Résumez cet article avec :
Les AI Gateways se placent entre votre application et chaque modèle d’intelligence artificielle appelé par vos utilisateurs. Elles deviennent donc une couche critique pour la conformité RGPD. Chaque prompt transite par la gateway. Or, ces prompts peuvent contenir des données personnelles : noms, adresses email, dossiers clients, tickets de support, informations de santé, données financières ou documents internes.
En Europe, les exigences vont encore se renforcer à partir d’août 2026, avec l’entrée en application de nouvelles obligations opérationnelles liées à l’EU AI Act, notamment autour de la traçabilité, de la surveillance des systèmes IA et des journaux d’audit, en complément des obligations déjà imposées par le RGPD.
Mais toutes les solutions présentées comme des AI Gateways conformes au RGPD n’appliquent pas les mêmes standards. Certaines proposent un DPA et des contrôles de base sur les données, tout en continuant à router les requêtes vers une infrastructure américaine ou vers des fournisseurs qui ne correspondent pas forcément à vos exigences de conformité.
Cet article compare les meilleures options d’AI Gateways GDPR-compliant en 2026, avec un focus sur les critères vraiment décisifs : résidence des données, routage vers des fournisseurs conformes, DPA, audit logs, contrôle des accès et capacité à fonctionner en production.
Qu’est-ce qu’une AI Gateway conforme au RGPD ?
Une AI gateway est une couche de routage unifiée placée entre votre application et vos fournisseurs de modèles d’IA. Au lieu d’intégrer séparément OpenAI, Anthropic, Google, Mistral, AWS ou Azure, votre application envoie ses requêtes à la gateway. Celle-ci gère depuis un point central le routage des modèles, la répartition de charge, les fallbacks, les logs et l’application des politiques internes.
Une AI Gateway conforme au RGPD va plus loin. Elle ne se limite pas à stocker les données en Europe : elle contrôle la façon dont les données personnelles circulent sur l’ensemble du parcours de la requête IA. Pour les usages sensibles au RGPD, la gateway doit permettre de définir clairement :
- où les requêtes sont routées ;
- où l’inférence est réellement exécutée ;
- quelles données sont journalisées ;
- combien de temps les logs sont conservés ;
- si les données personnelles identifiables sont anonymisées ou masquées avant d’atteindre le modèle ;
- si les conditions de traitement sont encadrées par un DPA.
Le point clé est simple : la résidence des données dans l’UE ne suffit pas. Une gateway peut stocker ses logs en Europe tout en envoyant les prompts vers des modèles exécutés sur une infrastructure américaine. Pour de nombreuses entreprises européennes, cela crée un écart de conformité, car le prompt peut contenir des données personnelles avant même d’être stocké.
Une véritable AI Gateway GDPR-compliant doit donc prendre en charge la résidence des données dans l’UE sur tout le parcours de la requête : routage, inférence et journalisation. Elle doit aussi donner aux équipes assez de contrôle pour restreindre le trafic aux seuls fournisseurs conformes au RGPD, appliquer des règles de conservation des données et démontrer, lors d’un audit, comment les données ont été traitées.
Enfin, selon l’article 28 du RGPD, tout sous-traitant qui traite des données personnelles pour le compte d’une entreprise doit être couvert par un Data Processing Agreement. Dans ce cas, le fournisseur de l’AI Gateway agit comme sous-traitant : le DPA n’est donc pas optionnel.
Pourquoi la couche Gateway est votre principal risque RGPD
Chaque prompt peut contenir des données personnelles
La gateway IA voit chaque prompt avant même qu’il ne soit transmis à un fournisseur de modèles. En production, ces prompts contiennent souvent des noms, des adresses email, des tickets de support, des informations médicales, des données financières, des contrats ou des documents internes.
