Études & Réflexions › IA et souveraineté des données : un choix stratégique

Quand j'ai conçu effectivo, la question s'est posée immédiatement : où vont les données d'effectifs, de compétences, d'absentéisme qu'on traite ? Chez un prestataire américain soumis au Cloud Act ? La réponse était évidente : local-first. C'est un choix stratégique, pas un détail technique.

Et ce choix concerne tout le monde. Le règlement européen sur l'IA (EU AI Act), pleinement applicable à partir d'août 2026, classe les systèmes utilisés dans la santé et les RH comme « haut risque »^[1], avec des obligations renforcées de transparence et de supervision. En parallèle, le RGPD continue d'encadrer strictement le traitement des données personnelles.

La souveraineté n'est ni un absolu ni un luxe. C'est un curseur que chaque organisation doit positionner en fonction de la sensibilité de ses données. Voici comment s'y prendre.

Pourquoi la souveraineté des données est-elle devenue un sujet stratégique ?

Quand une organisation confie ses données à un tiers, elle délègue une partie de sa capacité à décider librement de leur usage. C'est un enjeu d'indépendance, pas seulement de conformité.

L'extraterritorialité juridique

Quand des données sont hébergées chez un fournisseur américain, elles sont soumises au Cloud Act, qui autorise les autorités américaines à accéder aux données stockées par des entreprises américaines, quel que soit le pays d'hébergement. La localisation physique des serveurs ne suffit pas : ce qui compte, c'est la nationalité de l'opérateur.

Pour les organisations soumises au secret médical ou au secret des affaires, cette extraterritorialité est un risque réel, un fait juridique dont les implications doivent être évaluées.

La dépendance technologique

Confier ses données à un fournisseur unique crée une dépendance. Si les tarifs augmentent, si les conditions changent, si le service est interrompu : l'organisation est captive. J'ai vu des établissements de santé bloqués pendant des mois parce que leur fournisseur avait changé de stratégie produit.

La souveraineté, c'est aussi la capacité à changer de fournisseur sans perdre ses données. L'article sur le pilotage de la masse salariale illustre ce risque : quand on construit son suivi sur un outil propriétaire unique, on est captif quand l'outil n'évolue plus.

La confiance des parties prenantes

PwC note que seul un tiers des PDG fait suffisamment confiance à l'IA^[2]. La souveraineté des données est un levier de cette confiance. Dans le secteur de la santé (mon terrain pendant 17 ans), un établissement doit garantir que les données d'absentéisme, de rémunérations, de mouvements de personnel restent sous contrôle. C'est non-négociable.

La confiance se construit par des choix vérifiables : hébergement identifié, conditions transparentes, politique de données documentée.

Un enjeu de gouvernance

Ce n'est pas un sujet réservé aux DSI. Quand une organisation choisit un outil d'IA pour son processus budgétaire, elle confie la visibilité sur sa structure de coûts et ses projections. Ce choix ne peut pas être laissé à un acheteur informatique seul. Il implique les dirigeants.

Qu'est-ce que le cloud souverain et à qui s'adresse-t-il ?

Un hébergement opéré et hébergé en Europe, exempt des législations extraterritoriales. Aujourd'hui c'est une alternative crédible aux hyperscalers américains. Le marché a considérablement mûri.

SecNumCloud et les certifications de référence

En France, la certification SecNumCloud 3.2 délivrée par l'ANSSI est devenue la référence^[3] : hébergement en France, immunité aux législations extraterritoriales, audit de sécurité approfondi. Pour la santé, la certification HDS complète le dispositif en garantissant la conformité au code de la santé publique.

Ces certifications engagent les fournisseurs sur des critères vérifiables et auditables, un repère fiable pour justifier les choix d'hébergement auprès des tutelles.

Un marché en forte croissance

Les commandes de cloud souverain de l'État français ont atteint 84 millions d'euros en 2025, en hausse de 62 % par rapport à 2024^[3]. OVHcloud, Scaleway, NumSpot, Outscale proposent des offres matures, y compris pour les charges de travail IA. Le cloud souverain est passé du statut de niche militante à celui d'option sérieuse dans les appels d'offres.

