El reto real, en dos frases
Una IA soberana es una IA cuyo control jurídico, operativo y técnico conserva usted. Lo contrario es una IA cuyo operador puede, en algún momento, verse obligado a entregar sus datos a un Estado tercero — sin que usted lo sepa.
Para la mayoría de las PyMEs, el riesgo es teórico. Para las asesorías contables, las administraciones locales, las empresas industriales con secreto de fabricación, es concreto.
1. El alojamiento físico: dónde están los servidores
El primer criterio, el más evidente, el más mentido. Pregunte: “¿dónde están los servidores en los que se almacenan y tratan mis datos?”. La buena respuesta es precisa (uno o dos centros de datos nombrados, en Francia, operados por un actor francés o europeo).
Una respuesta vaga (“Europa”, “OVH o equivalente”, “centros de datos asociados”) debe activar una alerta. Pida el nombre del centro de datos y la jurisdicción del operador.
2. La jurisdicción aplicable al contrato
El contrato debe regirse por el derecho francés, ante tribunales franceses. Una cláusula “derecho del Estado de Delaware” en un proveedor “soberano” es una bandera roja.
Verifique también la nacionalidad de la sociedad matriz. Una sociedad francesa puede tener una matriz estadounidense, lo que basta para exponer los datos al Cloud Act (vea el punto 7).
3. El modelo de IA utilizado: ¿código abierto o caja negra?
El motor de IA puede ser:
- Código abierto (Mistral, Llama, Qwen y sus variantes), alojado en un operador francés.
- Propietario (OpenAI, Anthropic, Google), accedido vía API.
Los proveedores realmente soberanos hacen funcionar modelos de código abierto en su propia infraestructura. Los proveedores que se limitan a envolver una API de OpenAI no lo son — sus datos pasan por la infraestructura de esos terceros.
4. El uso de los datos para el entrenamiento
Compromiso contractual esperado: “sus datos nunca se utilizan, en ningún caso, para entrenar ni mejorar el modelo”.
Una fórmula más vaga (“no reutilizamos sus datos sin su consentimiento”) abre la puerta a un uso opt-out oculto en las condiciones generales.
5. Los registros de acceso y auditoría
Usted debe poder consultar, en cualquier momento, quién ha accedido a qué: operadores internos del proveedor, usuarios del lado cliente, personal de mantenimiento. Sin esos registros, no puede responder a una auditoría o a una solicitud de la CNIL.
Un proveedor serio facilita registros exportables, con marca de tiempo firmada y duración de conservación parametrizable.
6. La reversibilidad: lo que ocurre cuando usted se va
Tres preguntas que hacer antes de firmar:
- ¿En cuántos días puedo recuperar todos mis datos en un formato utilizable?
- ¿En cuántos días mis datos quedan completamente suprimidos de los servidores y de las copias de seguridad?
- ¿Se entrega un certificado de destrucción?
Respuestas aceptables: 7 días para la exportación, 30 días para la supresión completa, certificado sistemático.
7. La trampa del Cloud Act y las jurisdicciones extraterritoriales
El Cloud Act (EE. UU., 2018) permite a las autoridades estadounidenses exigir a cualquier sociedad estadounidense, o filial, la entrega de datos aunque estén almacenados en Europa. Ningún proveedor con capital estadounidense puede sustraerse a ello, ni siquiera con centros de datos en Francia.
Lo mismo del lado chino (ley de ciberseguridad de 2017). Para una soberanía real, hace falta una cadena 100 % francesa o europea, en todas las etapas — capital, infraestructura, modelos, operadores.
Para profundizar en las preguntas que hacer a su proveedor, vea Las preguntas esenciales que hacer a su proveedor IA. Y nuestra página seguridad y RGPD detalla nuestros compromisos.
Veinte minutos para revisar, punto por punto, los siete criterios anteriores en su proveedor actual o candidato. Le decimos dónde están las banderas rojas.
Reservar demo→