Dans le cadre du RGPD, cela constitue un traitement de données personnelles. Si l’AI Gateway traite ces données sans base légale, sans contrôle de minimisation, sans règles de conservation et sans garanties de sous-traitance, le risque de non-conformité apparaît directement au niveau de la gateway, même si le fournisseur de modèle utilisé ensuite est lui-même conforme.
Le conflit avec le CLOUD Act
Pour les entreprises européennes, la juridiction compte autant que le lieu d’hébergement. Une AI Gateway incorporée aux États-Unis peut être soumise à des demandes légales des autorités américaines, y compris pour des données stockées en dehors des États-Unis.
L’article 48 du RGPD précise que les transferts ou divulgations exigés par une juridiction ou une autorité d’un pays tiers ne sont reconnus que s’ils reposent sur un accord international, comme un MLAT. Cela crée un conflit juridique : des données hébergées dans l’UE peuvent malgré tout rester exposées à la juridiction américaine.
Utiliser une gateway IA américaine pour traiter des données personnelles européennes représente donc un risque juridique, pas seulement un choix d’infrastructure.
RGPD : articles 5, 28, 30 et 44
Au niveau de la gateway, les obligations RGPD sont très concrètes :
- Article 5 : appliquer la minimisation des données, afin que la gateway ne traite que les informations strictement nécessaires.
- Article 28 : signer un DPA avec chaque sous-traitant qui traite des données personnelles, y compris le fournisseur de la gateway.
- Article 30 : tenir un registre des activités de traitement, incluant les données routées, leur destination, leur finalité et les garanties appliquées.
- Article 44 : éviter les transferts de données personnelles vers des pays non adéquats, sauf si des garanties appropriées sont en place.
Ces exigences ne sont pas théoriques. Elles influencent directement la manière dont l’AI Gateway conforme au RGPD route les prompts, stocke les logs, applique les règles de conservation et documente les traitements.
L’EU AI Act s’ajoute au RGPD : échéance d’août 2026
L’EU AI Act ajoute une couche supplémentaire de conformité. À partir d’août 2026, les principales obligations applicables aux systèmes d’IA à haut risque commenceront à s’appliquer. L’article 12 impose notamment aux systèmes d’IA à haut risque de permettre une journalisation automatique des événements tout au long de leur cycle de vie.
Les sanctions peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les infractions les plus graves, soit un plafond supérieur à celui du RGPD, limité à 4 %.
La gateway devient donc le point de contrôle naturel de ces exigences, car elle centralise déjà le routage des modèles, les logs, les politiques d’accès, les règles de conservation et la sélection des fournisseurs IA.
Meilleures AI Gateways conformes au RGPD en 2026
Eden AI : le meilleur choix pour les équipes européennes qui veulent une conformité RGPD native
Verdict : Eden AI est le choix le plus solide pour les équipes européennes qui ont besoin d’une AI Gateway conforme au RGPD, sans ajouter d’ambiguïté juridique ou technique à leur stack IA.
Eden AI est une entreprise basée en France et s’appuie par défaut sur une infrastructure européenne. La plateforme donne aux développeurs accès à plus de 50 fournisseurs d’IA via une seule API, tout en centralisant le routage des modèles, la gouvernance et les contrôles de conformité.
Son principal avantage est la possibilité de filtrer le routage uniquement vers des fournisseurs conformes au RGPD. Cela permet aux équipes d’éviter que des prompts contenant des données personnelles soient envoyés vers des fournisseurs, modèles ou régions qui ne correspondent pas à leurs exigences légales.
Eden AI inclut également un DPA standard, ne réutilise pas les données clients pour l’entraînement des modèles et prend en charge la résidence des données dans l’UE par défaut.
Idéal pour : les entreprises européennes, fintechs, acteurs de la santé, legaltechs et équipes qui ne peuvent pas se permettre d’incertitude sur le routage des données.
TrueFoundry : le meilleur choix pour les déploiements enterprise en VPC
Verdict : TrueFoundry convient surtout aux grandes entreprises qui veulent garder le contrôle de leur gateway dans leur propre environnement cloud européen.
