DeepSeek et les plateformes IA chinoises en Afrique : souveraineté des données ou dépendance technologique ?

Une adoption rapide dans un vide contractuel

Depuis le début 2026, DeepSeek (DeepSeek-V3 et DeepSeek-R1) et Kimi (Moonshot AI) ont connu une adoption exponentielle en Afrique. Les facteurs : gratuité totale pour les versions grand public, performances comparables à GPT-4o sur de nombreux benchmarks, et interface disponible en français.

Au moins quatre ministères africains — dont deux au Maroc, un au Sénégal et un en RDC — ont confirmé utiliser DeepSeek dans des flux de travail internes, notamment pour la synthèse de rapports, la traduction de documents législatifs et la génération de présentations. Ces usages se sont développés sans politique d'usage IA formalisée ni évaluation des risques.

Le problème de la localisation des données

DeepSeek est une société chinoise soumise à la loi sur la cybersécurité chinoise (2017) et à la loi sur la sécurité nationale (2015). Ces textes imposent aux entreprises chinoises de coopérer avec les services de renseignement nationaux sur simple demande, sans procédure judiciaire contradictoire.

Les données saisies dans l'interface DeepSeek — y compris les documents sensibles téléversés pour analyse — sont transmises vers des serveurs en Chine. La politique de confidentialité de DeepSeek précise que les données sont stockées "dans la République Populaire de Chine".

Pour une administration africaine, cela signifie que des documents de politique interne, des données budgétaires ou des dossiers de négociation pourraient être accessibles aux autorités chinoises sans qu'aucun traité bilatéral de protection des données ne s'applique.

Baidu ERNIE et l'expansion des opérateurs télécom

Parallèlement, plusieurs opérateurs télécom africains liés à des investissements chinois (notamment Huawei et ZTE) ont commencé à intégrer des modèles IA de Baidu dans leurs plateformes de service client. Au Kenya, Safaricom — dont Vodacom (Vodafone) reste actionnaire majoritaire — a écarté cette option. Mais des opérateurs en Éthiopie, en Zambie et au Zimbabwe utilisent des composants Baidu dans leurs pipelines de traitement d'appels.

Les risques concrets

Exfiltration de données sensibles. Des documents internes téléversés pour traduction ou synthèse peuvent contenir des informations stratégiques (plans d'infrastructure, positions de négociation, données personnelles de citoyens).

Dépendance aux mises à jour. Les modèles hébergés en Chine peuvent être modifiés, censurés ou suspendus sans préavis. Une administration ayant intégré DeepSeek dans ses workflows devient dépendante d'une infrastructure qu'elle ne contrôle pas.

Absence de DPA (Data Processing Agreement). DeepSeek ne propose pas de DPA conforme au RGPD ou aux législations africaines de protection des données. Utiliser DeepSeek pour traiter des données de citoyens constitue probablement une violation de la NDPA nigériane, de la loi 78-17 sénégalaise ou du RGPD pour les entités ayant des activités en Europe.

Ce que les gouvernements africains devraient faire

— Publier une politique d'usage IA qui liste les plateformes autorisées et interdites pour les données officielles. — Exiger que tout outil IA utilisé pour des données publiques soit hébergé dans des juridictions avec lesquelles un accord de protection des données bilatéral existe. — Évaluer les options souveraines : des modèles open source (Llama 3, Mistral Large) peuvent être déployés localement sur infrastructure nationale. — Pour les usages personnels à faible sensibilité, la question est moins critique — mais la formation des agents publics aux risques est nécessaire.

Le paradoxe de la gratuité

La gratuité de ces outils est précisément leur danger : elle contourne les processus d'approvisionnement habituels et permet une adoption informelle, hors de tout cadre de gouvernance. Dans un contexte où les budgets IT des administrations africaines sont serrés, la tentation est forte. Le coût réel est différé — et se mesure en souveraineté perdue.

— ◆ —