En 2024, les autorités américaines ont adressé 57 000 demandes d'accès aux données stockées par des entreprises US, y compris des données hébergées en Europe. Si votre solution IA tourne sur un LLM américain, alors les données de vos administrés ne sont pas protégées par le RGPD.
Cet article présente l’enjeu de la souveraineté des données face à la réglementation RGPD et au Cloud Act.
Souveraineté des données : une clause parfois subtile
Dans un contexte de contrat fournisseur, votre délégué à la protection des données (DPO) doit valider les traitements. En général, les contrats incluent des clauses RGPD. Les données sont donc localisées sur des serveurs situés en Union Européenne. La case « conformité » est cochée.
Il manque une question dans votre processus de qualification des prestataires. Une seule : quelle est la nationalité juridique de l’entreprise qui traite vos données ?
Pas la nationalité de ses serveurs. La nationalité de l’entreprise elle-même.
Finalement, si la réponse est « américaine » ou « filiale d’un groupe américain », alors vos données d’administrés sont soumises au Cloud Act, peu importe où elles sont physiquement hébergées. Ce n’est pas une interprétation juridique discutable. C’est le texte de la loi américaine, en vigueur depuis 2018, que les grandes entreprises tech appliquent sans le publiciser.
Ce que le Cloud Act autorise concrètement
D’abord il est important de comprendre les principes énoncés. Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) donne aux autorités américaines le droit d’exiger d’une entreprise américaine qu’elle livre des données stockées sur n’importe quel serveur dans le monde, y compris en Europe, sans notification obligatoire au propriétaire des données ni au gouvernement du pays concerné.
Par ailleurs, Microsoft, dans son Transparency Report 2024, déclare avoir reçu plus de 57 000 demandes gouvernementales au cours de l’année, dont une part significative portait sur des données de clients européens hébergées sur des infrastructures européennes.
Par exemple, si votre prestataire IA américain reçoit une telle demande. Il y répondra mais il n’est pas légalement tenu de vous en informer. Vous découvrez donc la violation lors d’un audit, ou même pas du tout.
Pourquoi la conformité RGPD ne suffit plus
La Cour de Justice de l’Union Européenne l’a formalisé dans l’arrêt Schrems II en 2020 : un transfert de données vers une entreprise soumise à la surveillance américaine est incompatible avec le RGPD, même si les serveurs sont localisés en Europe.
En effet, pour les administrations françaises, l’enjeu dépasse la conformité formelle. Les données traitées dans une préfecture, une CAF ou un hôpital public comprennent des informations d’état civil. Mais aussi des données de séjour, des informations médicales et des situations patrimoniales. Ce sont exactement les catégories de données que le Cloud Act cible en priorité dans les demandes de renseignement.
Il est vrai que confier le traitement de ces données à un prestataire américain, c’est forcément créer une exposition structurelle qui ni votre DPO ni votre prestataire, ne peuvent contrôler.
Ce que la doctrine Cloud au Centre (SecNumCloud) change
Face à ces enjeux de souveraineté, la doctrine Cloud au Centre, formalisée par le SGDSN et l’ANSSI, n’est pas seulement une recommandation. C’est un cadre opérationnel qui redéfinit les critères de qualification des prestataires pour les systèmes d’information sensibles des administrations.
En effet, son principe central repose sur le fait que les données sensibles ne peuvent être confiées qu’à des prestataires certifiés SecNumCloud, l’homologation française de sécurité cloud délivrée par l’ANSSI. Deux hébergeurs sont aujourd’hui qualifiés : Outscale France (filiale de Dassault Systèmes) et Cloud Temple.
Par exemples, pour vos prochains appels d’offres, cela se traduit par trois critères devenus non négociables :
1. La certification SecNumCloud comme condition d’éligibilité
Cette certification ne doit pas être confondu avec un label, son impact est de plus grande ampleur. Un prestataire non certifié ne peut pas être retenu désormais. Et cela, quelle que soit la qualité fonctionnelle de sa solution.
2. La localisation du traitement, pas seulement du stockage
En effet, les opérations d’inférence et d’entraînement des modèles IA doivent elles aussi rester sur une infrastructure souveraine. Il est vrai qu’héberger les données en France tout en laissant l’inférence se faire sur des serveurs américains ne répond pas totalement aux exigences de la doctrine.
3. La traçabilité des accès
Chaque interaction entre votre solution IA et vos données d’administrés doivent être auditables par votre RSSI et accessibles par la CNIL en cas de demande. Évidemment, c’est une exigence que la plupart des LLMs américains ne satisfont pas nativement.
La souveraineté des données n’est plus un argument politique
Finalement, l’enjeu est de choisir un prestataire français et souverain de bout en bout. La souveraineté des données est un critère technique et juridique mesurable désormais.
C’est pourquoi les administrations qui intègreront ces exigences comme critères éliminatoires dans leurs prochains marchés n’auront pas seulement réduit leur exposition légale. Elles auront construit une relation de confiance avec leurs usagers reposant sur une garantie concrète. De ce fait, vos données restent françaises, sous juridiction française, auditables par des autorités françaises.
Dans notre prochain article, nous verrons comment l’IA agentique souveraine transforme concrètement le quotidien des agents publics, mais aussi pourquoi la réduction de la charge de niveau 1 est devenue la clé.
Sources
Dans l’article précédent, nous parlions d’accessibilité numérique. La question centrale était pourquoi est-ce devenu un impératif légal en 2026 ?