Verdict: TrueFoundry is best for enterprises that want gateway control inside their own EU cloud environment.
TrueFoundry prend en charge le déploiement régional en VPC. Cela signifie que l’inférence, les logs et le routage peuvent rester dans l’environnement cloud du client, situé dans l’UE.
Cette approche est particulièrement utile pour les grandes organisations dont les équipes sécurité exigent un contrôle direct sur les frontières réseau, les règles d’accès et les flux de données.
Ses points forts sont le déploiement en VPC, les journaux d’audit et le RBAC. En contrepartie, la mise en place est plus complexe : elle demande généralement davantage de ressources cloud, sécurité et platform engineering qu’une gateway hébergée prête à l’emploi.
Idéal pour : les grandes entreprises avec de fortes exigences de souveraineté des données, qui veulent un contrôle managé dans leur propre VPC.
Portkey : le meilleur choix pour les équipes qui ont besoin de guardrails et de masquage des données personnelles
Verdict : Portkey est adapté aux équipes qui recherchent des guardrails, de l’observabilité et une protection des données personnelles, mais son routage européen doit être vérifié avec attention.
Portkey se concentre sur l’observabilité, la fiabilité et l’application de politiques de contrôle au niveau de l’AI Gateway. La solution prend en charge plusieurs cadres de conformité, dont SOC 2, HIPAA, RGPD et CCPA.
Son principal point fort réside dans ses guardrails. Portkey propose plus de 40 guardrails prêts à l’emploi, incluant la détection et le masquage des données personnelles identifiables. Cela permet de réduire le risque d’envoyer des informations sensibles à des fournisseurs de modèles IA.
Sa limite principale concerne la résidence des données dans l’UE. Selon le modèle et le fournisseur sélectionnés, l’inférence peut être routée hors de l’Union européenne. Les équipes soumises à des contraintes RGPD strictes doivent donc valider précisément le comportement de routage avant le passage en production.
Idéal pour : les équipes qui développent des fonctionnalités IA exposées aux utilisateurs et qui ont besoin de guardrails, de masquage PII et d’observabilité, en complément des contrôles de conformité.
Requesty : le meilleur choix pour le routage d’inférence limité à l’UE
Verdict : Requesty est une option solide pour les équipes qui veulent maintenir l’inférence et les fallbacks à l’intérieur de l’Union européenne.
Requesty propose un endpoint dédié à l’UE pour l’inférence de modèles uniquement en Europe. Son principal avantage est le fallback européen : lorsqu’un fournisseur n’est pas disponible, les requêtes sont routées vers une autre option compatible avec l’UE, au lieu de basculer vers une infrastructure non européenne.
La solution couvre aussi plusieurs exigences attendues en entreprise, comme SOC 2 Type II, un DPA, la non-conservation des données et les journaux d’audit par requête.
Requesty est particulièrement utile pour les équipes qui veulent des garanties sur l’inférence en Europe, sans avoir à déployer ni maintenir leur propre infrastructure de gateway.
Idéal pour : les équipes développeurs qui ont besoin d’une inférence garantie dans l’UE sans gérer une infrastructure self-hosted.
Kong AI Gateway : le meilleur choix pour la souveraineté des données on-premises
Verdict : Kong AI Gateway est le meilleur choix lorsque le contrôle total de l’infrastructure compte davantage qu’un onboarding SaaS rapide.
Kong AI Gateway peut être auto-hébergée sur une infrastructure européenne. Cette approche donne aux organisations un contrôle direct sur le routage, les chemins d’inférence, les politiques d’accès et la journalisation.
Pour les secteurs très réglementés, cette architecture peut être la plus sécurisante, car les données n’ont pas besoin de transiter par une gateway hébergée par un tiers.