Pour qui le cloud souverain est-il pertinent ?

En priorité pour les organisations traitant des données sensibles : santé, défense, finances publiques. Mais le principe de maîtrise vaut pour toute organisation qui considère ses données comme un actif stratégique. Un diagnostic du pilotage commence par une question simple : quelles données utilisez-vous pour prendre des décisions, et où sont-elles ?

Souveraineté et IA : quelles implications concrètes ?

Ce ne sont pas des contraintes techniques insurmontables. Ce sont des choix de conception. Je les ai faits pour effectivo, et voici la logique.

Hébergement local ou européen

Premier niveau : les données restent sur des infrastructures soumises au droit européen. Pour les outils SaaS, vérifier la garantie contractuelle d'hébergement en Europe (pas seulement le traitement).

Pour un niveau maximal, l'hébergement local. C'est le choix que j'ai fait pour effectivo : un outil « local-first », souveraineté par conception, pas par configuration.

Modèles maîtrisables

La question n'est pas « open source ou propriétaire ? » mais « peut-on comprendre et expliquer ce que fait le modèle ?^[1] ». En pilotage des effectifs ou en reporting financier, un écart de prévision inexpliqué par un modèle opaque n'a aucune valeur décisionnelle.

Portabilité des données et des modèles

La capacité à migrer vers un autre fournisseur sans perte de données est un critère de souveraineté autant que de bonne gestion. Trois questions clés :

• Les données brutes sont-elles exportables en format standard (CSV, JSON, SQL) ?
• Les modèles entraînés peuvent-ils fonctionner sur une autre infrastructure ?
• Les configurations (paramétrages, règles métier, seuils) sont-elles reproductibles ?

Un fournisseur qui rend la migration difficile n'est pas un partenaire fiable à long terme.

Transparence et auditabilité

La transparence doit être opérationnelle. Trois questions auxquelles il faut pouvoir répondre à tout moment : quelles données l'IA utilise-t-elle ? Que produit-elle ? Qui a accès aux résultats ? Si vous ne pouvez pas répondre, il y a un problème.

La souveraineté a-t-elle un coût ?

Oui. Mais il est souvent surestimé. Et surtout, le coût de la non-souveraineté est rarement chiffré. Or c'est là que les vrais risques se cachent.

Le coût direct du cloud souverain

Les offres souveraines européennes sont compétitives pour la majorité des cas d'usage. Pour les charges de travail IA (GPU, calcul intensif), un écart peut subsister, mais il doit être mis en perspective avec la valeur des données traitées.

Le coût de la non-souveraineté

Le coût de la non-souveraineté est rarement chiffré, mais il est réel :

Risque juridique. Non-conformité RGPD : jusqu'à 4 % du chiffre d'affaires mondial. L'EU AI Act ajoute des obligations pour les systèmes haut risque. L'article sur la délégation à l'IA détaille le cadre de supervision humaine.

Risque de dépendance. Plus l'organisation est intégrée dans un écosystème, plus le coût de sortie est élevé.

Risque de confiance. Une fuite de données entame la confiance des collaborateurs et des partenaires, un actif intangible dont l'érosion a des conséquences durables.

Risque d'obsolescence. Un fournisseur qui change de stratégie peut rendre obsolètes les investissements réalisés.

L'angle énergétique

L'IEA note que la consommation électrique des centres de données a atteint 415 TWh en 2024, projection à 945 TWh d'ici 2030^[4]. Héberger localement, c'est aussi maîtriser l'empreinte énergétique de ses traitements. Un argument de plus en plus présent dans les arbitrages.

Comment aborder la souveraineté de manière pragmatique ?

Pas de dogme. Un curseur à positionner en fonction de la sensibilité des données et des contraintes. Voici les quatre étapes que je recommande.

