IA dans les BET, mais les solutions existent et sont accessibles
    • L'API professionnelle et l'interface web gratuite n'offrent pas du tout le même niveau de protection des données
    • Le RGPD et l'AI Act encadrent l'utilisation de l'IA sans l'interdire, avec des obligations proportionnées au risque
    • Un hébergement en France ou en Europe, combiné à des règles internes claires, couvre 90% des besoins de sécurité d'un BET
    • La checklist de sécurité avant déploiement tient en 10 points vérifiables en une demi-journée

Pourquoi la sécurité des données bloque l'adoption de l'IA dans les BET

Le secteur de l'ingénierie est historiquement prudent sur la question des données. Et pour cause. Un bureau d'études travaille sous accords de confidentialité avec ses clients, manipule des informations qui ont une valeur stratégique directe (prix, méthodes, projets en cours), et opère dans un cadre réglementaire de plus en plus strict.

Selon la Fédération CINOV, qui représente plus de 4 000 entreprises du conseil et de l'ingénierie, la question de la confidentialité des données revient systématiquement comme le premier sujet de préoccupation lorsque l'on parle d'IA avec les dirigeants de BET.

Les craintes les plus courantes :

  • Mes données de projets vont-elles être utilisées pour entraîner le modèle ? Un concurrent pourrait-il obtenir des informations similaires en interrogeant le même outil ?
  • Où sont physiquement stockées les données ? Sur des serveurs américains soumis au Cloud Act ? En Europe ? En France ?
  • Que se passe-t-il en cas de fuite ? Qui est responsable ? Le BET ? Le fournisseur d'IA ? L'éditeur de la solution ?
  • Les accords de confidentialité avec nos MOA nous autorisent-ils à utiliser l'IA sur les données de leurs projets ?

Ces questions sont pertinentes. Le problème, c'est que beaucoup de dirigeants de BET s'arrêtent à la question sans chercher la réponse. Or les réponses existent, elles sont documentées, et les solutions techniques pour sécuriser l'utilisation de l'IA sont aujourd'hui matures.

Le vrai risque, c'est l'immobilisme

Pendant que certains BET refusent toute utilisation de l'IA par principe de précaution, d'autres déploient des assistants IA internes avec des architectures sécurisées et gagnent 30 à 50% de productivité sur la rédaction technique. Le fossé concurrentiel se creuse chaque mois.

Ce qui est réellement envoyé à un LLM quand vous utilisez l'IA

Avant de parler de solutions, il faut comprendre ce qui se passe techniquement quand un ingénieur utilise un outil d'IA générative. La plupart des inquiétudes viennent d'une méconnaissance du fonctionnement réel.

Le mécanisme en trois étapes

  1. Envoi de la requête (prompt) : l'utilisateur envoie un texte (et éventuellement un fichier) au serveur du fournisseur d'IA. Ce texte transite par une connexion chiffrée (HTTPS/TLS).
  2. Traitement par le modèle : le serveur utilise le modèle pour générer une réponse. Le texte envoyé est traité en mémoire vive, le temps de la requête.
  3. Renvoi de la réponse : le résultat est renvoyé à l'utilisateur. La requête peut être conservée temporairement (logs) ou supprimée, selon les conditions du fournisseur.

Ce que le modèle ne fait pas

Contrairement à une idée reçue très répandue, le modèle n'apprend pas en temps réel de vos requêtes. Quand vous envoyez un CCTP à ChatGPT pour le reformuler, le modèle GPT-4 ne "mémorise" pas votre document. L'entraînement d'un LLM est un processus distinct, massif, qui se fait sur des mois avec des datasets préparés en amont.

Ce qui peut poser problème, en revanche :

  • La conservation des logs : certains fournisseurs conservent les conversations pour améliorer leurs services ou détecter les abus
  • L'utilisation pour l'entraînement futur : sur les interfaces grand public, les conversations peuvent alimenter les futurs cycles d'entraînement (sauf opt-out explicite)
  • L'accès par les employés du fournisseur : pour le débogage ou la modération, certains employés peuvent accéder aux conversations

L'analogie utile

Envoyer une requête à une API d'IA, c'est comparable à envoyer un document par email à un prestataire externe pour traduction ou relecture. La question n'est pas « faut-il le faire ou non ? » mais « avec quelles garanties contractuelles et techniques ? ». Le même raisonnement s'applique.

API, interface web, instance privée ou modèle local : le comparatif sécurité

Tous les modes d'accès à l'IA ne se valent pas en matière de protection des données. Voici un comparatif clair des quatre options disponibles pour un bureau d'études.