Kong bénéficie aussi de son écosystème plus large d’API management enterprise, avec des fonctionnalités matures de contrôle d’accès, de gouvernance du trafic et de gestion des politiques API. La contrepartie est l’ownership opérationnel : votre équipe doit gérer le déploiement, la supervision, les mises à jour, la sécurité et la configuration des fournisseurs IA.
Idéal pour : les organisations dans des secteurs hautement réglementés qui exigent un déploiement on-premises ou entièrement contrôlé dans l’UE.
Que rechercher dans une AI Gateway conforme au RGPD ?
Résidence des données dans l’UE sur tout le parcours de la requête
La résidence des données dans l’UE doit couvrir l’ensemble du parcours de la requête, pas seulement les logs stockés ou les données de compte. Demandez aux fournisseurs où le routage est effectué, où l’inférence est exécutée et où les logs sont stockés.
Si les prompts sont traités sur des serveurs américains pendant l’inférence, la gateway n’est pas réellement EU-resident pour des workloads de production soumis au RGPD.
Routage uniquement vers des fournisseurs conformes au RGPD
Une AI Gateway conforme au RGPD doit vous permettre de limiter les fournisseurs de modèles qui peuvent recevoir vos requêtes. Cela signifie pouvoir exclure les fournisseurs qui ne répondent pas à vos exigences de conformité ou qui ne peuvent pas traiter les données sur une infrastructure européenne.
La plupart des gateways routent par défaut vers une large liste de fournisseurs. Ce contrôle doit donc être explicite, configurable et techniquement applicable.
Détection et masquage des données personnelles
La gateway doit pouvoir détecter et masquer les données personnelles avant que les prompts n’atteignent un modèle IA. Cela inclut les noms, emails, numéros de téléphone, IBAN, données de santé, identifiants clients et autres champs sensibles.
Les politiques de masquage doivent être configurables selon le cas d’usage. Un chatbot de support, un workflow médical et une automatisation RH n’ont pas le même niveau de risque ni les mêmes contraintes de traitement.
Journaux d’audit par requête
Les audit logs doivent enregistrer chaque requête avec suffisamment de détails pour faciliter les revues de conformité et les enquêtes en cas d’incident. A minima, vous devez savoir ce qui a été envoyé, quel modèle l’a reçu, quand la requête a eu lieu, quel utilisateur ou système l’a déclenchée et sous quelle politique ou base légale elle a été traitée.
Ces éléments soutiennent les registres des activités de traitement prévus par l’article 30 du RGPD et la journalisation des événements exigée par l’article 12 de l’EU AI Act pour les systèmes d’IA à haut risque.
DPA inclus par défaut
Le fournisseur de la gateway agit comme sous-traitant au sens de l’article 28 du RGPD lorsqu’il traite des données personnelles pour votre compte. Un Data Processing Agreement signé doit donc être inclus par défaut, et non réservé à un plan enterprise ou à une négociation manuelle.
Sans DPA, vous ne devriez pas envoyer de données personnelles européennes via cette gateway en production.
Zero data retention
Le zero data retention signifie que les prompts et les réponses ne sont pas conservés après le traitement de la requête. Ne vous fiez pas uniquement aux promesses affichées sur le site du fournisseur.
Demandez une politique de conservation écrite, précisant si les logs contiennent le contenu des prompts, uniquement des métadonnées ou des payloads masqués.
Failover uniquement dans l’UE
Le failover doit respecter les mêmes règles de conformité que le routage normal. Si un fournisseur de modèles européen devient indisponible, la gateway doit router uniquement vers un autre fournisseur approuvé et basé dans l’UE.
Un fallback silencieux vers un modèle hébergé aux États-Unis peut améliorer la disponibilité, mais il peut aussi casser vos contrôles RGPD précisément au moment où votre système est sous pression.