Étape 1 : cartographier la sensibilité des données

Classer les données en trois catégories :

Sensibilité haute : données de santé, données RH nominatives, données financières stratégiques, données couvertes par le secret médical. Hébergement souverain requis.

Sensibilité moyenne : indicateurs d'activité, données de pilotage agrégées. Hébergement standard acceptable avec garanties contractuelles solides.

Sensibilité basse : données publiques, anonymisées, documentation. Pas d'exigence particulière.

En mission, je découvre régulièrement que des données sensibles transitent par des outils dont personne ne maîtrise l'hébergement. C'est le type de constats qui émerge d'un diagnostic du pilotage.

Étape 2 : évaluer les fournisseurs

Cinq dimensions, pas plus :

• Localisation : où sont les serveurs ? Législations extraterritoriales applicables ?
• Certifications : SecNumCloud, ISO 27001, HDS ? Audités régulièrement ?
• Portabilité : données exportables ? Format ? Coût de sortie ?
• Transparence : pratiques documentées ? Audits autorisés ?
• Pérennité : viabilité financière ? Modèle compatible avec un partenariat long terme ?

Les données sont un actif. Elles méritent la même rigueur dans le choix de leur hébergeur que dans le choix de n'importe quel partenaire stratégique.

Étape 3 : privilégier les architectures ouvertes

Formats standards, API documentées, absence de verrouillage propriétaire : ce sont des garanties de souveraineté à long terme. C'est cette philosophie qui guide effectivo : données locales, formats ouverts, indépendance.

Les architectures ouvertes permettent de combiner des outils de différents fournisseurs. Un outil de consolidation budgétaire qui exporte en format standard peut alimenter un outil d'analyse d'un autre fournisseur. Cette modularité est une forme de souveraineté.

Étape 4 : anticiper la réglementation

L'EU AI Act sera pleinement applicable en août 2026. Intégrer les principes de base (transparence, supervision, documentation) dans les projets IA dès maintenant, c'est prendre de l'avance, pas se contraindre. L'article sur la délégation à l'IA détaille les principes de supervision applicables.

En France, la stratégie nationale IA santé (2025-2028) et le plan HAS 2025-2030 font de l'IA un axe prioritaire^[5], dans un cadre où la protection des données reste non négociable. C'est exactement la vision que je porte dans mes missions de conseil.

Quelles sont les spécificités sectorielles ?

Secteur santé et médico-social

Mon terrain pendant 17 ans. Secret médical, certification HDS, cadre CNIL spécifique. Un outil de pilotage des effectifs qui traite de l'absentéisme, des compétences, des mouvements de personnel doit offrir des garanties d'hébergement adaptées. C'est ce constat qui a guidé la conception d'effectivo : local-first, souveraineté par conception.

Secteur public et collectivités

La doctrine « cloud au centre » impose l'utilisation de clouds SecNumCloud pour les données sensibles. Pour les collectivités qui pilotent des budgets importants, le choix d'outils souverains est une obligation réglementaire autant qu'un choix de bonne gestion.

PME et ETI

Les données d'une PME (clients, finances, savoir-faire) sont souvent l'essentiel de sa valeur. Et avec des volumes modérés, le passage à des outils locaux est rapide et peu coûteux. Pas besoin d'une infrastructure complexe pour héberger un suivi budgétaire en local.

Souveraineté et IA générative : un cas particulier

Le risque des outils grand public

Un collaborateur qui utilise ChatGPT pour résumer un rapport financier confidentiel transmet ces données à un tiers. Sans garantie de confidentialité, sans traçabilité. Et potentiellement, ces données servent à entraîner les modèles suivants. C'est le genre de risque invisible qui me préoccupe le plus.

Les alternatives maîtrisées

Instances dédiées (Azure OpenAI, AWS Bedrock, Mistral via partenaires européens) et modèles open source déployables en local. Pour le pilotage, ces alternatives sont largement suffisantes. Analyser un écart budgétaire ne nécessite pas le modèle le plus puissant du marché, mais un modèle fiable dans un cadre maîtrisé. C'est exactement le raisonnement que j'applique dans effectivo.

