La résidence des données d’IA désigne les exigences géographiques et juridictionnelles qui régissent l’endroit où les données peuvent être stockées, traitées et transférées lorsqu’elles sont utilisées avec des systèmes d’IA. À mesure que les organisations adoptent des services d’IA dans le cloud, garantir la conformité en matière de résidence des données est devenu un enjeu de gouvernance majeur.
Les défis de résidence des données propres à l’IA comprennent : les lieux d’hébergement des services d’IA (de nombreux fournisseurs d’IA traitent les données aux États-Unis, même pour des clients internationaux), la géographie des données d’entraînement (l’origine et le lieu de stockage des données utilisées pour entraîner les modèles), le lieu de traitement de l’inférence (où sont traitées les requêtes des utilisateurs et les réponses de l’IA), la mise en cache et la journalisation des données (stockage intermédiaire des interactions avec l’IA), l’entraînement des modèles sur les données des utilisateurs (le fait de savoir si les entrées des utilisateurs servent à entraîner les modèles et où cet entraînement a lieu) et les transferts transfrontaliers de données déclenchés par les appels aux API d’IA.
Les cadres réglementaires imposant des exigences de résidence des données comprennent : le RGPD (restrictions de transfert de données dans l’UE/EEE), la PIPL et la loi sur la sécurité des données de la Chine, la loi de localisation des données de la Russie, le Digital Personal Data Protection Act de l’Inde, la LGPD du Brésil, ainsi que diverses réglementations sectorielles dans les services financiers et la santé.
Les organisations devraient évaluer les capacités de résidence des données de leurs fournisseurs d’IA, mettre en place des contrôles techniques pour empêcher les données de franchir les frontières juridictionnelles, tenir des registres des lieux où s’effectue le traitement par l’IA et auditer régulièrement les flux de données d’IA pour vérifier la conformité en matière de résidence.