Critère Interface web gratuite API professionnelle Instance cloud privée Modèle on-premise
Données utilisées pour l'entraînement Oui, sauf opt-out manuel Non (engagement contractuel) Non Non (rien ne sort)
Localisation des données USA principalement Variable (EU possible) France / EU au choix Vos propres serveurs
Conservation des logs 30 jours minimum 30 jours (ZDR possible) Configurable Vous décidez
DPA / contrat RGPD Conditions générales Oui (Data Processing Agreement) Oui, personnalisable Non nécessaire
Coût indicatif (BET 10 pers.) Gratuit à 20 EUR/mois/pers. 50 à 200 EUR/mois total 500 à 2 000 EUR/mois 5 000 EUR+ (matériel + maintenance)
Adapté pour un BET classique Non recommandé Oui, recommandé Oui, pour projets sensibles Projets défense / classifiés

L'API professionnelle, le bon compromis pour la majorité des BET

Pour un bureau d'études de 5 à 50 personnes, l'API professionnelle offre le meilleur rapport sécurité/coût/performance. Concrètement, cela signifie :

  • Aucune donnée utilisée pour l'entraînement : OpenAI, Anthropic (Claude), Mistral et Google s'engagent contractuellement à ne pas entraîner leurs modèles sur les données transmises via l'API
  • Un DPA conforme au RGPD : un accord de traitement des données (Data Processing Agreement) encadre juridiquement la relation
  • Un chiffrement de bout en bout : les données transitent en TLS 1.2+ et sont chiffrées au repos (AES-256)
  • Des options d'hébergement européen : Azure OpenAI propose des régions France et Europe, Mistral est hébergé sur Scaleway (France), Anthropic propose des régions EU via AWS

C'est sur cette base que nous construisons les solutions IA pour les bureaux d'études que nous accompagnons. L'interface utilisateur est développée sur mesure, et seules les requêtes nécessaires transitent vers l'API, avec un contrôle total sur ce qui est envoyé.

Quand envisager une instance privée ou un modèle local

L'instance cloud privée (un modèle déployé sur votre propre tenant cloud, par exemple via Azure, OVH ou Scaleway) se justifie quand :

  • Vos contrats clients interdisent explicitement tout transfert de données vers un tiers
  • Vous travaillez sur des projets d'infrastructures sensibles (défense, nucléaire, sites classés)
  • Le volume de requêtes justifie économiquement un déploiement dédié

Le modèle on-premise (hébergé sur vos propres machines) est rarement nécessaire pour un BET. Il implique un investissement matériel significatif (GPU), une maintenance technique, et les modèles open-source disponibles localement (Llama, Mistral) sont encore en retrait par rapport aux modèles cloud sur les tâches complexes d'ingénierie.

Les données sensibles d'un bureau d'études et comment les protéger

Toutes les données d'un BET ne sont pas sensibles au même degré. Identifier ce qui doit être protégé permet d'adopter des mesures proportionnées plutôt qu'un blocage généralisé.

Classification des données par niveau de sensibilité

Niveau Type de données Exemples concrets Mesure de protection
Critique Projets classifiés, données défense Plans de sites militaires, infrastructures SEVESO Modèle on-premise uniquement, air gap
Élevé Prix, marges, stratégie commerciale BPU, DPGF, métrés chiffrés, offres en cours API privée ou instance dédiée, anonymisation
Modéré Données projets non publiés CCTP en cours, plans d'exécution, notes de calcul API professionnelle avec DPA, hébergement EU
Faible Connaissances génériques Normes DTU, réglementations publiques, guides RAGE Tout mode d'accès convient

Les bonnes pratiques de protection

Quelle que soit l'architecture choisie, ces pratiques réduisent considérablement les risques :

  • Anonymiser avant d'envoyer : remplacer les noms de clients, de projets et d'adresses par des identifiants génériques avant de soumettre un document à l'IA. Un script de pré-traitement peut automatiser cette tâche
  • Segmenter les requêtes : au lieu d'envoyer un document complet, n'envoyer que les extraits pertinents. Un assistant RAG bien conçu fait cela automatiquement
  • Séparer les flux : utiliser l'IA pour les tâches à faible sensibilité (reformulation de clauses génériques, recherche normative) et des processus manuels pour les données critiques (prix, stratégie)
  • Contrôler les accès : définir qui peut utiliser l'IA et sur quels types de projets, avec des droits différenciés par rôle
  • Journaliser les usages : garder une trace de ce qui est envoyé à l'IA pour audit interne et conformité

Cas concret d'un BET de 15 personnes

Un bureau d'études fluides que nous avons accompagné utilise l'IA via une API Mistral hébergée en France (Scaleway). Les ingénieurs accèdent à un assistant IA interne qui reformule les CCTP, vérifie la conformité DTU et génère des brouillons de mémoires techniques. Les noms de clients et les adresses de projets sont automatiquement remplacés par des codes internes avant toute requête. Les prix et les BPU ne passent jamais par l'IA. Résultat : 40% de temps gagné sur la rédaction, zéro incident de sécurité.

