Choisir un fournisseur d'IA qui héberge « en Europe » ne suffit pas à protéger vos données du droit américain. Si l'entreprise qui exploite le service relève de la juridiction des États-Unis, une loi de 2018 (le CLOUD Act) l'oblige à remettre aux autorités américaines les données qu'elle détient, où qu'elles soient stockées. Le lieu du serveur n'y change rien ; ce qui compte, c'est la nationalité de celui qui le contrôle.
C'est l'angle mort de la plupart des promesses de souveraineté que l'on vous vend. Voici pourquoi, et ce qui marche réellement.
Le Clarifying Lawful Overseas Use of Data Act permet à la justice américaine d'exiger d'un fournisseur soumis au droit US la communication de données qu'il détient ou contrôle, y compris quand ces données sont physiquement stockées hors des États-Unis. La localisation du datacenter n'est pas un critère. La question juridique n'est pas « où sont les données ? » mais « qui a la main dessus ? ».
Concrètement : une filiale européenne d'un groupe américain, ou un service opéré par une société américaine depuis un datacenter parisien, reste dans le champ d'application. L'adresse du serveur rassure le commercial ; elle ne protège pas le juriste.
L'argument « vos données restent en Europe » repose sur une confusion entre deux choses différentes :
Le RGPD encadre la première. Le CLOUD Act s'attaque à la seconde. Un hébergement européen opéré par une entité sous droit américain coche la case « résidence » tout en laissant la case « contrôle » entre des mains étrangères. Les deux régimes peuvent alors entrer en collision : on vous demande de respecter le RGPD côté européen pendant qu'une injonction américaine réclame les mêmes données de l'autre côté.
Pour un usage d'IA, c'est loin d'être théorique. Tout ce que vos équipes saisissent dans un assistant cloud (un contrat, un dossier patient, du code propriétaire, des données personnelles de clients) transite par l'infrastructure du fournisseur. Si ce fournisseur relève du droit US, ce flux entre dans le périmètre.
Trois profils ont un intérêt direct à regarder ce point de près :
Si vous reconnaissez votre situation, le problème n'est pas de trouver un hébergeur européen. C'est de savoir qui, en fin de chaîne, peut être contraint de produire vos données.
Pour sortir du champ du CLOUD Act, il faut sortir de la dépendance à un opérateur soumis au droit américain. Il y a pour cela plusieurs niveaux, et il est honnête de les distinguer.
Un opérateur européen vous fait sortir du CLOUD Act. Un fournisseur dont la société mère relève d'un pays de l'Union — un OVHcloud, un Scaleway, une offre qualifiée SecNumCloud — n'est pas tenu par une injonction américaine, parce que ce n'est pas le bon juge qui la signe. C'est un progrès réel par rapport à un service US hébergé à Paris, et pour beaucoup d'organisations c'est déjà un cap suffisant. Mais vous dépendez toujours d'un tiers : il détient une partie des clés, il opère le service, il peut être visé par d'autres procédures, faire faillite, changer de politique ou de prix. Le risque américain disparaît ; la dépendance, non.
L'auto-hébergement supprime le tiers lui-même. Si l'IA tourne sur votre propre serveur, avec vos clés, personne d'autre que vous ne détient ni ne contrôle les données. Il n'y a aucune injonction qui tienne, d'aucun pays, parce qu'il n'y a personne d'autre à qui l'adresser. C'est le seul niveau où la souveraineté ne repose plus sur la confiance accordée à un fournisseur, mais sur le fait qu'il n'y a pas de fournisseur du tout.
C'est exactement le principe sur lequel est construit Gungnir, notre assistant IA souverain : il s'installe sur votre infrastructure, vos conversations et vos documents n'en sortent jamais, et vous choisissez les modèles que vous y branchez. La souveraineté n'y est pas un argument marketing posé sur un hébergement européen, c'est une conséquence de l'architecture.
Ce site lui-même applique la même règle : aucun cookie, aucun tracker, aucune requête vers un service tiers. La cohérence se vérifie, elle ne se proclame pas.
Si la confidentialité de ce que vous confiez à une IA est un sujet sérieux pour vous, la bonne question n'est pas « où sont stockées mes données ? » mais « qui, à part moi, peut être obligé de les livrer ? ». Quand la réponse est « personne », vous êtes souverain.
Non. Le CLOUD Act vise les fournisseurs soumis au droit américain, quel que soit le lieu de stockage. Un service opéré par une société américaine depuis un datacenter français reste dans son champ d'application. C'est le contrôle qui compte, pas l'adresse du serveur.
Le RGPD encadre le traitement des données personnelles, mais il n'efface pas l'obligation faite à un fournisseur sous droit US de répondre à une injonction américaine. Les deux régimes peuvent entrer en conflit, et c'est le fournisseur qui se retrouve coincé entre les deux — pas vous.
En grande partie. Un opérateur dont la société mère est européenne n'est pas tenu par une injonction américaine, ce qui vous fait sortir du CLOUD Act. Il vous reste une dépendance à un tiers (clés, exploitation, pérennité), mais le risque juridique américain, lui, disparaît.
Avec l'auto-hébergement, il n'y a plus de tiers du tout : l'IA tourne sur votre serveur, avec vos clés. Aucune injonction, d'aucun pays, n'a de destinataire. C'est le seul niveau où la souveraineté ne dépend plus de la confiance accordée à un fournisseur.
