Trois architectures pour l'IA personnelle. Une seule d'entre elles garde vos données les plus intimes sur du matériel qui vous appartient. Les deux autres vous demandent de faire confiance à une promesse. Les promesses se brisent.
Architecture A
IA cloud
Vos données partent.
OpenAI, Google, Anthropic, Perplexity. Vos données les plus intimes résident sur une infrastructure que vous ne possédez pas, régie par des politiques que vous n'avez pas écrites, sur des machines que vous ne pouvez pas inspecter.
Architecture B
Sur l'appareil + repli
Partent parfois.
Apple Intelligence et Private Cloud Compute. Un effort sérieux, et le meilleur compromis de sa catégorie. Mais le chemin de repli quitte tout de même l'appareil. La promesse est “conçu pour être privé”, pas “ne peut pas partir”.
Architecture C
Ostler · local-only
Ne partent jamais.
Votre Mac exécute le modèle. Votre Mac stocke les données. Débranchez le câble Ethernet. Tout continue de fonctionner. Pas une politique. De la physique.
Toutes les données ne se valent pas. Votre historique Spotify n'est pas votre séance de thérapie. Vos recommandations Netflix ne sont pas le message que vous avez envoyé à votre partenaire à 2 heures du matin.
Il existe une hiérarchie de l'intimité des données :
Niveau 1 : Préférences. Jazz. Torréfaction foncée. Agaçant à perdre. Pas dévastateur.
Niveau 2 : Habitudes. Salle de sport à 6 h, LinkedIn au déjeuner, YouTube jusqu'à minuit. Habitudes et vulnérabilités, en abrégé.
Niveau 3 : Relations. À qui vous parlez, à quelle fréquence, de quoi. La chaleur, la tension, les personnes dont vous vous éloignez. Une carte de votre monde social.
Niveau 4 : Conversations. Ce que vous avez réellement dit. Blagues, confessions, idées à demi formées, disputes, excuses. Votre vie intérieure mise en texte.
Niveau 5 : Introspection. Entrées de journal, notes de coaching, les schémas dans votre façon de communiquer. Les données les plus intimes qui existent sous forme numérique.
La plupart des produits “d'IA personnelle” opèrent aux niveaux 1–2 et stockent tout dans le cloud. Très bien pour les préférences. Mais les niveaux 3–5 – relations, conversations, introspection – n'ont rien à faire sur les serveurs de quelqu'un d'autre. Non pas parce qu'ils en abuseront. Mais parce qu'ils le pourraient.
Les entreprises d'IA cloud protègent vos données avec des politiques de confidentialité. Une politique de confidentialité est un document juridique qui dit : “Nous choisissons de ne pas abuser de vos données.” C'est une promesse. Les promesses se brisent.
Les promesses se brisent par :
L'architecture l'emporte sur la politique parce que la politique est une promesse et l'architecture un fait. Un coffre-fort sans porte ne peut pas être ouvert. Un serveur sans données ne peut pas faire l'objet d'une assignation. Nous n'avons pas choisi l'architecture parce que c'est à la mode. Nous l'avons choisie parce que c'est la seule chose qui tient.
Si votre IA a besoin du cloud pour vous connaître, votre IA ne vous connaît pas vraiment. Elle connaît leur copie de vous.
Apple mérite des éloges. Apple Intelligence met un modèle sur votre téléphone. Private Cloud Compute est une tentative sérieuse et bien conçue de garder l'inférence cloud vérifiable et sans état. C'est le meilleur compromis de sa catégorie.
Mais lisez l'architecture honnêtement. Lorsque le modèle sur l'appareil est trop petit pour la requête, la requête quitte votre appareil. PCC est “conçu pour être privé”. C'est une formule qui en fait beaucoup. Les serveurs restent les leurs. Le calcul reste hors de votre matériel. La promesse reste une promesse.
Si “conçu pour être privé” est la barre, la barre est trop basse pour des données de niveau 5. Il existe une barre plus haute. Elles ne peuvent pas partir.
