Dans quelle mesure avez-vous sous contrôle la gouvernance et les process qui régissent vos données ? Vous n’êtes peut-être pas seul à accéder à votre propre capital data.
Les enjeux technologiques qui bousculent la souveraineté européenne sont initiés par le cadre légal américain des tech companies.Dans l’attente du développement d’un acteur européen pour une technologie servicielle, nous nourrissons tous une dépendance forte aux datawarehouse softwares et intelligences artificielles américains et chinois. D’autant que derrière la souveraineté technologique et l’essor de l’IA se pose la question de la souveraineté des données.
Reprenons la main avec une approche pour évaluer l’autonomie des organisations, un éclairage sur des questions clés telles que la localisation des données et le lien entre IA et dépendance, et en posant les bases d’un plan d’action pour minimiser la dépendance technologique.
Évaluer votre système d’information, premier pas pour renforcer votre autonomie
La sécurité et la maîtrise du cycle de vie des informations imposent aux entreprises une exigence non négociable : garder le contrôle du lieu de stockage de leurs données. L’auditabilité et la traçabilité doivent également occuper une place centrale dans la stratégie corporate. Le Chief Data Officer doit pouvoir identifier à tout moment l’emplacement exact de chaque donnée, y compris des sauvegardes et des copies, comprendre les modalités de chiffrement et être en mesure de démontrer la conformité, que ce soit lors d’une inspection de la CNIL ou d’un audit dans le cadre du Cloud de confiance. Cette maîtrise suppose un pilotage rigoureux du continuum data, depuis leur création et leur mise à jour jusqu’à leur suppression.
Si en Europe, le RGPD protège strictement les données personnelles et limite leur transfert hors UE, ce n’est pas la même chanson dans les territoires des géants du cloud, qui concentrent la majorité des capacités de stockage mondial, créant une incertitude pour les entreprises utilisant des solutions extra-européennes.
Deux leviers structurants permettent de réduire la dépendance technologique :
- Le premier repose sur une stratégie multi-cloud et une hybridation maîtrisée. Il s’agit de combiner le meilleur de plusieurs environnements : conserver en interne (on-premise) ou sur un cloud souverain les données et applications les plus sensibles, tout en bénéficiant des capacités avancées des grandes plateformes globales pour d’autres usages comme le machine learning. Cette démarche exige une gouvernance des données précise (comme déterminer quelles données vont sur quel cloud, en fonction de leur sensibilité) et des compétences d’intégration pour éviter la création de silos entre ces environnements multiples. L’orchestration et la portabilité des workloads sont des enjeux techniques guidés par une vision stratégique : se prémunir contre le vendor lock-in, l’enfermement chez un fournisseur unique – qui demeure un enjeu quelle que soit la nationalité de ce dernier – et conserver la capacité de basculer vers une solution plus souveraine sans interruption d’activité.
- Le second levier concerne les choix technologiques et la résilience. L’indépendance technologique touche directement à la continuité d’activité. Une dépendance excessive à un fournisseur extra-européen expose l’entreprise à des risques en cas de tensions géopolitiques, de sanctions internationales ou de changement de politique commerciale du fournisseur. Ces scénarios doivent être intégrés à l’analyse des risques pour que vous puissiez anticiper des mécanismes de secours : réversibilité des applications, sauvegardes isolées, ou mobilisation de fournisseurs alternatifs homologués. Cette réflexion rejoint les préoccupations classiques de résilience cyber et de continuité d’activité.
Enfin, le sujet de l’open source constitue un autre axe de réflexion. Même si ces modèles restent complexes à déployer, les initiatives comme TOSIT montrent qu’ils peuvent contribuer à une réappropriation des stacks techniques et renforcer l’autonomie numérique des entreprises.
Cinq questions à évoquer avec votre CDO pour apprécier le niveau de dépendance de votre système d’information :
- Avons-nous une stratégie de réversibilité multi-cloud en cas de crise géopolitique ?
- Où mes données critiques sont-elles physiquement stockées et sous quelle loi tombent-elles ?
- Quels usages d’IA reposent sur des modèles non-européens, et comment les sécuriser ?
- Mon SI est-il prêt à prouver la conformité au RGPD + AI Act ?
- Quelle est ma dépendance actuelle aux technologies américaines/chinoises (cloud, GPU, LLM) ?
Le lieu d’hébergement de vos données influence leur exposition
Héberger ses données d’entreprise auprès d’acteurs américains ou chinois, même s’ils disposent d’implantations régionalisées, pose des enjeux de sécurité et de souveraineté très différents.
