La souveraineté IA, ce n'est pas du patriotisme — c'est de la gestion de risque

Soyons clairs dès le départ : cette analyse n'est pas anti-américaine. Les grandes entreprises technologiques américaines ont construit des outils remarquables. Certains des meilleurs LLM du monde sont développés aux États-Unis. Le problème n'est pas la nationalité des fournisseurs — c'est le droit qui leur est applicable.

Le Cloud Act, simplement expliqué

Le Clarifying Lawful Overseas Use of Data Act — le Cloud Act — a été signé en 2018. Il autorise les autorités américaines à demander aux entreprises soumises à la juridiction américaine de divulguer des données stockées n'importe où dans le monde, y compris en Europe.

Ce n'est pas une interprétation. Ce n'est pas un scénario catastrophe. C'est le texte de loi, confirmé par plusieurs décisions de justice depuis.

Une entreprise est soumise à la juridiction américaine si elle est américaine, si elle a une filiale américaine, ou si elle utilise des infrastructures américaines pour ses activités. Ce qui couvre, en pratique, la grande majorité des fournisseurs cloud et IA que les entreprises européennes utilisent.

Concrètement : si vos données — stratégiques, clients, financières, RH — sont hébergées chez un acteur soumis au Cloud Act, une autorité américaine peut légalement en demander la communication, sans nécessairement vous en informer et sans que la loi française y puisse grand-chose.

FISA et Executive Order : le reste du cadre juridique

Le Cloud Act n'est pas seul. La section 702 du Foreign Intelligence Surveillance Act (FISA) permet la collecte de données sur des non-citoyens américains à des fins de renseignement étranger. Les programmes de surveillance qui en découlent — dont certains ont été révélés par Snowden en 2013 — sont toujours en vigueur, reconduits par le Congrès américain en avril 2024.

L'Executive Order 14086, signé en 2022, a introduit des garde-fous supplémentaires pour les transferts de données UE-US — c'est la base du cadre Privacy Shield actuel. Ces garde-fous sont réels. Mais ils sont révocables par décret présidentiel. Ce qui s'est passé avec le premier Privacy Shield — invalidé par la Cour de Justice de l'UE en 2020 — peut se reproduire.

La question n'est pas « est-ce que vos données seront saisies demain ? » — la probabilité est faible pour la majorité des entreprises. La question est : « êtes-vous prêts à prendre ce risque sur vos données les plus sensibles, avec une base légale qui peut changer par décret ? »

Ce que ça implique concrètement

L'analyse juridique mène à une segmentation simple des données de l'entreprise en fonction de leur sensibilité et de leur valeur stratégique.

Les données à faible valeur stratégique et sans caractère personnel sensible peuvent circuler sur n'importe quelle infrastructure, y compris américaine. Personne ne va demander au gouvernement américain d'accéder aux résultats de votre prochain quiz interne de team building.

Les données stratégiques — propriété intellectuelle, M&A en cours, données clients identifiables, stratégie compétitive, données RH sensibles — méritent une infrastructure non soumise au Cloud Act. Pas par patriotisme. Parce que la perte de contrôle sur ces données est un risque business réel, mesurable, et évitable.

La décision de souveraineté est donc une décision de classification des données. Quelles données traitez-vous avec votre IA ? Où en est la valeur stratégique ? Quelle est votre tolérance au risque de divulgation imposée ? Ce ne sont pas des questions politiques. Ce sont des questions de gestion d'entreprise.

Ce que ça ne signifie pas

La souveraineté numérique ne signifie pas fermer les yeux sur la qualité des fournisseurs européens. Certains sont excellents. D'autres sont nettement en dessous du niveau des solutions américaines sur certains cas d'usage. Choisir souverain ne signifie pas choisir médiocre — mais ça peut parfois signifier accepter un écart de performance sur certaines fonctionnalités non critiques en échange d'un contrôle juridique sur les données.

La souveraineté ne signifie pas non plus tout faire en France. Une infrastructure hébergée en Allemagne, en Suisse ou en Irlande par un acteur non soumis au droit américain offre les mêmes garanties qu'une infrastructure française. Ce n'est pas une question de géographie — c'est une question de juridiction applicable.

Enfin, la souveraineté ne résout pas tous les problèmes. Elle résout le problème spécifique de l'accès imposé par des autorités étrangères. La sécurité interne, la gouvernance des données, la conformité RGPD : ce sont des sujets distincts qui méritent chacun une attention propre.