| Composant | Configuration minimale | Recommandé pour la production |

- **Système d'exploitation** : Ubuntu 22.04 LTS ou 24.04 LTS, RHEL 9, Rocky Linux 9

Hermes Agent et RGPD : comment l'installer sur site (on-premise) pour la conformité des données d'entreprise

Q: 1. Cartographie et description des traitements de données

- **Fonctions dévolues à l’agent** : liste détaillée des scénarios (support, RAG, etc.)

Q: 2. Mises en œuvre techniques indispensables (art. 32 du RGPD)

- **Chiffrement au repos** des architectures de stockage de données, bases applicatives et sauvegardes (exploitation de LUKS, chiffrement AES-256)

Q: 3. Dispositions organisationnelles en entreprise

- **Désignation d’un DPO** (Délégué à la Protection des Données, si requis par votre activité)

Q: 4. Encadrement de l'usage des modèles d'IA (AI Governance)

- **Inventaire de référence** : liste limitative des modèles d'IA approuvés avec justifications d'usage

L’une des questions les plus fréquentes posées aux équipes de Hermes Agent Experts est la suivante : « Mes données confidentielles vont-elles quitter mon entreprise ? ». La réponse rapide est non, dès lors que vous installez Hermes Agent sur site (on-premise). Dans cet article, nous décrivons la méthode à suivre pour configurer Hermes Agent en totale conformité avec le RGPD, la directive NIS2 et les impératifs des secteurs réglementés (santé, finance, secteur public, défense), avec un éclairage pragmatique axé sur la mise en production.

Le problème : données corporatives et modèles hébergés dans le cloud

La généralisation de l’IA générative dans les entreprises européennes se heurte à une problématique majeure : les données d’entreprise constituent un patrimoine stratégique, et les envoyer vers des API américaines (OpenAI, Anthropic, Google) ou chinoises (DeepSeek, Qwen) expose l’organisation à d’importants risques :

Violation du RGPD (notamment sur le transfert des données vers des pays tiers sans garanties adéquates, suite à la jurisprudence Schrems II)
Violation d’accords de confidentialité (NDA) conclus avec des clients ou des partenaires
Perte d’avantage concurrentiel (les requêtes saisies et les données d’apprentissage pouvant être réutilisées pour entraîner de futurs modèles, en dépit des engagements de non-conservation)
Défaut de conformité sectorielle (la santé, la finance, le secteur public et la défense disposant de cadres réglementaires spécifiques très stricts)

Hermes Agent a précisément été conçu pour lever ce verrou : il s’agit d’un agent open-source qui s’exécute dans l’environnement de votre choix, s’interface avec n’importe quel modèle (qu’il soit déployé en local ou via API), et vous offre la possibilité de bâtir une architecture IA placée sous votre contrôle exclusif.

Que signifie concrètement un déploiement « sur site » (on-premise) pour Hermes Agent ?

Dans le cadre d’une installation de Hermes Agent, le terme « sur site » implique trois réalités concrètes :

L’agent s’exécute sur votre propre serveur (qu’il s’agisse d’un serveur physique, d’un VPS, d’une instance sur votre cloud privé ou d’une infrastructure hybride). Aucun composant d’orchestration propriétaire n’est sollicité en arrière-plan.
Le modèle d’IA s’exécute sur votre propre matériel (ou vos instances cloud privées). L’auto-hébergement s’effectue au moyen de solutions éprouvées comme vLLM, Ollama, llama.cpp ou TGI.
Le stockage de vos données reste entièrement localisé chez vous (au sein de bases PostgreSQL, d’instances Qdrant, sur des systèmes de fichiers locaux ou des espaces compatibles S3 auto-hébergés comme MinIO).

Aucune télémétrie masquée ni aucun mécanisme de communication externe (« phone home ») ne sont activés par défaut. Le code source est totalement ouvert (sous licence de type MIT) et auditable.

