Souveraineté numérique
Capacité d'un État ou d'une organisation à maîtriser ses infrastructures, données et dépendances numériques, sans coercition extra-territoriale. 70 % du cloud européen est aux mains des GAFAM.
La souveraineté numérique désigne la capacité d'un État, d'une organisation ou d'un territoire à maîtriser ses infrastructures numériques, ses données et ses dépendances technologiques — sans coercition extra-territoriale (Cloud Act, sanctions, fermeture stratégique de fournisseurs). Ce n'est pas un statut binaire mais un vecteur multi-axes : data, opérationnelle, technologique, capitalistique, politique. En 2025, les hyperscalers américains détiennent environ 70 % du marché cloud européen, et l'essentiel de l'IA générative se concentre chez quelques acteurs US (OpenAI, Anthropic, Google). La réponse européenne se structure autour de SecNumCloud (ANSSI, 9 prestataires qualifiés fin 2025), GAIA-X, l'EU AI Act et l'appel d'offres cloud souverain de 180 M€ lancé par la Commission en avril 2026.
Les 5 axes de la souveraineté numérique
La souveraineté n'est pas un attribut, c'est une exposition au risque qui se mesure axe par axe.
| Axe | Question opérationnelle |
|---|---|
| Data | Mes données peuvent-elles être lues ou saisies par une juridiction étrangère via une requête légale ? |
| Opérationnelle | Si demain mon fournisseur me coupe (sanctions, faillite, décision stratégique), suis-je à l'arrêt ? |
| Technologique | Qui contrôle la chaîne — puces, poids des modèles, frameworks ? Si elle se ferme, ai-je une alternative locale crédible ? |
| Capitalistique / IP | Qui détient le contrôle stratégique de l'entreprise (capital, brevets, gouvernance) ? Quelles juridictions s'appliquent à ces actionnaires ? |
| Politique / valeurs | Le système porte-t-il les valeurs ou biais d'un autre référentiel (censure, alignement, narratif) ? |
La question utile n'est pas « est-ce souverain ? » mais « sur quel axe je ne peux pas me permettre de dépendance, et quelle option me protège sur cet axe ? ». Les cinq axes ne sont jamais simultanément maximisables — il y a toujours un arbitrage à formuler, et il varie selon le secteur (santé, défense, finance, retail, médias) et le profil de risque.
Cadre réglementaire
Le Cloud Act américain (2018) impose à tout fournisseur sous juridiction US (AWS, Microsoft, Google, mais aussi Cloudflare, Datadog, GitHub, etc.) de fournir aux autorités américaines les données qu'il héberge, même physiquement situées en Europe. Il prévaut sur les législations locales et ne nécessite ni notification de la personne concernée ni procédure judiciaire dans le pays d'hébergement.
Côté européen, le RGPD (2018) encadre la collecte, le traitement et le transfert des données personnelles, mais ne traite pas la souveraineté infrastructure. L'arrêt Schrems II de la CJUE (2020) a invalidé le Privacy Shield, reconnaissant que les transferts de données vers les États-Unis ne pouvaient être présumés conformes en raison du Cloud Act et du FISA 702. L'EU AI Act (2024) ajoute une couche pour les systèmes d'IA à usage général (GPAI), avec obligations renforcées pour les modèles à risque systémique.
Au niveau national, le référentiel SecNumCloud de l'ANSSI exige que le fournisseur cloud soit immunisé contre les droits extra-européens : hébergement UE, personnel UE, capital majoritairement européen, isolation juridique vis-à-vis des entités non-européennes du groupe. Au 1er décembre 2025, 9 prestataires sont qualifiés (OVH, Outscale, Cloud Temple, Orange Business, Worldline, Cegedim, Pronote, Hyperplanning, Oodrive) et 12 sont en cours de qualification (Scaleway, S3NS, NumSpot, Bleu).
Faire de la souveraineté un outil de décision
Quel que soit le type d'organisation — entreprise privée, ETI, scale-up, administration, association — l'approche utile est la même : transformer un mot-slogan en grille d'arbitrage opérationnelle.
1. Classifier les données et les charges par sensibilité. Tout n'a pas vocation à être souverain. Une vidéothèque marketing peut vivre sur un hyperscaler US sans risque ; les données clients, RH, propriété intellectuelle ou financières demandent un examen plus rigoureux. Trois ou quatre niveaux de sensibilité (public / interne / confidentiel / régulé) suffisent pour cadrer les décisions.
2. Mapper chaque charge sur les 5 axes. Pour chaque charge, identifier l'axe qui domine le risque. Une base de R&D = axe technologique et IP critique. Un CRM = axe data critique. Un SaaS support interne = axes moins critiques. Cette grille évite à la fois la sur-conformité (tout passer en SecNumCloud par principe, coût élevé sans bénéfice) et la sous-conformité (tout chez AWS sans réflexion).
3. Exiger réversibilité et transparence. Les axes capitalistique et opérationnel se gèrent par contrat : engagements de localisation, clauses de réversibilité testées, accès aux logs d'accès souverains (qui a lu mes données ?), exit plans documentés. Un fournisseur qui refuse ces clauses signale lui-même son manque de souveraineté.
4. Diversifier sans complexifier. Le multi-cloud par principe est coûteux. Le multi-cloud sur les charges critiques (un primaire + un secondaire de juridiction différente) est un levier de souveraineté pertinent — le verrouillage chez un acteur unique reste l'erreur la plus fréquente.
Pour un acteur public, le levier supplémentaire est la commande publique : 200 milliards d'euros annuels d'achats publics en France peuvent tirer la demande pour des solutions souveraines. Pour un acteur privé, c'est le risque opérationnel (Cloud Act, sanctions) qui justifie l'investissement, pas un argument de pavillon.