RGPD et AI Act, ce que dit la loi pour les bureaux d'études

Le cadre juridique autour de l'IA en entreprise est désormais clair. Deux textes principaux encadrent l'utilisation de l'IA dans un BET : le RGPD (en vigueur depuis 2018) et l'AI Act européen (application progressive de 2025 à 2027).

Ce que le RGPD impose concrètement

Le RGPD s'applique dès que des données personnelles sont traitées par un système d'IA. Pour un bureau d'études, cela concerne principalement les données des personnes physiques (noms de contacts MOA, coordonnées, parfois des données de riverains dans les études d'impact).

La CNIL a publié des fiches pratiques spécifiques à l'IA qui précisent les obligations :

  • Finalité définie : vous devez savoir pourquoi vous utilisez l'IA et le documenter (aide à la rédaction, recherche documentaire, vérification normative)
  • Minimisation des données : n'envoyer au modèle que les données strictement nécessaires à la tâche, pas le dossier complet
  • Base légale : l'intérêt légitime est généralement la base applicable pour un BET qui utilise l'IA comme outil de productivité, mais il doit être documenté
  • DPA avec le fournisseur : un Data Processing Agreement conforme à l'article 28 du RGPD doit être en place avec le fournisseur d'IA
  • Information des personnes : si des données personnelles sont traitées par l'IA, les personnes concernées doivent en être informées

En pratique, un BET qui utilise l'IA pour reformuler des CCTP ou rechercher dans sa base documentaire manipule très peu de données personnelles. La mise en conformité RGPD est donc relativement simple pour la majorité des cas d'usage.

L'AI Act et ses implications pour les BET

Le règlement européen sur l'intelligence artificielle (AI Act) adopté en 2024 entre en application progressivement :

  • Février 2025 : interdiction des systèmes IA à risque inacceptable (manipulation, scoring social)
  • Août 2025 : obligations pour les modèles d'IA à usage général (transparence, droits d'auteur)
  • Août 2026 : obligations complètes pour les systèmes IA à haut risque (documentation, gestion des risques, supervision humaine)

Pour un bureau d'études, la classification dépend de l'usage :

  • Risque minimal (pas d'obligations spécifiques) : utiliser l'IA pour rédiger des CCTP, rechercher des documents, reformuler du texte, générer des synthèses
  • Risque potentiellement élevé : utiliser l'IA pour produire des calculs structurels, vérifier la conformité sismique, dimensionner des ouvrages dont la défaillance pourrait mettre en danger la sécurité des personnes

Dans le second cas, l'AI Act imposera des obligations de documentation technique, de traçabilité des décisions et de supervision humaine systématique. Ce qui, dans les faits, correspond déjà aux bonnes pratiques d'un BET sérieux : l'ingénieur valide toujours les résultats de l'IA avant de les intégrer dans un livrable.

Ce que préconise l'ANSSI

L'ANSSI a publié 35 recommandations de sécurité pour les systèmes d'IA générative. Les principales pour un BET : intégrer la sécurité dès la conception, mener une analyse de risque avant le déploiement, évaluer la confiance dans les sources de données, et prendre en compte la confidentialité dès l'architecture du système.

Checklist sécurité avant de déployer l'IA dans votre BET

Voici la checklist concrète et actionnable que nous utilisons chez Tensoria lors de chaque audit IA pour un bureau d'études. Chaque point est vérifiable en quelques minutes.