Architecture de référence pour un déploiement sur site (on-premise)

[ PC utilisateur ] ←HTTPS→ [ Reverse proxy (Caddy/Traefik) ]
                                      ↓
                      [ Hermes Agent Core (Docker/K8s) ]
                                      ↓
       ┌──────────┬──────────┬──────────┬──────────┐
       ↓          ↓          ↓          ↓          ↓
   [ LLM    ]  [ Vector ]  [ SQL DB ]  [ Tools ]  [ MCP    ]
   [ auto-h.]  [ Store  ]  [          ]  [        ]  [ servers]
       ↓          ↓          ↓          ↓          ↓
   [ GPU     ]  [ /data  ]  [ /db    ]  [ /tmp  ]  [        ]
   [ serveur ]  [        ]  [        ]  [        ]  [        ]

L’ensemble des briques applicatives est cantonné au sein du périmètre réseau de votre entreprise. Le composant reverse proxy prend en charge la sécurité des liaisons TLS, les mécanismes d’authentification (compatibilité SSO/LDAP/OAuth) et le contrôle de débit (rate limiting). Hermes Agent dialogue de manière sécurisée avec les modèles d’IA auto-hébergés à l’aide d’API conformes au standard d’OpenAI, avec le vector store via une couche privée et avec vos différents outils d’entreprise grâce au protocole MCP ou à des API dédiées.

Configuration matérielle et logicielle minimale requise

Matériel (Hardware)

Composant	Configuration minimale	Recommandé pour la production
Processeur (CPU)	8 vCPUs (pour de très petits modèles)	32 vCPUs ou plus
Mémoire (RAM)	32 Go	128 Go ou plus
Processeur graphique (GPU)	Optionnel (modèles quantifiés exécutés sur CPU)	1 à 4 processeurs graphiques NVIDIA L40S / A100 / H100
Stockage	Disque SSD de 500 Go	De 2 à 10 To en stockage NVMe (pour le vector store et les logs)
Réseau	Liaison 1 Gbit/s	Liaison 10 Gbit/s

Logiciel (Software)

Système d’exploitation : Ubuntu 22.04 LTS ou 24.04 LTS, RHEL 9, Rocky Linux 9
Conteneurisation : Docker + Docker Compose, ou Kubernetes (Rancher, OpenShift, K3s)
Moteur d’inférence (LLM serving) : vLLM (recommandé), Ollama (développement), TGI (HuggingFace), llama.cpp (limite de ressources)
Base de données vectorielle (Vector store) : Qdrant (fortement recommandé), Weaviate, pgvector
Base de données relationnelle : PostgreSQL 15+
Supervision et Observabilité : Prometheus + Grafana + Loki (ou suite Elastic Stack)
Gestion des accès (Auth) : Keycloak, Authentik, ou votre fournisseur d’identité d’entreprise (IdP)
Sécurité des liaisons (TLS) : Certificats Let’s Encrypt (internes) ou autorité de certification de l’entreprise (PKI)

Recommandations de modèles d’IA pour un hébergement sur site (2026)

Modèle	Volume de paramètres	Principaux cas d’usage	Mémoire vive GPU requise (VRAM)
Llama 3.3 70B Instruct	70B (Quantification Q4)	Usage généraliste haute précision	48 Go
Qwen 2.5 72B Instruct	72B (Quantification Q4)	Excellent support multilingue (FR/IT/ES/EN/DE/CN)	48 Go
Mistral Large 2 (123B)	123B (Quantification Q4)	Raisonnement complexe, écriture de code	80 Go
DeepSeek-V3	67B MoE	Code + raisonnement à haute efficacité	48 Go
Mixtral 8x22B	141B (MoE avec 39B actifs)	Excellent compromis coût/performances	48 Go
Llama 3.1 8B Instruct	8B (Quantification Q4)	Léger, tâches simples et environnements limités	8 Go
Phi-3 Medium	14 Go	Compact et performances remarquables	12 Go

À destination des marchés européens, le modèle Qwen 2.5 72B représente bien souvent l’équation idéale : il offre d’excellents résultats en langue française, espagnole ou allemande, rivalisant directement avec le modèle Llama 3 70B sur les repères d’évaluation du standard MMLU, tout en s’avérant moins onéreux en termes de ressources matérielles à allouer.

