Quand une PME adopte un outil d’IA — chatbot, automatisation documentaire, analyse de données — elle confie à cet outil des informations qui sont souvent le coeur de son activité. Fichiers clients, données RH, chiffres financiers, correspondances commerciales.
La question que personne ne pose au moment de signer : où vont ces données, et qui peut y accéder ?
La réponse, dans la majorité des cas, est désagréable.
Le Cloud Act : un droit d’accès extraterritorial
En mars 2018, le Congrès américain a adopté le CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Ce texte permet aux autorités américaines d’exiger l’accès aux données détenues par des entreprises de droit américain — quel que soit le pays où ces données sont physiquement stockées.
L’histoire de cette loi est révélatrice. En 2013, le FBI demande à Microsoft de fournir les emails d’un suspect stockés sur un serveur en Irlande. Microsoft refuse et porte l’affaire devant les tribunaux. L’affaire remonte jusqu’à la Cour suprême des États-Unis en 2018. Mais avant que la Cour ne tranche, le Congrès vote le CLOUD Act, qui rend le débat caduc : désormais, la localisation physique des serveurs n’a plus d’importance (Stanford Law Review, “Microsoft Ireland, the CLOUD Act, and International Lawmaking 2.0”).
Concrètement, cela signifie qu’une PME française utilisant AWS, Azure, Google Cloud, ou n’importe quel SaaS américain, expose ses données à une juridiction étrangère. Même si le datacenter est à Paris. Même si le contrat mentionne “hébergement en Europe”. L’entité juridique est américaine : le CLOUD Act s’applique.
Deux cadres juridiques invalidés, un troisième sous surveillance
L’Union européenne et les États-Unis ont tenté trois fois de construire un cadre légal pour les transferts transatlantiques de données personnelles. Les deux premiers ont été pulvérisés par la Cour de justice de l’Union européenne.
Safe Harbor (2000–2015). Invalidé par l’arrêt Schrems I. La CJUE juge que les programmes de surveillance américains (PRISM, UPSTREAM) ne garantissent pas un niveau de protection équivalent au droit européen.
Privacy Shield (2016–2020). Invalidé par l’arrêt Schrems II, le 16 juillet 2020. Même motif, même punition : la législation américaine permet aux agences de renseignement de collecter et utiliser les données transférées de manière incompatible avec les droits garantis par le RGPD et la Charte des droits fondamentaux de l’UE (CJUE, affaire C-311/18, Data Protection Commissioner c. Facebook Ireland et Maximillian Schrems).
Data Privacy Framework (2023–?). