Souveraineté numérique et IA : les vrais choix à faire

L'état réel de la souveraineté dans les ETI

Le cas le plus fréquent : Une ETI de 200 à 1 000 personnes, dans l'industrie ou les services. Elle a migré sur Microsoft 365 il y a deux ou cinq ans. Les mails tournent sur Exchange Online. Les réunions se font sur Teams. Les documents sont stockés sur SharePoint et OneDrive. Les contrats, les données RH, les échanges commerciaux : tout est dans l'écosystème Microsoft.

Microsoft est une entreprise américaine. Ses infrastructures cloud sont soumises au Cloud Act américain, une loi de 2018 qui permet aux autorités américaines d'exiger l'accès aux données stockées par des entreprises américaines, y compris sur des serveurs hébergés hors des États-Unis. Cette disposition s'applique indépendamment de l'endroit où les données sont physiquement hébergées.

Copilot et les outils IA Microsoft s'intègrent dans cette même infrastructure. Lorsqu'une organisation déploie Copilot sur Microsoft 365, les données traitées restent dans le tenant Microsoft de l'organisation, soumis aux mêmes conditions contractuelles et légales.

La question de la souveraineté n'est donc pas à venir pour cette organisation. Elle a été tranchée au moment de la signature du contrat Microsoft 365. Dans la grande majorité des ETI françaises, cette situation est la réalité de départ.

Cela ne veut pas dire qu'il n'y a rien à faire sur la protection des données. Le RGPD impose des obligations sur la façon dont les données personnelles sont traitées, transférées et protégées, y compris dans un contexte cloud américain. Les clauses contractuelles types et le Data Privacy Framework UE-États-Unis permettent de gérer une partie du risque. Mais ils ne créent pas de souveraineté au sens strict du terme.

Les deux postures cohérentes

Face à cette réalité, deux positions sont intellectuellement et stratégiquement cohérentes.

La première consiste à accepter le contexte existant, gérer le risque avec les outils disponibles, et choisir ses solutions IA en connaissance de cause. Cela signifie identifier les usages les plus sensibles, données personnelles de tiers, secrets d'affaires, données de R&D, informations stratégiques, et décider explicitement de ne pas les traiter via des outils cloud américains, même si on utilise Microsoft 365 pour le reste. Cela signifie également s'assurer que les configurations de sécurité des outils en place sont correctement paramétrées, que les droits d'accès sont maîtrisés, et que les équipes comprennent les limites des protections contractuelles. C'est une posture pragmatique. Elle n'est pas parfaite. Elle est cohérente avec la réalité de l'infrastructure déjà en place.

La deuxième consiste à décider que la souveraineté numérique est un impératif stratégique non négociable. C'est un choix légitime. Mais il faut comprendre ce qu'il implique réellement. Sortir de l'écosystème Microsoft pour une organisation qui y est profondément ancrée représente un chantier de 18 à 36 mois, avec des coûts de migration significatifs, des impacts importants sur les usages métier, et un effort de conduite du changement majeur. Il existe des alternatives européennes : OVHcloud, Infomaniak, des solutions Nextcloud pour le stockage documentaire. Certaines organisations publiques et quelques ETI ont fait ce choix. C'est possible. C'est long et coûteux. Et ça doit être une vraie décision, pas un voeu pieux inscrit dans une présentation CODIR.

Ce qui ne tient pas, en revanche, c'est de rester sur Microsoft 365 et de bloquer chaque projet IA au nom d'une souveraineté qui n'existe plus depuis la signature du contrat d'abonnement. C'est une position incohérente. Elle ne protège pas les données. Elle paralyse l'organisation sans créer aucune valeur.

Les risques réels et les risques fantasmés : chiffrez avant de décider

Avant d'investir dans une infrastructure souveraine, une question s'impose rarement dans les réunions de direction : quel risque précis cherche-t-on à éviter, et quelle est sa probabilité réelle ?

