« Cloud souverain », « IA européenne », « vos données restent en Europe » : l'argument est partout, et il rassure. Mettre son IA au vert, à l'abri des lois étrangères, tout en gardant la performance — la promesse est belle. Elle est aussi pleine de pièges. Car un centre de données à Paris ne protège pas forcément du droit américain, et le mot « souverain » sert d'étiquette à des offres qui n'en ont que le nom. La vraie question n'est pas « où sont mes données ? » mais « qui peut être forcé d'y accéder ? ». Voici comment y voir clair, sans les illusions.
L'illusion du centre de données européen
Le point qui casse tout est juridique (Fig. 1). La loi américaine dite « CLOUD Act » oblige un fournisseur soumis au droit américain à communiquer les données qu'il détient « qu'elles soient situées à l'intérieur ou à l'extérieur des États-Unis ». Autrement dit : le déclencheur n'est pas où se trouvent les serveurs, mais à quelle loi est soumis l'opérateur. Une donnée hébergée à Francfort, mais opérée par une société américaine, reste atteignable par une injonction américaine.
Le droit européen enfonce le clou. Selon les autorités de protection des données, un simple accès à distance depuis un pays tiers — pour de la maintenance, du support, ou sur injonction — constitue déjà un transfert de données au sens du RGPD. Dès qu'un fournisseur non-européen peut accéder à vos données stockées en Europe, vous êtes en transfert international, avec toutes les obligations que cela implique. « Hébergé en Europe » et « à l'abri du droit américain » sont deux choses différentes.
Souverain pour de vrai : sept questions à poser
Ne croyez pas l'étiquette « cloud européen » : passez le fournisseur au crible (Fig. 2). La souveraineté réelle, c'est la somme de plusieurs critères, pas une seule case cochée.
- Où ? Résidence des données garantie en Europe — stockage, traitement, journaux et sauvegardes compris.
- Qui possède ? Société de droit européen, ou filiale d'un groupe étranger ? Regardez la maison mère, pas la filiale locale.
- Qui peut être contraint ? Le fournisseur est-il exposé à une injonction fondée sur une loi extra-européenne ?
- Quels sous-traitants ? Le « fournisseur européen » repose-t-il, en dessous, sur un géant américain pour le calcul ou le stockage ?
- Entraîne-t-il sur vos données ? Offre professionnelle, non-entraînement par défaut ou opt-out, durée de rétention.
- Quelles certifications ? SecNumCloud (le seul label français qui vise l'immunité au droit extra-européen) va bien au-delà d'une simple ISO 27001, qui ne parle que de sécurité.
- Quelle portabilité ? Pouvez-vous partir avec vos données et vos configurations ? La souveraineté, c'est aussi la réversibilité.
Un mot sur le label. En France, la qualification SecNumCloud de l'ANSSI est le marqueur de référence : elle exige un siège dans l'Union, une participation extra-européenne minoritaire, des sous-traitants sans accès depuis un pays tiers, et une opération localisée en Europe — précisément pour résister aux injonctions étrangères. C'est ce faisceau qui distingue un cloud réellement souverain du « sovereignty washing » : une offre badgée « souveraine » mais détenue par un acteur américain n'est pas immunisée contre le droit américain.
Le paysage : vrais européens et « souverain » des géants américains
Côté acteurs européens, l'offre existe et mûrit. Mistral (dont l'assistant, désormais appelé Vibe, a remplacé « Le Chat ») héberge vos données dans l'Union par défaut et n'entraîne pas ses modèles sur les données envoyées via son API — avec une nuance à connaître : le plan gratuit de l'assistant, lui, peut réutiliser les conversations (désactivable). OVHcloud propose une API d'IA hébergée en Europe qui promet que « vos données ne serviront jamais à entraîner nos modèles », avec zéro rétention hors facturation — sa qualification SecNumCloud couvre l'infrastructure, mais son extension au service d'IA est une feuille de route, pas un acquis. Scaleway héberge ses modèles à Paris et s'engage à ne pas lire ni réutiliser vos requêtes, avec une API compatible avec les standards du marché — la migration est facile.
