Zero Data Retention : comment l'IA protège vraiment vos données d'entreprise
Comment cette garantie contractuelle protège vos données IA, et pourquoi toutes les solutions ne se valent pas. Le ZDR appliqué chez Elosia, expliqué.
Chaque jour, vos équipes envoient des dizaines de requêtes à des outils d’intelligence artificielle : reformuler un contrat, analyser un rapport financier, préparer une négociation commerciale. Des données parfois hautement confidentielles. Mais savez-vous réellement ce qu’il advient de ces informations une fois envoyées ?
C’est précisément la question que posent aujourd’hui les DAF, DRH et directions juridiques des entreprises françaises. Et c’est là qu’entre en jeu un concept encore peu connu mais fondamental : le Zero Data Retention, ou ZDR.
Dans cet article, nous allons vous expliquer concrètement ce qu’est le Zero Data Retention, comment il fonctionne techniquement (sans jargon), pourquoi toutes les solutions IA ne l’appliquent pas de la même façon et comment Elosia en a fait un standard par défaut.
Pourquoi la confidentialité des données IA est devenue un enjeu stratégique
L’adoption de l’IA en entreprise s’est accélérée à une vitesse que peu de directions avaient anticipée. Selon une étude Google Cloud de 2025, plus de 50 % des entreprises déclarent avoir des agents IA en production. Des outils comme ChatGPT, Claude ou Gemini sont utilisés quotidiennement par des collaborateurs qui, souvent, ne se posent pas la question de ce que le prestataire fait de leurs données.
Or, la réglementation, elle, a rattrapé les usages. En février 2025, la CNIL a publié de nouvelles recommandations pour encadrer l’utilisation de l’IA au regard du RGPD, rappelant le principe fondamental de minimisation des données : ne collecter et ne traiter que ce qui est strictement nécessaire. Dans ce contexte, envoyer des données sensibles à un modèle d’IA dont la politique de rétention est floue expose l’entreprise à des risques réels juridiques, réputationnels, et concurrentiels.
La question n’est plus « est-ce que l’IA est utile ? » elle l’est, indéniablement. La question est : à quelles conditions peut-on l’utiliser sans mettre en danger les informations stratégiques de l’entreprise ?
Zero Data Retention (ZDR) : de quoi parle-t-on exactement ?
Le Zero Data Retention, ou zéro rétention de données, désigne une garantie contractuelle selon laquelle un fournisseur d’infrastructure s’engage à ne stocker vos données à aucun moment. Ni vos questions, ni les réponses générées, ni aucun élément de contexte que vous auriez fourni.
Concrètement : votre message est traité en mémoire vive, une réponse est générée, puis tout est supprimé. Rien n’est écrit sur disque. Rien n’est conservé. Rien ne peut être utilisé pour entraîner un modèle ou être consulté ultérieurement.
C’est une application directe du principe de minimisation des données du RGPD et une réponse concrète aux inquiétudes légitimes des directions d’entreprise sur la confidentialité des données IA.
À ne pas confondre avec : « nous ne nous entraînons pas sur vos données ». Cette promesse, souvent mise en avant par les fournisseurs d’IA, ne signifie pas que vos données ne sont pas stockées. Un prestataire peut très bien conserver vos requêtes pendant 30 jours à des fins de modération ou de débogage, sans pour autant les utiliser pour entraîner ses modèles. Le ZDR va plus loin : aucune rétention, point.
Comment fonctionne le ZDR techniquement ? L’analogie Netflix
Pour comprendre le ZDR sans rentrer dans des détails techniques, une analogie suffit.
Pensez à Netflix. Netflix produit des films et des séries. Mais quand vous regardez un contenu, il n’est pas diffusé depuis les serveurs de Netflix en direct, il transite par l’infrastructure d’AWS ou d’un réseau de distribution (CDN). Netflix (le producteur) n’est jamais dans la boucle de diffusion. Ce qui compte pour vous, c’est la qualité de l’image et la sécurité de vos données de visionnage, pas l’identité du datacenter qui héberge le fichier.
Le ZDR appliqué à l’IA fonctionne exactement de la même manière.
Le modèle classique (sans ZDR)
Votre message → API du fournisseur IA → Modèle traite → RéponseDans ce schéma, votre requête transite directement par les serveurs du créateur du modèle (Anthropic, OpenAI, etc.). Ces acteurs hébergent le modèle sur leur propre infrastructure, avec leurs propres politiques de rétention. Ils peuvent techniquement logger et stocker vos requêtes, même s’ils affirment ne pas s’en servir pour l’entraînement. La garantie contractuelle de non-rétention n’est pas toujours au rendez-vous.
Le modèle ZDR via Amazon Bedrock, Google Vertex AI, DeepInfra, etc.
Votre message → Infrastructure AWS (Bedrock) ou Google (Vertex AI) → Modèle traite → RéponseIci, le fonctionnement change radicalement. Anthropic (par exemple) fournit les poids du modèle, les fichiers qui définissent ses capacités à AWS, Google, etc. via des accords commerciaux de licence. AWS et Google déploient ensuite ces poids sur leur propre infrastructure. Le modèle tourne sur des GPU AWS, Google etc. pas sur les serveurs d’Anthropic.