Avant le choix de la solution

  1. Cartographier vos données sensibles : lister les types de documents qui passeront par l'IA, les classer par niveau de sensibilité (voir le tableau ci-dessus). Identifier les données qui ne doivent jamais transiter par un service externe
  2. Vérifier les accords de confidentialité clients : relire vos contrats cadre avec les MOA pour identifier d'éventuelles clauses restrictives sur l'utilisation d'outils tiers pour le traitement de leurs données
  3. Définir la politique d'usage interne : rédiger un document clair (une page suffit) qui précise ce que les collaborateurs peuvent et ne peuvent pas envoyer à l'IA, avec des exemples concrets

Lors du choix du fournisseur

  1. Exiger un DPA conforme : le fournisseur doit fournir un Data Processing Agreement conforme à l'article 28 du RGPD, précisant la localisation des données, la durée de conservation et les mesures de sécurité
  2. Vérifier la non-utilisation pour l'entraînement : obtenir un engagement écrit (contractuel, pas juste marketing) que vos données ne seront pas utilisées pour entraîner ou améliorer les modèles
  3. Privilégier l'hébergement EU/France : choisir des solutions hébergées en Europe, idéalement en France. Mistral (Scaleway), Azure OpenAI (région France Central), OVH AI Endpoints sont des options concrètes
  4. Vérifier les certifications : ISO 27001 pour le fournisseur d'IA et l'hébergeur, HDS si vous traitez des données de santé (rare pour un BET mais possible sur certains projets hospitaliers)

Lors du déploiement

  1. Mettre en place l'anonymisation automatique : configurer un filtre qui remplace les noms propres, adresses et références projets par des identifiants génériques avant tout envoi à l'IA
  2. Activer la journalisation : logger toutes les requêtes envoyées à l'IA (sans stocker les réponses complètes si non nécessaire) pour permettre un audit interne ultérieur
  3. Former les équipes : une session de 2 heures suffit pour expliquer les bonnes pratiques, les interdits, et montrer comment utiliser l'outil de manière sécurisée. La formation est d'ailleurs une recommandation explicite de l'ANSSI

Cette checklist prend une demi-journée

Les points 1 à 3 relèvent du dirigeant du BET. Les points 4 à 7 sont traités lors de la sélection du prestataire IA (un audit IA couvre ces questions). Les points 8 à 10 sont des actions techniques qui se mettent en place lors du déploiement. Au total, c'est une demi-journée de travail pour lever le principal frein à l'adoption de l'IA.

Les architectures sécurisées pour un BET connecté à l'IA

Concrètement, comment s'organise un système d'IA sécurisé dans un bureau d'études ? Voici les trois architectures que nous déployons chez nos clients BET, de la plus simple à la plus sécurisée.

Architecture 1 : API sécurisée avec couche métier

C'est la solution la plus courante et celle qui offre le meilleur rapport sécurité/coût. Le principe :

  • Une application web interne (hébergée chez vous ou sur un cloud EU) sert d'interface aux ingénieurs
  • L'application applique les règles de sécurité (anonymisation, filtrage, journalisation) avant d'envoyer les requêtes à l'API du fournisseur d'IA
  • La base documentaire RAG reste sur vos serveurs ou sur un cloud EU dédié
  • Seuls les extraits pertinents (et anonymisés) transitent vers l'API pour la génération

Cette architecture est celle que nous recommandons pour 80% des bureaux d'études. Elle permet de bénéficier des modèles les plus performants (GPT-4, Claude, Mistral Large) tout en gardant le contrôle sur les données.

Architecture 2 : modèle dédié en cloud privé

Pour les BET qui travaillent sur des projets sensibles (grands équipements publics, hôpitaux, data centers), un modèle déployé sur un tenant cloud privé élimine le risque de mutualisation :

  • Un modèle (Mistral, Llama, ou un modèle fine-tuné) tourne sur des GPU dédiés à votre usage
  • Aucune donnée ne quitte votre périmètre cloud
  • Le coût est plus élevé mais la garantie de confidentialité est maximale

Architecture 3 : modèle on-premise pour les projets classifiés

Réservée aux BET travaillant sur des projets défense ou des infrastructures classifiées. Le modèle tourne sur des machines physiques dans vos locaux, sans connexion internet. Les performances sont inférieures aux modèles cloud, mais la sécurité est absolue.

Ce que font les BET qui ont réussi leur transition vers l'IA

Les bureaux d'études qui utilisent l'IA avec succès partagent des caractéristiques communes dans leur approche de la sécurité.

Ils commencent par les cas d'usage à faible risque. La recherche documentaire intelligente, la reformulation de clauses génériques, la synthèse de documents réglementaires. Ces tâches ne nécessitent pas l'envoi de données sensibles et permettent aux équipes de se familiariser avec l'outil.

Ils montent progressivement en sensibilité. Une fois la confiance établie et les processus de sécurité rodés, ils passent à la rédaction de CCTP assistée par l'IA, puis à l'analyse de DCE, en ajustant les mesures de protection à chaque étape.