Limites et débats ouverts
La quête de souveraineté absolue est impossible : NVIDIA conserve un quasi-monopole sur les GPU haut de gamme, ASML détient le monopole de la lithographie EUV, et aucun acteur européen ne peut concurrencer OpenAI ou Anthropic sur les modèles fondation à l'échelle. Le débat oppose deux écoles : les tenants de l'autonomie stratégique ouverte (collaborer avec des partenaires fiables tout en construisant des alternatives sur les segments critiques) et ceux d'une souveraineté forte (priorité absolue aux acteurs locaux, quitte à accepter un retard technologique). En pratique, la majorité des stratégies publiques européennes adoptent la première approche, en concentrant les exigences fortes sur les segments les plus sensibles (cloud souverain, identité numérique, données de santé).
Standards et spécifications
RGPD (Règlement général sur la protection des données)
Règlement UE 2016/679, en vigueur depuis 2018. Encadre la collecte, le traitement et le transfert des données personnelles depuis l'UE — y compris les transferts vers les pays tiers (Schrems II, 2020)
Cloud Act (US)
Loi fédérale américaine de 2018 imposant aux fournisseurs cloud US de fournir leurs données aux autorités américaines, même hébergées hors USA. Crée un conflit direct avec le RGPD
EU AI Act
Règlement UE 2024/1689 sur l'IA, en vigueur depuis août 2024. Classifie les systèmes IA par niveau de risque et impose des obligations spécifiques aux modèles d'IA à usage général (GPAI)
SecNumCloud (ANSSI)
Référentiel français de qualification pour les services cloud sensibles. Exige hébergement UE, personnel UE, capital majoritairement européen et isolation juridique vis-à-vis des droits extra-européens
NIS2
Directive UE 2022/2555 sur la cybersécurité, transposée en France via la loi Résilience (2024). Élargit les obligations à 18 secteurs critiques et essentiels
Questions fréquentes
Un LLM open-source d'origine étrangère hébergé en local est-il souverain ?
Cela dépend de l'axe considéré. Un modèle comme Qwen, DeepSeek ou GLM hébergé sur infrastructure on-premise en Europe offre une souveraineté data forte (pas de Cloud Act applicable, pas de phone-home si déploiement maîtrisé) et une souveraineté opérationnelle forte (vous avez les poids, vous servez indépendamment du pays d'origine).
En revanche, la souveraineté technologique est faible : si l'éditeur cesse de publier les versions ouvertes, ou si la juridiction d'origine bloque l'export, vous êtes figé sur la version dont vous disposez. La souveraineté capitalistique est nulle (aucune valeur captée localement, aucun emploi, aucun écosystème). La souveraineté politique/valeurs est risquée : les biais d'alignement reflètent le contexte d'entraînement (censure, narratifs, normes culturelles), souvent invisibles sur des prompts business mais détectables sur des prompts géopolitiques ou éthiques.
Acceptable pour un usage tactique court terme, problématique comme socle pluriannuel d'une organisation.
Un LLM européen avec des actionnaires américains majoritaires est-il souverain ?
Cas Mistral : 3,05 Md$ levés cumulés, capital majoritairement non-européen depuis le Series A (a16z, 2023), Series C de septembre 2025 mené par ASML pour 2 Md$ (valorisation 14 Md$), partenariat compute stratégique avec Microsoft Azure depuis février 2024 (Microsoft a investi 15 M€). Modèles ouverts pour partie (Mistral 7B, Mixtral), équipe et entraînement en France.
La souveraineté technologique et politique/valeurs est forte (modèles ouverts, équipe française, alignement européen revendiqué). La souveraineté data dépend du déploiement : Azure UE ou self-hosted = bon, Azure US = exposé Cloud Act. La souveraineté capitalistique est moyenne-faible : capital US significatif, gouvernance hybride, risque OFAC réel si les US décident de sanctionner un client. La souveraineté opérationnelle est moyenne : Microsoft est un partenaire compute critique.
Meilleur qu'un GPT-4 sur la plupart des axes, mais pas équivalent à un acteur 100 % européen sur le capital et l'opérationnel.
Le RGPD garantit-il la souveraineté numérique ?
Non. Le RGPD est un cadre de protection des données personnelles, pas de souveraineté. Une entreprise européenne hébergée chez AWS Francfort peut être conforme RGPD tout en étant exposée au Cloud Act : les autorités américaines peuvent demander les données à AWS, qui doit s'exécuter même si les serveurs sont physiquement en Allemagne. Cette dualité a été reconnue par la CJUE dans l'arrêt Schrems II (2020), qui a invalidé le Privacy Shield. La souveraineté numérique exige de combiner RGPD + cadre opérationnel (SecNumCloud, EUCS) + maîtrise capitalistique du fournisseur.
Quelle est la différence entre SecNumCloud et un cloud public standard ?
SecNumCloud est un référentiel de l'ANSSI exigeant que le fournisseur soit immunisé aux droits extra-européens. Il impose : (1) hébergement physique en UE, (2) personnel et opérations en UE, (3) capital majoritairement européen avec actionnariat transparent, (4) chiffrement et opérations isolées des entités non-européennes du groupe.
AWS Francfort n'est pas SecNumCloud (capital US). Bleu (joint-venture Microsoft + Capgemini + Orange dédiée au secteur public sensible) et S3NS (joint-venture Google + Thales) tentent de qualifier des entités juridiquement isolées. En décembre 2025, 9 prestataires sont qualifiés et 12 en cours. La qualification SecNumCloud est obligatoire pour les opérateurs d'importance vitale (OIV) hébergeant des données sensibles.