Les hyperscalers américains ont lancé des offres « souveraines » — AWS European Sovereign Cloud (opéré par des résidents européens depuis début 2026), la frontière de données européenne de Microsoft, les variantes de Google opérées par des partenaires nationaux. La résidence des données en Europe et l'exploitation par des Européens sont de vrais progrès. Mais tant que la société mère reste américaine, une exposition résiduelle au CLOUD Act demeure : en 2025, un dirigeant de Microsoft France a reconnu sous serment ne pas pouvoir garantir que des données de clients publics ne seraient jamais transmises aux autorités américaines. Seule une structure opérée et détenue par un acteur européen (comme certaines coentreprises nationales) coupe vraiment cette exposition. Nuance honnête : le débat n'est pas tranché en noir et blanc — le Conseil d'État a déjà jugé ce risque « acceptable » dans un cas d'hébergement de données de santé.
Quand ça compte vraiment, et ce que dit le droit
La souveraineté n'est pas une religion : c'est un curseur à régler selon la sensibilité des données. Elle est déterminante pour les données personnelles sensibles (santé, biométrie), le secteur public et les industries régulées, les données stratégiques ou secrètes, et les professions sous secret (avocats, médecins, experts-comptables). Elle est souvent surdimensionnée pour des données publiques, non personnelles ou à faible enjeu — reformuler un texte public ne réclame pas un coffre-fort. La bonne approche est hybride : du souverain pour le sensible, le meilleur outil ailleurs. Soyons honnêtes sur l'arbitrage — les options européennes souveraines peuvent être légèrement en retrait des modèles « frontière », coûter un peu plus cher ou offrir moins de fonctions ; mais un modèle plus performant qu'on ne peut pas utiliser légalement ne vaut rien face au bon modèle qu'on peut utiliser. La question n'est pas « suis-je souverain partout ? » mais « quelles données précises passent dans cet outil ? ».
Vous êtes responsable de traitement ; le fournisseur d'IA est votre sous-traitant, sous contrat (DPA). Première ligne de défense avant même le choix du fournisseur : la minimisation — n'envoyez que le strict nécessaire, pseudonymisez quand vous pouvez. Tout recours à un fournisseur non-européen est un transfert à encadrer (décision d'adéquation, clauses contractuelles types). Le cadre transatlantique existe — le Data Privacy Framework est en vigueur, et son recours en annulation a été rejeté en première instance en septembre 2025 (un pourvoi est annoncé) — mais il repose sur des équilibres que la jurisprudence a déjà bousculés par le passé. Ne bâtissez pas votre conformité sur du sable : documentez, et gardez la maîtrise.
Choisir un cloud souverain, ce n'est donc pas cocher « hébergé en Europe » et passer à autre chose. C'est vérifier qui possède, qui opère, et qui peut être contraint — puis réserver l'effort aux données qui le méritent. L'étiquette « souverain » ne protège personne ; ce sont les faits derrière l'étiquette qui comptent.
- L'emplacement ne suffit pas : un fournisseur soumis au droit américain reste atteignable (CLOUD Act), même hébergé en Europe.
- Souveraineté = où + qui possède + qui opère + immunité au droit étranger — pas une seule case cochée.
- SecNumCloud est le marqueur français de référence ; ISO 27001 parle de sécurité, pas de souveraineté.
- Vrais européens (Mistral, OVHcloud, Scaleway) vs « souverain » des géants américains (progrès réel, exposition résiduelle).
- Réglez le curseur selon la sensibilité : souverain pour le sensible, hybride ailleurs ; minimisez avant tout.
Dans la même série : faire tourner une IA sur votre machine, IA open source ou propriétaire, et ce que vous avez le droit de confier à l'IA.
Cette analyse fait partie de notre veille Outils & IA. Pour garder la maîtrise de vos données sans renoncer à l'IA, téléchargez l'Atlas IA 2026 et abonnez-vous à la newsletter AISKILLSPRO.
Au-delà de l'IA, retrouvez nos guides, tutoriels et modules Odoo sur OdooSkills, le blog Odoo ↗ (nouvel onglet).