Définir une politique d'usage

Plutôt qu'interdire l'IA générative (ça ne marche jamais), définir une politique claire :

• Quels outils autorisés pour quels types de données ?
• Quelles données ne doivent jamais être saisies dans un outil externe ?
• Quelles instances dédiées sont disponibles ?

Trois règles claires sur une page, ça sera appliqué. Un document de 50 pages, non.

Comment mesurer la maturité souveraine de son organisation ?

J'utilise une grille en cinq niveaux. Simple, mais ça suffit pour se situer :

Niveau 1 : aucune maîtrise. Données dispersées, pas d'inventaire, IA utilisée via des outils grand public.

Niveau 2 : conscience. L'organisation sait où sont ses données sensibles. Réflexion engagée.

Niveau 3 : cadrage. Politique de données, fournisseurs évalués, règles d'usage IA en place.

Niveau 4 : maîtrise. Données sensibles en cadre souverain, instances dédiées, portabilité assurée.

Niveau 5 : excellence. Souveraineté intégrée dans la culture, audits réguliers.

La plupart des organisations se situent entre les niveaux 1 et 3. L'objectif est de progresser d'un niveau à chaque cycle. Un cadrage stratégique aide à positionner l'organisation et définir la feuille de route.

L'écosystème européen : où en est-on ?

Il a considérablement mûri. Cloud souverain : OVHcloud, Scaleway, NumSpot, Outscale avec des offres SecNumCloud. IA souveraine : Mistral AI avec des modèles déployables en Europe. GAIA-X et le Data Act pour l'interopérabilité.

Outils métier : c'est ce que je construis avec effectivo (pilotage des effectifs et des compétences), Previsio (analyse prédictive), et l'écosystème CoLabFlow. Souveraineté par conception : données locales, formats ouverts, aucune dépendance cloud.

Pour les cas d'usage courants (consolidation budgétaire, suivi des effectifs, reporting automatisé), les alternatives souveraines sont matures et performantes.

Questions fréquentes

Le RGPD interdit-il l'utilisation de l'IA ?

Non. Le RGPD encadre le traitement des données personnelles, quel que soit l'outil^[1]. L'IA est compatible avec le RGPD si on respecte minimisation, transparence et base légale. L'enjeu n'est pas d'éviter l'IA, mais de l'utiliser dans un cadre qui respecte les droits des personnes.

Peut-on utiliser ChatGPT avec des données sensibles ?

Les services grand public ne garantissent pas la confidentialité. Pour des données sensibles : instances dédiées ou modèles en local (Mistral, LLaMA). C'est non-négociable, surtout en santé ou en RH.

La souveraineté est-elle un sujet uniquement pour le secteur public ?

Non. Toute organisation dont les données sont un actif stratégique a intérêt à maîtriser leur hébergement. La question « que se passe-t-il si mon fournisseur change ses conditions ? » vaut pour une PME comme pour un ministère.

La souveraineté freine-t-elle l'innovation ?

Non. C'est un cadre, pas une restriction. Les organisations qui maîtrisent leurs données expérimentent mieux, parce qu'elles savent ce qu'elles exposent et ce qu'elles protègent. Le comparatif des outils montre qu'on peut concilier performance et souveraineté.

Par où commencer ?

Par un inventaire : quelles données sensibles, et où sont-elles hébergées ? C'est souvent le premier livrable d'un diagnostic du pilotage. Ensuite, prioriser : les données les plus sensibles et les outils les plus critiques d'abord. La souveraineté se construit par étapes, pas par révolution.

Brice Béchet

Consultant en pilotage des organisations

Contrôleur de gestion sénior, data scientist et créateur d'effectivo.fr, application de prévision stratégique des effectifs (Anticipez. Simulez. Décidez) — j'accompagne les organisations à structurer leurs données et optimiser leur pilotage.

En savoir plus LinkedIn