Le vol de données par la concurrence via l’hébergeur cloud est l'argument le plus souvent avancé. C'est aussi le moins probable. Microsoft, Google ou AWS ont un intérêt commercial existentiel à ne jamais partager les données d'un client avec un autre. Le Cloud Act concerne l’accès des autorités américaines à des fins judiciaires ou de sécurité nationale. Il ne crée pas un marché de l'espionnage industriel entre entreprises françaises.

L’arrêt de service non maîtrisé est un risque réel, mais mesuré. Azure et Microsoft 365 affichent des disponibilités supérieures à 99,9 %. Les pannes majeures arrivent, durent quelques heures, et sont documentées. La bonne réponse est un plan de continuité d'activité : c'est un enjeu d'architecture, pas de souveraineté.

La perte de données est statistiquement plus fréquente sur un serveur interne mal maintenu que sur un hyperscaler avec redondance multi-zones. Le risque est réel, mais il est généralement plus élevé sans le cloud que avec.

Deux risques concrets sont en revanche moins évoqués. Le premier est le lock-in tarifaire : quand un outil cloud devient critique pour l'activité, l'éditeur peut augmenter ses prix ou modifier ses conditions contractuelles sans que l'organisation dispose d'un levier de négociation réel. Le second est la discontinuation de service : une startup IA spécialisée peut fermer, pivoter ou être rachetée brutalement. Ce risque est marginal pour Microsoft 365, il est bien plus concret pour les outils IA récents construits sur des financements fragiles.

Ce que cette analyse implique concrètement : pour la majorité des usages en ETI, une stratégie d'export régulier des données, des droits contractuels de récupération clairement négociés, et un plan de continuité documenté couvrent 90 % du risque réel à un coût sans commune mesure avec celui d'une migration vers une infrastructure souveraine. Si le risque est faible, il est souvent peu coûteux de conserver un Plan B. C'est presque toujours plus rationnel que la prévention absolue.

Investir dans la souveraineté reste un choix légitime quand le contexte le justifie. C'est un choix qui mérite un calcul, pas une posture.

Maturité organisationnelle et ROI des projets IA

La question de la souveraineté ne se pose pas dans le vide. Elle s'inscrit dans un contexte plus large de gouvernance des données et de maturité organisationnelle.

Les organisations qui obtiennent les meilleurs résultats sur leurs projets IA ont plusieurs points communs. Leurs processus sont documentés et maîtrisés. Leurs données sont structurées, accessibles dans un état exploitable. Leur gouvernance de l'information est claire : qui accède à quoi, dans quel but, avec quels droits.

Ce n'est pas un hasard. L'IA s'appuie sur des données, s'intègre dans des processus, et s'inscrit dans une organisation. Quand ces fondations sont solides, elle délivre. Quand elles sont fragiles, elle amplifie les problèmes existants plutôt que de les résoudre.

La préparation à un projet IA passe souvent par un travail préalable qui n'a rien de spectaculaire : cartographier les données disponibles, documenter les processus concernés, clarifier les responsabilités et les droits d'accès. Ce travail est aussi la réponse concrète à une partie des enjeux de souveraineté. Une organisation qui sait précisément où sont ses données sensibles et qui y a accès est bien mieux positionnée pour décider quoi confier à un outil cloud et quoi garder en interne.

Les organisations qui ont une vraie gouvernance des données n'ont pas besoin d'invoquer la souveraineté comme un argument générique. Elles savent exactement ce qui est en jeu sur chaque cas d'usage, et elles décident en conséquence.

Conclusion

La souveraineté numérique est un vrai sujet. Elle mérite une vraie réponse, pas une posture de réunion.

Pour la grande majorité des ETI françaises, la réponse honnête commence par un constat : vous êtes déjà dans le cloud américain. La question n'est pas de savoir si vous voulez être souverain en théorie. C'est de décider ce que vous faites avec cette réalité. Soit vous la gérez avec rigueur, en identifiant les données vraiment sensibles et en les traitant différemment. Soit vous prenez la décision structurante de changer d'infrastructure. Les deux sont des choix valides. Prétendre être souverain sans faire ni l'un ni l'autre ne protège rien.

Ce cadrage de la souveraineté est le premier que nous posons chez Rakkan avant tout projet IA. Parce que la réponse à cette question conditionne toutes les suivantes..