Local-first signifie que vos données vivent sur du matériel qui vous appartient. Pas “chiffrées dans notre cloud”. Sur votre Mac, dans votre maison, sur votre réseau.
Le modèle d'IA s'exécute sur votre matériel via Ollama. Les bases de données (Qdrant, Oxigraph, Valkey) tournent comme des services launchd sur votre Mac. Il n'y a aucun serveur cloud recevant des données personnelles. Il n'y a rien à pirater, acquérir, assigner ou consulter. (Ostler récupère bien des données publiques sur internet – Wikidata, résultats de recherche web – mais les données personnelles ne circulent que vers l'intérieur, jamais vers l'extérieur.)
Ce n'est pas une décision de politique. C'est une décision architecturale. Nous ne pouvons pas accéder à vos données, non pas parce que nous choisissons de ne pas le faire, mais parce qu'il n'y a nulle part où elles puissent aller.
Débranchez le câble Ethernet. Ostler continue de fonctionner. C'est le test. Le détail cryptographique complet se trouve sur la page architecture de sécurité.
Vous ne rangeriez pas votre journal papier dans la maison d'un inconnu parce que le stockage était gratuit. Vous ne confieriez pas les notes de votre thérapeute à un service marketing parce que la base de données était “conçue pour être privée”. L'intimité des données fixe la barre pour l'architecture.
L'IA cloud convient pour les données de niveau 1 et 2. C'est le mauvais endroit pour le reste. Sur-l'appareil-avec-repli s'en rapproche, et Apple fait le travail. Mais la seule architecture où vos données de niveau 5 sont structurellement protégées est celle où elles ne quittent jamais votre matériel en premier lieu.
Local-first n'est pas “plus privé”. C'est la seule architecture où la confidentialité est une propriété du système au lieu d'une clause du contrat.
Vrai en 2023. Moins vrai en 2026. Un Mac Mini M4 exécute Qwen 3.5 (9 milliards de paramètres) à 30 jetons par seconde. C'est assez rapide pour l'IA conversationnelle, l'analyse de documents, l'extraction de faits et les requêtes de graphe de connaissances. Ce n'est pas GPT-5. Il n'a pas besoin de l'être. La tâche, c'est votre savoir personnel, pas l'intelligence générale. Vous n'avez pas besoin d'un modèle de pointe pour répondre à “quand ai-je vu James pour la dernière fois ?”. Vous avez besoin d'un modèle ayant accès à vos données – et le local est le seul moyen de lui donner cet accès sans le problème de confiance.
Faites tourner Ostler sur n'importe quel Mac Apple Silicon que vous possédez déjà. Perplexity facture $50 par mois pour de l'IA cloud sur un Mac Mini dédié qu'ils vous expédient. Ostler coûte $99 une fois pour le Hub (le vôtre pour toujours) et $9.99/mois pour Ostler Pro – et vos requêtes d'IA sont illimitées parce que le calcul tourne sur votre matériel, pas sur leur cloud. Aucun plafond de jetons. Aucun e-mail de quota. Votre Mac fait le travail. Vous payez pour la couche d'intelligence, pas pour le calcul.
Le cloud est plus facile à démarrer. Nous ne prétendons pas le contraire. Le local nécessite de lancer un installateur, de télécharger des modèles et d'exécuter des scripts d'import. L'installateur actuel prend environ 30 minutes et nous travaillons à le raccourcir. Un peu de friction est le juste prix pour des données qui vous accompagneront le reste de votre vie. Vous ne rangeriez pas votre journal papier dans la maison d'un inconnu parce que c'était plus pratique. Votre journal numérique mérite le même respect.
L'IA locale s'améliore chaque année. Les modèles deviennent plus petits et plus rapides. Apple Silicon devient plus puissant. L'écart de performance entre le cloud et le local se réduit. L'écart de confidentialité entre le cloud et le local, non.
La confidentialité est une porte à sens unique. Une fois vos données sur les serveurs de quelqu'un d'autre, vous ne pouvez pas annuler le partage. Local-first signifie que vous n'avez jamais à faire ce choix.