Aux États-Unis, qui concentrent près de la moitié (49 %) de la capacité mondiale des datacenters, le CLOUD Act (loi fédérale 2018) permet aux autorités américaines d’accéder aux données stockées sur des serveurs, même situés à l’étranger, notamment par mandat judiciaire. Elle s’applique aux fournisseurs de services américains et autorise la collecte des données personnelles de citoyens et résidents américains, quel que soit leur lieu de stockage. S’il n’existe pas d’équivalent fédéral au RGPD, la régulation est fragmentée entre États (ex. California Consumer Privacy Act, Virginia Consumer Data Protection Act, etc.) qui établissent des normes sur la confidentialité, le consentement, la transparence et la sécurité des données à des niveaux différents. Le Patriot Act lui, donne aux agences fédérales un accès potentiellement large aux données sous certaines conditions, sans nécessairement informer les personnes concernées.
En Chine (15-20 % de la capacité mondiale), les risques sont ceux d’un contrôle étatique fort et d’une restriction des échanges internationaux de données. La Chine associe sécurité nationale et cybersécurité, justifiant ainsi sa politique restrictive pour préserver ses intérêts économiques et politiques. Le gouvernement chinois joue un rôle central dans la régulation et l’inspection. Il peut accéder aux données à tout moment dans le cadre de la Loi sur la sécurité des Données (DSL), ce qui pose un risque majeur pour la confidentialité et la sécurité des données d’entreprise, surtout sur des sujets sensibles ou stratégiques.
L’IA comme facteur de dépendance accrue
À ce stade encore grandement associé aux LLM, l’essor de l’intelligence artificielle accentue les enjeux de localisation et de contrôle des données.
Nous l’avons évoqué, les données stockées à l’étranger peuvent servir, directement ou indirectement, à alimenter des modèles d’IA contrôlés par d’autres pays. À cela s’ajoutent des pratiques d’IA pas toujours précisément encadrées par les entreprises : si elles sont nombreuses à s’engager dans une transformation en ce sens, la structure est plus lente que l’individu. Au premier trimestre 2025, 46 % des Français déclaraient à IPSOS[1] utiliser l’IA générative dans leur quotidien. Pensez-vous que cette nouvelle habitude se quitte à l’entrée de l’entreprise ? Ce déploiement, hors de tout référentiel, engendre un phénomène de Shadow AI, un nouvel angle mort dans la gouvernance numérique : celui des usages d’outils non maîtrisés, à une échelle non mesurée, par des collaborateurs en quête d’efficacité immédiate.
Cela expose les organisations à une perte de valeur immatérielle (brevets, savoir-faire, comportements clients) et à un risque d’appropriation concurrentielle.Les plus grands modèles de langage américains (OpenAI, Google Deepmind, Anthropic) et chinois (Deepseek, Baidu, Alibaba) capitalisent sur des volumes massifs de données pour améliorer leurs modèles. Sans contrôle des flux, les entreprises européennes deviennent à la fois consommatrices et pourvoyeuses de données brutes.
Après l’évaluation, poser les bases de l’action
L’évaluation met en évidence plusieurs enjeux majeurs pour l’entreprise. Elle souligne d’abord la nécessité de garantir la souveraineté des données en localisant les informations sensibles en France ou en Europe, auprès de fournisseurs conformes au RGPD et, demain, aux exigences de l’AI Act.
Elle rappelle aussi l’importance de maîtriser les flux d’information en cartographiant précisément les données et les juridictions qu’elles traversent. L’usage de l’intelligence artificielle constitue un autre point d’attention : l’entreprise doit privilégier des modèles dont la chaîne d’entraînement est transparente et conforme aux standards européens. Cette démarche suppose une gouvernance interne solide, articulée autour d’un comité d’éthique, de processus de validation et d’audits réguliers associant DSI, juridique et métiers.
Enfin, la résilience technologique dépend de la capacité à anticiper les dépendances en matière d’infrastructures, de matériel et d’énergie, et à diversifier les fournisseurs pour limiter l’exposition à un acteur unique, notamment lorsqu’il est non européen. L’Europe dispose d’acteurs solides capables de proposer des alternatives crédibles, parmi lesquels les prestataires de Cloud OVHcloud, 3DS Outscale, Scaleway, IONOS, Hetzner, Exoscale, Aruba Cloud, Cleura et les fournisseurs d’IA Mistral AI (France), Aleph Alpha (Allemagne), Multiverse Computing (Espagne) Ces acteurs doivent cependant bénéficier d’un soutien accru des entreprises et des États pour atteindre la masse critique nécessaire et consolider leur position sur le marché.
La transformation vers une plus grande souveraineté technologique mobilise l’ensemble des parties prenantes de l’entreprise : COMEX, DSI, direction juridique et métiers. Elle exige d’abord de mesurer précisément votre niveau de dépendance et de recourir autant que possible à des prestataires finement sélectionnés, permettant par la même occasion le financement de l’innovation et la R&D, conditions indispensables pour faire face aux géants américains et chinois.
[1] ÉTUDE IPSOS “L’USAGE DE L’INTELLIGENCE ARTIFICIELLE PAR LES FRANÇAIS”, février 2025
