Souveraineté des données : pourquoi les entreprises européennes gardent l’IA en interne

Pendant la majeure partie de la dernière décennie, la question de l’emplacement physique des données d’entreprise était considérée comme une préoccupation informatique, réglée par le niveau cloud offrant le meilleur rapport prix-performance. Ce cadre évolue rapidement. Une vague de pression réglementaire, de frictions géopolitiques et d’actions coercitives très médiatisées a mis la résidence des données — et le concept connexe de souveraineté des données — à l’ordre du jour des comités des risques et, de plus en plus, des conseils d’administration. Nulle part ce changement n’est plus prononcé qu’en Europe, et nulle part il n’est plus déterminant que dans les décisions relatives à l’infrastructure d’intelligence artificielle.

Ce que la souveraineté des données signifie réellement

La souveraineté des données est le principe selon lequel les données sont soumises aux lois et cadres de gouvernance de la nation ou de la juridiction où elles sont collectées ou traitées. Elle est distincte de — bien que liée à — la résidence des données, qui décrit simplement où les données sont stockées. Un jeu de données peut résider sur des serveurs à Francfort tout en restant légalement accessible à un gouvernement étranger en vertu d’une législation extraterritoriale. La véritable souveraineté exige à la fois un emplacement physique et un contrôle juridique : l’organisation détenant les données doit être la seule entité capable d’en autoriser l’accès.

Les lois extraterritoriales et la ligne de faille transatlantique

La tension qui concentre le plus les esprits européens est le conflit entre le droit européen de la protection des données et les lois extraterritoriales américaines. Le CLOUD Act, promulgué en 2018, permet aux forces de l’ordre américaines de contraindre des fournisseurs dont le siège est aux États-Unis — y compris leurs filiales étrangères et leurs régions cloud — à produire des données indépendamment de l’endroit où elles sont stockées. Des dispositions similaires existent dans les cadres juridiques de plusieurs autres grandes juridictions. La conséquence est nette : une entreprise européenne qui traite des données sensibles sur une infrastructure exploitée par un fournisseur cloud à maison mère américaine peut n’avoir aucune garantie juridique que ses données ne peuvent pas être consultées par une autorité étrangère sans sa connaissance ni son consentement.

Stocker des données dans une région européenne d’un hyperscaler américain ne rend pas ces données souveraines. Cela les rend géographiquement proches mais juridiquement exposées.

Pression sectorielle : finance, santé et secteur public

Bien que le problème affecte tous les secteurs, trois domaines font face à une pression particulièrement aiguë. Les institutions financières opérant sous DORA (le règlement sur la résilience opérationnelle numérique) doivent démontrer que les fournisseurs de TIC tiers, y compris les plateformes cloud, répondent à des normes strictes en matière de concentration et de risques d’accès — une obligation difficile à satisfaire quand le fournisseur est soumis à une loi étrangère. Les organismes de santé traitant des dossiers de patients dans le cadre des transpositions nationales des directives eSanté font face à des contraintes similaires, aggravées par la sensibilité spécifique au secteur. Les organismes du secteur public et les sous-traitants adjacents à la défense de plusieurs États membres sont désormais explicitement interdits de traiter certaines catégories de données sur une infrastructure contrôlée par des entités non européennes.

• Finance : risque de concentration DORA et exigences de surveillance des tiers ICT.
• Santé : obligations de localisation des données de patients en vertu des dispositions nationales eSanté et RGPD.
• Secteur public : classifications de sécurité nationale interdisant le cloud à contrôle étranger pour les charges de travail sensibles.
• Services juridiques et professionnels : règles sur le secret professionnel et le privilège avocat-client qui varient selon la juridiction.
• Infrastructures critiques : obligations de la directive NIS2 pour les opérateurs de services essentiels.

Comment l’IA privée on-premise et hébergée en UE garantit la souveraineté

La réponse architecturale la plus propre aux préoccupations de souveraineté est d’exécuter l’inférence et l’entraînement IA sur une infrastructure à la fois physiquement située dans l’UE et exploitée par une entité non soumise à une loi étrangère extraterritoriale. Le déploiement on-premise — où le modèle tourne sur des serveurs à l’intérieur du propre centre de données ou de la propre installation de colocation de l’organisation — élimine entièrement le vecteur d’accès tiers. Aucun appel API ne quitte le bâtiment. Aucune requête n’est enregistrée par un fournisseur externe. Aucune mise à jour de modèle ne nécessite d’envoyer des données en amont. Privonis déploie des modèles open-weight sur le matériel du client et configure la pile d’inférence complète — des pilotes GPU à l’API applicative — afin que le client exploite un système IA souverain, pas un abonnement à l’un.

Une liste de contrôle pratique de la souveraineté

Avant de valider tout déploiement IA, les organisations européennes doivent être en mesure de répondre oui à chacune des questions suivantes. Si une réponse est incertaine, l’architecture mérite un second examen.

• Chaque composant de la pile IA — modèle, moteur d’inférence, pipeline de données — fonctionne-t-il sur du matériel que vous contrôlez ou exploité exclusivement par une entité incorporée dans l’UE et soumise au droit européen ?
• Pouvez-vous fournir à votre autorité de protection des données un enregistrement complet de l’endroit où chaque catégorie de données est traitée et par qui ?
• Le fournisseur du modèle est-il soumis à une législation étrangère susceptible de contraindre la divulgation de vos requêtes ou sorties ?
• Détenez-vous une copie locale des poids du modèle, ou dépendez-vous d’une API fournisseur qui pourrait être interrompue ou repricée ?
• Votre équipe juridique a-t-elle examiné les conditions d’utilisation de chaque composant de la pile pour les clauses d’utilisation des données et d’entraînement ?
• Pouvez-vous démontrer, par des contrôles techniques plutôt que des promesses contractuelles, qu’aucune donnée de requête n’est transmise hors de votre juridiction ?

La souveraineté des données n’est pas une case de conformité à cocher une fois. C’est une discipline architecturale continue. À mesure que l’IA s’intègre dans les processus métier fondamentaux — analyse documentaire, interaction client, aide à la décision — la souveraineté de la couche IA devient inséparable de la souveraineté des données sous-jacentes. Privonis existe pour rendre cette discipline pratique pour les organisations européennes : les bons modèles open source, fonctionnant sur la bonne infrastructure, sous le contrôle total du client.