Liste d’évaluation (Checklist) pour votre conformité au RGPD

Voici la grille opérationnelle appliquée lors de chaque déploiement par nos soins :

1. Cartographie et description des traitements de données

Fonctions dévolues à l’agent : liste détaillée des scénarios (support, RAG, etc.)
Catégories de données manipulées : typologies (données d’état civil, données médicales, informations financières, code source, documentation interne)
Bases légales correspondantes : exécution contractuelle, intérêt légitime ou consentement des personnes concernées
Politique d’effacement : définition des durées de garde des sauvegardes, logs ou stockages vectoriels
Formalisation au sein de votre Registre des activités de traitement (exigé par l’art. 30 du RGPD)

2. Mises en œuvre techniques indispensables (art. 32 du RGPD)

Chiffrement au repos des architectures de stockage de données, bases applicatives et sauvegardes (exploitation de LUKS, chiffrement AES-256)
Chiffrement des flux (en transit) (protocoles TLS 1.3, mTLS au sein du périmètre applicatif)
Cloisonnement strict des périmètres de données par équipe de travail ou projet
Gestion des droits d’accès : application de règles RBAC (contrôle d’accès basé sur les rôles), principe du moindre privilège, et connexion avec double facteur (MFA) pour les administrateurs
Traçabilité totale : logs d’audit exhaustifs, intègres et gardés selon les durées légales
Stratégie de sauvegarde : sauvegardes chiffrées, hors site et testées périodiquement
Sécurisation défensive : audits techniques annuels (tests d’intrusion)
Veille sur les vulnérabilités : contrôles automatiques d’images conteneurs (Trivy, Snyk, OpenSCAP)

3. Dispositions organisationnelles en entreprise

Désignation d’un DPO (Délégué à la Protection des Données, si requis par votre activité)
Accords de sous-traitance (DPA - Data Processing Agreement) signés avec vos hébergeurs ou fournisseurs d’infrastructures
Sensibilisation et formation des collaborateurs à l’utilisation conforme de l’agent
Charte d’usage responsable à faire approuver par l’ensemble des collaborateurs habilités
Processus de réponse aux requêtes des personnes (exercice du droit d’accès, de rectification ou d’effacement des données)
Processus d’alerte en cas d’atteinte aux données ou violation (data breach) devant intervenir sous 72h (art. 33 du RGPD)

4. Encadrement de l’usage des modèles d’IA (AI Governance)

Inventaire de référence : liste limitative des modèles d’IA approuvés avec justifications d’usage
Gestion des changements administratifs : procédure d’évaluation de tout nouveau modèle
Traçabilité des versions : capacité de savoir quel modèle a produit une sortie donnée lors d’un audit de conformité
Vérification de la qualité d’expression : vérification par échantillonnage humain de la conformité des sorties
Résistance aux contournements (Red teaming) : tests réguliers contre les tentatives de détournement de consignes (prompt injection ou jailbreak)

Mise en œuvre technique simplifiée à l’aide de Docker Compose

Voici une configuration docker-compose.yml de base conçue pour un déploiement sécurisé et conforme sur votre infrastructure :

version: '3.8'

services:
  # Modèle d'IA auto-hébergé (Moteur vLLM exploitant un modèle Qwen 2.5 72B quantifié)
  llm:
    image: vllm/vllm-openai:latest
    runtime: nvidia
    environment:
      - MODEL=Qwen/Qwen2.5-72B-Instruct-AWQ
    volumes:
      - /opt/models:/models
    ports:
      - "8000:8000"
    deploy:
      resources:
        reservations:
          devices:
            - capabilities: [gpu]

  # Composant d'orchestration : Hermes Agent
  hermes:
    image: nousresearch/hermes-agent:latest
    environment:
      - HERMES_LLM_BASE_URL=http://llm:8000/v1
      - HERMES_VECTOR_STORE=qdrant
      - HERMES_QDRANT_URL=http://qdrant:6333
      - HERMES_DB_URL=postgresql://hermes:***@db:5432/hermes
    volumes:
      - /opt/hermes/data:/data
      - /opt/hermes/skills:/skills
    ports:
      - "8080:8080"
    depends_on:
      - llm
      - qdrant
      - db