5 erreurs RGPD fréquentes lorsque les entreprises utilisent une AI Gateway
1. Considérer “GDPR-compliant” comme une simple promesse fournisseur plutôt qu’une garantie technique
De nombreuses AI Gateways affichent la conformité RGPD comme une fonctionnalité, sans expliquer précisément ce qu’elle couvre. La vraie question est de savoir si cette conformité s’applique à l’ensemble du parcours de la requête : inférence, journalisation et stockage. Les équipes doivent aussi vérifier quels articles du RGPD sont couverts dans le DPA du fournisseur, et pas seulement confirmer l’existence d’un DPA.
2. Utiliser une gateway incorporée aux États-Unis pour des données personnelles européennes
Une AI Gateway incorporée aux États-Unis peut être soumise au CLOUD Act, même si ses serveurs sont situés en Europe. Cela signifie que des données personnelles européennes routées via la gateway peuvent être exposées à des demandes de divulgation imposées par les autorités américaines.
Pour les entreprises européennes, cela crée un risque juridique au regard de l’article 48 du RGPD, qui encadre strictement les divulgations à des autorités étrangères lorsqu’aucune base légale internationale ne s’applique.
3. Router les requêtes vers des fournisseurs IA non approuvés pour le RGPD
La plupart des AI Gateways donnent accès par défaut à un large catalogue de fournisseurs IA. Sans filtrage explicite des fournisseurs, des prompts contenant des données personnelles européennes peuvent être envoyés vers des prestataires qui n’offrent pas de conditions de traitement adaptées au RGPD ou d’infrastructure européenne.
L’article 44 du RGPD s’applique à chaque transfert de données dans la chaîne, pas uniquement à la gateway elle-même.
4. Journaliser les prompts complets sans minimisation des données
Les logs de requêtes sont utiles pour le debugging, l’analyse, le monitoring et la réponse aux incidents. Mais stocker des prompts bruts peut aussi revenir à conserver des noms, emails, données de santé, informations financières ou dossiers clients plus longtemps que nécessaire.
Sans masquage des données personnelles, limites de conservation et base légale documentée, la journalisation complète des prompts peut enfreindre le principe de minimisation des données prévu par l’article 5 du RGPD.
5. Passer en production sans DPA signé
Le fournisseur de l’AI Gateway agit comme sous-traitant dès lors qu’il traite des données personnelles pour le compte de votre entreprise. L’article 28 du RGPD impose donc un Data Processing Agreement signé avec chaque sous-traitant avant tout traitement de données personnelles.
Lancer un pilote ou une mise en production temporaire sans DPA constitue un écart de conformité, même si l’architecture technique paraît solide.
Conclusion
Choisir une AI Gateway conforme au RGPD ne consiste pas seulement à connecter plusieurs fournisseurs de modèles IA. Il s’agit surtout de contrôler où les prompts sont envoyés, où l’inférence est exécutée, quelles données sont journalisées, combien de temps elles sont conservées et quels sous-traitants sont autorisés à traiter des données personnelles européennes.
Pour les équipes européennes, la couche gateway devient donc une décision critique en matière de conformité. Un fournisseur qui stocke ses logs dans l’UE, mais route les prompts via une infrastructure non européenne, peut toujours créer une exposition au RGPD. De même, une gateway sans routage limité aux fournisseurs conformes au RGPD peut envoyer silencieusement des données sensibles vers des modèles qui ne répondent pas à vos exigences légales.
Eden AI est le meilleur choix pour les équipes qui veulent intégrer la conformité RGPD directement au niveau de leur AI Gateway dès le départ. Avec une résidence des données dans l’UE par défaut, un DPA inclus standard, l’absence d’utilisation des données clients pour l’entraînement des modèles et la possibilité de filtrer le routage uniquement vers des fournisseurs conformes au RGPD, Eden AI offre aux développeurs et aux équipes conformité un chemin plus clair vers la production.
Commencez à construire avec Eden AI dès aujourd’hui et utilisez la plateforme comme votre AI Gateway conforme au RGPD pour accéder de manière sécurisée, centralisée et conforme aux principaux modèles d’IA via une seule API.
.jpg)