Ce que cela change concrètement :
- Vos données ne passent jamais par Anthropic c’est le point clé.
- AWS et Google ont des engagements contractuels de non-rétention : les prompts et réponses sont traités en mémoire et supprimés immédiatement.
- C’est le même modèle (mêmes poids, mêmes capacités), simplement hébergé sur une infrastructure tierce certifiée.
- Amazon Bedrock est certifié ISO, SOC, HIPAA et conforme RGPD.
- Google Vertex AI s’engage contractuellement à ne pas utiliser vos données pour entraîner ses modèles sans votre accord explicite.
Anthropic est rémunéré via un accord de licence et non via l’API. Il n’a aucun accès à vos données, aucune visibilité sur vos requêtes.
Pourquoi l’API directe d’Anthropic n’est pas ZDR
Anthropic n’a pas fait certifier son API directe au même standard de non-rétention qu’exige un label ZDR strict. Cela ne signifie pas nécessairement qu’ils stockent vos données, mais ils ne fournissent pas la garantie contractuelle formelle qu’offrent Bedrock ou Vertex AI. Dans un contexte de conformité RGPD, c’est précisément cette garantie contractuelle qui compte.
Comment Elosia applique le ZDR : strict par défaut, sans compromis
Chez Elosia, nous avons fait du Zero Data Retention un standard, pas une option.
Plus de 90 % des modèles disponibles sur Elosia sont accessibles en mode ZDR. Cela signifie que lorsque vous utilisez Claude, Gemini, Llama ou d’autres modèles via la plateforme, vos données sont traitées exclusivement sur des infrastructures ZDR et ne transitent jamais par les serveurs des créateurs de modèles s’ils ne sont pas certifiés ZDR.
Mais nous allons plus loin. Elosia applique une règle stricte : si un modèle est marqué ZDR mais que le provider disponible à l’instant T ne l’est pas, la plateforme bascule automatiquement vers un autre provider ZDR. Pas de dégradation silencieuse de la confidentialité. Pas de compromis à votre insu.
En pratique, cela signifie que vous n’avez pas à vous poser de questions au quotidien. Vos équipes utilisent l’IA, les données restent protégées par défaut, automatiquement, contractuellement.
Vous pouvez consulter la liste complète des modèles disponibles et leur statut ZDR sur la page des modèles Elosia.
Ce que le ZDR change concrètement pour votre entreprise
Au-delà de la technique, le Zero Data Retention a des implications directes sur la façon dont vous pouvez et devez envisager l’usage de l’IA en entreprise.
Pour le DAF : les données financières, les prévisions budgétaires, les éléments de due diligence que vos équipes soumettent à un outil IA ne sont pas stockées, ne peuvent pas faire l’objet d’une fuite, et ne seront jamais utilisées pour entraîner un modèle concurrent. La garantie est contractuelle, pas rhétorique.
Pour le DRH : les données RH sont parmi les plus sensibles au regard du RGPD. Utiliser un outil IA sans ZDR pour rédiger des évaluations, analyser des candidatures ou préparer des entretiens expose l’entreprise à un risque de non-conformité réel. Avec le ZDR, ces données ne quittent jamais votre périmètre de sécurité.
Pour la direction juridique : le ZDR est une réponse concrète à l’exigence de minimisation des données posée par le RGPD et rappelée par la CNIL dans ses recommandations de février 2025. Il permet de documenter une démarche de conformité solide face à un audit.
Pour le DSI : le ZDR s’appuie sur les infrastructures les plus robustes du marché (AWS, Google Cloud), avec des certifications de sécurité de premier niveau ISO 27001, SOC 2, HIPAA, RGPD. Pas besoin de construire une infrastructure souveraine from scratch.
ZDR et stockage local : la double protection d’Elosia
Le ZDR garantit que vos données ne sont pas retenues par les fournisseurs de modèles d’IA. Mais qu’en est-il des données stockées côté plateforme ?
Elosia va plus loin que le ZDR seul. Toutes vos conversations, documents et historiques sont stockés localement, sur votre poste de travail. Aucun document ne quitte jamais votre environnement pour être hébergé sur un serveur externe. C’est la combinaison des deux approches :
- ZDR côté modèle,
- stockage local côté plateforme,
qui constitue la protection la plus complète disponible aujourd’hui pour une entreprise qui souhaite adopter l’IA sans compromis sur la confidentialité.
Conclusion : le ZDR, un critère de sélection non négociable
La question n’est plus de savoir si votre entreprise doit adopter l’IA mais de s’assurer que cette adoption ne se fait pas au détriment de la confidentialité de vos données stratégiques.
Le Zero Data Retention est aujourd’hui le standard contractuel le plus exigeant en matière de protection des données dans l’usage de l’IA. Il ne repose pas sur une promesse marketing, mais sur des engagements juridiques formels portés par les plus grandes infrastructures cloud mondiales.
Elosia a fait le choix d’en faire le mode par défaut pour que vous puissiez vous concentrer sur l’essentiel : tirer parti de l’IA, en toute confiance.
Découvrez les modèles disponibles sur Elosia et leur statut ZDR → elosia.ai/models