  # Base de données vectorielle (RAG)
  qdrant:
    image: qdrant/qdrant:latest
    volumes:
      - /opt/qdrant:/qdrant/storage
    ports:
      - "6333:6333"

  # Base de données relationnelle applicative
  db:
    image: postgres:15
    environment:
      - POSTGRES_DB=hermes
      - POSTGRES_USER=hermes
      - POSTGRES_PASSWORD=${DB_PASS}
    volumes:
      - /opt/pgdata:/var/lib/postgresql/data

  # Reverse proxy avec chiffrement TLS et contrôle de flux
  proxy:
    image: caddy:2
    volumes:
      - /opt/caddy/Caddyfile:/etc/caddy/Caddyfile
      - /opt/caddy/data:/data
    ports:
      - "443:443"

Les flux de données restent strictement confinés au réseau isolé des conteneurs. Seul le proxy inverse (reverse proxy) dispose d’une visibilité extérieure, protégé par un certificat TLS de haute sécurité et s’appuyant sur l’authentification centralisée de l’entreprise (SSO).

Informations à consigner dans vos journaux d’audit (Audit Logs)

Hermes Agent permet d’enregistrer les activités opérationnelles de manière très précise. L’analyse réglementaire préconise l’enregistrement systématique des jalons suivants :

Identité de l’utilisateur : identifiant système unique, adresse IP d’origine, date et détails du terminal (user agent)
Requêtes (prompts) : consignation des demandes formulées par les collaborateurs (avec possibilité d’application de filtres DPL pour écarter les données ultra-sensibles)
Appel aux outils (tools) : traçabilité des outils système sollicités avec le détail de leurs différents paramètres de lancement
Réponses : contenu des réponses ou actions exécutées par l’agent
Modèle d’IA sollicité : version exacte exploitée, ainsi que la signature (hash) de ses poids d’origine
Indicateurs de charge : latence d’exécution de la requête
État d’exécution : succès, échec, recours à une solution alternative ou transfert de la demande à un opérateur humain
Volume de traitement : jetons (tokens) consommés et coût opérationnel associé

L’utilisation d’outils de corrélation SIEM (comme Splunk, Elastic ou Datadog) est recommandée pour centraliser ces informations au sein de la cellule de sécurité.

Prise en compte du Droit à l’oubli (DSR)

Pour donner suite à une demande formulée par une personne physique en vertu de l’article 17 du RGPD (droit à la suppression des données), vos administrateurs doivent être en mesure de purger ses informations :

Au sein de l’IdP d’entreprise : suppression définitive ou désactivation du profil utilisateur et révocation de ses droits d’accès
De la base de données vectorielle : purge complète des objets cartographiques (vectors/chunks) associés
De l’historique des requêtes : retrait des échanges textuels au sein de la base de données
Des journaux d’activité (logs) : pseudonymisation des mentions d’accès de l’utilisateur concerné
Des supports de sauvegarde : effacement progressif selon le rythme normal de renouvellement de vos supports de sauvegarde

Nous concevons des outils automatisés pour garantir la reproductibilité, la traçabilité et l’intégrité de ces opérations d’effacement de données privées.

Conformité NIS2 et contraintes sectorielles d’actualité

Dans le cadre d’activités classées comme stratégiques par la directive européenne NIS2 (secteurs de l’énergie, de la santé, du transport, de la finance, du secteur public, etc.), l’intégration de l’agent d’IA doit respecter plusieurs principes clés de protection :

Rapports rapides : notification préliminaire sous un délai réduit de 24h et rapport exhaustif d’un incident de sécurité sous 72h
Maîtrise de l’aléa cyber : gestion des risques en considérant l’orchestrateur d’IA comme un actif particulièrement sensible
Résilience opérationnelle : dispositions relatives à la continuité d’activité (dispositifs de haute disponibilité, de résilience et de restauration de services - RTO / RPO)
Cartographie des dépendances : revue régulière des tiers de votre chaîne logistique numérique (images conteneurs, briques logicielles, modèles tiers)

Quand opter pour l’infrastructure hybride, le cloud ou le « sur site » pur ?