Ils impliquent le responsable qualité dès le début. Dans un BET certifié ISO 9001, l'intégration de l'IA dans les processus doit être documentée dans le système qualité. Cela peut paraître administratif, mais c'est un excellent cadre pour structurer la démarche de sécurité.

Ils ne cherchent pas la perfection. Un système sécurisé à 95% et opérationnel vaut mieux qu'un système parfait qui n'est jamais déployé. L'objectif est de protéger ce qui doit l'être, pas de construire un bunker numérique.

Questions fréquentes sur la sécurité des données et l'IA en bureau d'études

Cela dépend du mode d'accès. Sur l'interface web gratuite ou Plus, les conversations peuvent être utilisées pour l'entraînement sauf si vous désactivez manuellement cette option. En revanche, via l'API, les offres Team, Enterprise ou Business, OpenAI s'engage contractuellement à ne pas utiliser vos données pour l'entraînement. C'est la même logique chez Anthropic, Mistral ou Google : l'API et les offres professionnelles offrent des garanties bien plus solides que l'interface grand public.
Oui, à condition de respecter plusieurs principes : définir une finalité claire pour le traitement, minimiser les données personnelles envoyées au modèle, choisir un hébergeur certifié avec un DPA conforme, et informer les personnes concernées si leurs données sont traitées. La CNIL a publié des fiches pratiques spécifiques à l'IA qui détaillent ces obligations. Un bureau d'études manipule rarement des données personnelles massives, ce qui simplifie la mise en conformité.
Pas nécessairement. Pour la majorité des bureaux d'études, une API professionnelle hébergée en Europe (comme Mistral sur Scaleway, ou Azure OpenAI en région France) offre un niveau de sécurité suffisant. Le déploiement on-premise n'est justifié que pour les BET travaillant sur des projets classifiés défense ou des infrastructures critiques soumises à des exigences de sécurité renforcées.
Les risques principaux sont : la fuite de données de projets non publiés vers un fournisseur cloud étranger, la violation d'accords de confidentialité avec les maîtres d'ouvrage, l'exposition de prix et de marges dans les conversations avec le modèle, et potentiellement des sanctions RGPD si des données personnelles sont traitées sans base légale. En 2025, un bureau d'études français a subi le vol de 844 Go de données, rappelant l'importance de la sécurisation.
Oui, mais de manière indirecte pour la plupart. L'AI Act classe les systèmes d'IA par niveau de risque. Un BET qui utilise l'IA comme outil d'aide à la rédaction ou à la recherche documentaire est généralement dans la catégorie risque minimal, sans obligations spécifiques. En revanche, si l'IA produit des calculs structurels ou des vérifications de conformité qui impactent la sécurité des bâtiments, le système pourrait être classé à risque élevé, avec des obligations de documentation, de traçabilité et de supervision humaine.

Pour aller plus loin

Vous voulez utiliser l'IA sans compromettre la confidentialité de vos projets ?

Réservez un audit sécurité IA gratuit. On analyse vos contraintes de confidentialité, vos données sensibles, et on vous propose une architecture adaptée à votre BET.

Réserver un appel découverte (30 min)

Articles liés

Ingénierie & BET

Extraire automatiquement les CCTP, DPGF et plans avec l'IA, ce que ça change vraiment pour les PME BTP

Comment l'IA extrait prescriptions, quantités et métrés d'un DCE complet en moins d'une heure. Architecture, modèles LLM, limites réelles et ROI chiffré pour artisans et bureaux d'études.

Lire l'article Ingénierie & BET

IA et Notes de Calcul Thermique RE2020 pour les Bureaux d'Études

Comment l'IA rédige les notes de calcul thermique RE2020 à partir des sorties Pleiades et Perrenoud. Bbio, Cep, Ic construction, DH : usages concrets pour les BET.

Lire l'article Ingénierie & BET

IA Dimensionnement CVC : ce que l'assistant apporte vraiment au BET Fluides

L'IA ne remplace pas Pleiades ni ClimaWin pour le dimensionnement CVC réglementaire. Découvrez ce qu'elle fait vraiment bien en appui à l'ingénieur fluides →

Lire l'article
Anas Rabhi, data scientist spécialisé en IA générative
Anas Rabhi Data Scientist & Fondateur de Tensoria

Je suis data scientist spécialisé en IA générative. J'aide les entreprises à économiser du temps grâce à des solutions d'IA sur mesure, adaptées à leur métier. Automatisation de tâches répétitives, assistants internes, traitement intelligent de documents : je conçois des outils qui s'intègrent dans vos processus existants et produisent des résultats concrets.

Discuter de votre projet Découvrir nos services