Les enjeux de la souveraineté numérique

Serge Escalé 17 février 2025Dernière mise à jour : 20 février 2025

3 191 Lecture 4 minutes

Face aux lois d’extraterritorialité américaines, les hébergeurs de Cloud européens sont en première ligne pour mettre les données sensibles et personnelles à l’abri de la curiosité des entités publiques et privées étrangères. L’IA souveraine obéit à ces mêmes exigences.

Le Patriot Act ou encore le CLOUD Act sont des législations américaines qui donnent la possibilité à leurs agences gouvernementales d’accéder à des données personnelles dans le monde entier. Ce risque ne peut plus être négligé par les entreprises de toutes tailles qui gèrent des données sensibles. Il s’agit des données personnelles, des documents de propriété intellectuelle, des brevets, des marques ainsi que des projets de recherche, des droits d’auteur et des secrets commerciaux.

Si le règlement RGPD et la directive NIS2 obligent les entreprises à un certain niveau de contrôle, ces textes législatifs ne suffisent évidemment pas à assurer la souveraineté des données sensibles.

Pour interdire l’accès au patrimoine informationnel confidentiel d’une entreprise, il existe deux solutions. Soit les données restent « on premise » c’est-à-dire dans le SI (système d’information) en interne. Dans ce cas, il faut les protéger de manière robuste contre le piratage informatique et la curiosité des agences ou des sociétés étrangères. Un vrai défi.

Soit les données sont placées sur le Cloud et, dans une proportion de 70 % selon Markess by Exaegis (chiffres 2023), sur un service Cloud américain, AWS, Azure ou Google Cloud, censés en assurer la confidentialité.

Encore faut-il qu’il existe dans les entreprises une véritable gouvernance des données. À savoir, en dresser l’inventaire, les classifier puis les stocker en conséquence en fonction de leur niveau de sensibilité. Aujourd’hui, faute de stratégie ou de personnel qualifié, nombreuses sont les PME et ETI qui ne répondent pas aux critères de bonne gouvernance des données.

Une suite bureautique collaborative française sur un Cloud souverain

Proposer une alternative à la suite Office 365 de Microsoft avec un hébergement en France est un des défis relevés par la société Jamespot. Alain Garnier, cofondateur et directeur de Jamespot, explique qu’il est en effet possible de le faire : « Collabnext, notre suite bureautique souveraine, dispose de toutes les fonctions de base auxquelles s’ajoutent, par exemple, un annuaire. Notre plateforme Jamespot exécute 90 applications, c’est un véritable écosystème numérique qui repose sur un Cloud souverain ».

Parmi les clients de Jamespot figurent Leroy Merlin, Saint-Maclou, Eden Park ou encore des collectivités territoriales attachées à la souveraineté IT (Techniques de l’information).

Un hébergement Cloud français et souverain

NumSpot est un prestataire Cloud de confiance créé en février 2023. Servane Augier, directrice Commerce & Marketing chez NumSpot, en détaille la genèse. « Nos actionnaires nous apportent leur expérience technologique et opérationnelle. L’un d’entre eux, Bouygues Telecom, dispose d’un important réseau et de capacités en matière de production. Quant à Dassault Systèmes, il est à l’origine d’Outscale, prestataire de Cloud français et souverain, fondé en 2010 ».

Pour précision (voir encadré), les données disposées sur un Cloud souverain sont hébergées physiquement et traitées en France, et ce, par un acteur de droit français, en application de la réglementation hexagonale. « Pour les clients appartenant au secteur de la santé, nous nous appuyons sur nos partenaires agréés HDS (hébergeur de données de santé), une certification imposée par la législation », ajoute Servane Augier.

Elle détaille un cas d’usage spécifique de l’hébergement Numspot pour les PME ou ETI ne souhaitant pas recruter d’administrateur pour suivre les projets à durée limitée.

Les IA souveraines en voie d’expansion…

Une IA souveraine doit être, bien entendu, hébergée en France et apporter la garantie juridique et technique que les données d’une organisation ne sont pas exploitées et exploitables par un tiers.

À cela s’ajoutent les impératifs de sécurité numérique et des critères de performance pour le stockage et le calcul. Cas emblématique, l’IA générative française Mistral AI a connu les feux de la rampe lors du Sommet sur l’intelligence artificielle. La start-up française y a été érigée championne de l’IA par Emmanuel Macron.

« Côté IA générative, nous proposons un Chatbot RAG (retrieval augmented generation). Ce terme, un peu barbare, désigne un Chatbot conversationnel qui ne répond que sur les documents qu’on lui a donnés, telle la documentation produit ou RH », explique Alain Garnier qui poursuit : « Ce Chatbot va répondre précisément sur les congés de l’entreprise à partir de documents RH. Par rapport à un moteur de recherche, il permet de synthétiser des informations pertinentes et éparses beaucoup plus facilement que lui », explique Alain Garnier.

… Avec quelques interrogations sur ses conséquences

L’usage concret d’une IA générative dans l’entreprise se développe, mais un rapport de Camunda, plateforme open source pour la gestion des processus métier, alerte sur le fait que 82 % des entreprises interrogées craignent un « chaos numérique » dû à la complexité de l’IA.

Le bilan carbone des IA génératives est décrié à juste titre, une requête sur ChatGPT consommant dix fois plus d’énergie qu’une requête sur Google. Alain Garnier cite un contre-exemple. « Quand un utilisateur qui fait des recherches sur un agent conversationnel et n’obtient pas un résultat satisfaisant, réalise une vidéo avec la RH, où est le bénéfice en termes d’émission de CO₂ ? ».

Cloud souverain et Cloud de confiance : quelles différences ?

Le Cloud souverain est un bouclier qui protège les données sur le Cloud contre toute intrusion étrangère, non autorisée. Le Cloud souverain est l’acception plus restrictive de la souveraineté des données personnelles et sensibles vis-à-vis de clients, d’entités étatiques ou de partenaires hors de l’Europe.

A mi-chemin entre Cloud privé et Cloud public, le Cloud de confiance est la déclinaison officielle des solutions visant à supprimer les failles techniques et juridiques induites par l’extraterritorialité des « hyperscalers », à savoir Amazon, Microsoft et Google, non soumis aux réglementations françaises.

Le Cloud de confiance repose sur le référentiel SecNumCloud, une certification garantissant la sécurité et la confidentialité numérique des prestataires de services Cloud dans l’UE pour les types IaaS, SaaS ou PaaS.