L’option Sur site complet (on-premise pur) s’impose comme une nécessité absolue pour :

Les secteurs de la santé, de la finance, du secteur public et de la défense.
Les entreprises soumises à une obligation d’hébergement ou de souveraineté nationale des services numériques.
Le traitement d’informations relevant directement de secrets de fabrication industriels ou de droits de propriété intellectuelle vitaux.

L’option Hybride (modèles sur site associés à des API professionnelles sécurisées) constitue une excellente décision pour :

Les PME soucieuses de maîtriser l’investissement d’infrastructure initial.
Les requêtes complexes nécessitant des modèles de pointe (grandes capacités de réflexion multi-étapes ou traitement multimodal).
Des tâches n’impliquant aucune donnée confidentielle (synthèse d’actualités, veille de marché publique ou communication externe).

L’outil Cloud complet avec API commerciales doit être strictement limité aux situations suivantes :

Analyse portant sur des données anonymisées ou issues de sources publiques ouvertes.
Phases préliminaires d’expérimentation (PoC ou maquettage rapide).
Collaborations formalisées avec des fournisseurs adoptant des politiques de non-entraînement des réseaux et établis dans des zones bénéficiant d’accords d’adéquation réglementaire.

Combien cela coûte-t-il ?

Un service de ce niveau réclame un investissement matériel d’amorçage ainsi qu’une enveloppe de maintenance régulière. Cependant, le TCO d’une telle solution à horizon 3 ans s’avère extrêmement avantageux si vous traitez un grand nombre de requêtes quotidiennes de façon automatisée en entreprise, comparé aux abonnements classiques basés sur le cloud public.

Nous ne proposons pas de tarifs forfaitaires rigides, car chaque infrastructure exige un calibrage adapté à ses particularités et à son niveau de sécurité requis. Chaque intégration fait de ce fait l’objet d’un devis exhaustif personnalisé, après réalisation d’un diagnostic d’opportunité / assessment technique d’une durée de 30-45 minutes qui vous est gracieusement offert. Prenez contact avec nos spécialistes à l’adresse suivante : contatti@hermesagentexperts.com.

Questions fréquemment posées

Hermes Agent est-il conforme au RGPD ?

Hermes Agent est conçu pour être respectueux du RGPD par défaut : il peut être entièrement installé sur site (on-premise) avec des modèles auto-hébergés, de sorte que les données personnelles ne quittent jamais l'infrastructure du client. La conformité totale dépend de la configuration finale : cartographie des flux de données, contrôles d'accès, conservation, procédures DSR, registre des activités de traitement. Nous prenons en charge toute la partie technique.

Puis-je utiliser Hermes Agent avec des données de santé ?

Oui, en mode sur site (on-premise) avec des modèles auto-hébergés. Pour les données de santé (dossiers médicaux, rapports), les exigences sont particulièrement strictes : les données ne doivent pas sortir du périmètre de l'entreprise et les modèles ne doivent pas passer par des API externes. Hermes Agent prend en charge ce mode de fonctionnement de manière native.

Hermes Agent peut-il être installé sur un VPS ou seulement sur un serveur physique local ?

Hermes Agent est agnostique vis-à-vis de l'infrastructure : il peut être déployé sur VPS, cloud privé, serveur physique sur site ou environnement hybride. Le choix dépend de vos exigences de conformité : pour les secteurs de la santé, de la finance ou de la défense, l'option physique sur site est généralement privilégiée ; pour les PME, un VPS hébergé en UE (comme chez Hetzner ou OVH) avec des sauvegardes chiffrées s'avère tout à fait acceptable.

Quels modèles d'IA puis-je utiliser sur site avec Hermes Agent ?

N'importe quel modèle open-source capable de s'exécuter sur du matériel de niveau serveur standard : Llama 3 (Meta), Mistral, Mixtral, Qwen 2.5 (Alibaba), DeepSeek-V3, Gemma (Google) ou Phi-3 (Microsoft). Pour la plupart des tâches d'entreprise, la qualité est comparable à celle de GPT-4. Pour les tâches complexes nécessitant un modèle de pointe, nous pouvons utiliser des API en mode 'sans conservation des données' d'OpenAI, Anthropic ou Google (sous réserve d'une vérification des conditions générales de chaque fournisseur).

Comment est gérée la conservation des données (data retention) dans Hermes Agent ?

Hermes Agent ne conserve pas de données par défaut : les conversations sont éphémères, sauf si vous activez explicitement la fonction de mémoire à long terme. La conservation dépend ensuite de la configuration du vector store (pour le RAG) et des journaux système : nous conseillons de 30 à 90 jours pour les journaux d'activité (logs) et une durée configurable pour les documents indexés, conformément au principe de minimisation des données du RGPD.

Hermes Agent permet-il de respecter le droit à l'oubli (DSR) ?

Oui, via des procédures standards : suppression de l'utilisateur du système d'authentification, élimination de ses données correspondantes au sein du vector store, et pseudonymisation ou purge dans les journaux système d'activité. Nous développons des scripts automatisés pour gérer ces requêtes de manière traçable et auditable.

Quel type de journaux d'audit (audit logs) Hermes Agent produit-il ?

Hermes Agent peut consigner chaque action effectuée : entrées utilisateur (prompts), outils sollicités, fichiers consultés/modifiés, API tierces contactées, modèle employé, temps de latence et coûts générés. Ces logs sont signés numériquement et conservés selon la politique interne de votre entreprise, avec possibilité d'intégration à des solutions SIEM telles que Splunk, Elastic ou Datadog.

Hermes Agent peut-il être utilisé dans des secteurs fortement réglementés (banques, assurances, secteur public) ?

Oui, moyennant des configurations appropriées. Les règles de chaque secteur s'appliquent (comme DORA pour le secteur financier et les assurances en Europe, ou les normes d'hébergement de l'État pour le secteur public). Le déploiement de Hermes Agent sur site avec des modèles auto-hébergés, des sauvegardes régulières, des journaux d'audit complets et un chiffrement de bout en bout permet de répondre parfaitement aux exigences courantes de ces secteurs.

Combien coûte une installation de Hermes Agent sur site pour une entreprise ?

Le coût d'un déploiement dépend entièrement de vos besoins spécifiques, de vos intégrations et de la complexité de vos processus. Nous ne proposons pas de tarifs standards rigides mais des configurations personnalisées. Pour obtenir un devis sur-mesure adapté à votre infrastructure, nous vous invitons à planifier un diagnostic gratuit / assessment technique de 30-45 minutes avec les ingénieurs de Studio Synapse.

Quelles certifications possède Studio Synapse pour garantir la conformité ?

Studio Synapse opère avec des processus conformes à la norme ISO/IEC 27001 (sécurité de l'information) et suit de près les meilleures pratiques de l'OWASP et du NIST CSF. Nous sommes tout à fait disposés à signer des accords de non-divulgation (NDA), des accords de sous-traitance de données (DPA) et à prêter notre assistance lors d'audits menés par des tiers. Pour les projets touchant à des domaines d'activité très ciblés, nous travaillons main dans la main avec des cabinets juridiques spécialisés en vie privée et protection des données.

En résumé

Hermes Agent représente, à ce jour, l’une des réponses techniques les plus abouties en matière de souveraineté numérique face à l’avènement de l’IA générative industrielle. Architecture ouverte, installation locale, indépendance vis-à-vis des éditeurs de modèles : l’ensemble des propriétés requises par une organisation européenne pour capitaliser sur l’IA, sans jamais concéder le moindre compromis vis-à-vis des cadres réglementaires en vigueur.

Les spécialistes de Hermes Agent Experts (marque déposée de Studio Synapse) assurent le déploiement opérationnel et la sécurisation sur site de Hermes Agent pour des structures et entreprises européennes, s’appuyant sur un modèle d’intégration de conformité dès la conception (compliance by design). Pour échanger en toute franchise sur vos perspectives d’intégration, contactez nos ingénieurs : contatti@hermesagentexperts.com, nous nous engageons à vous répondre sous un jour ouvré.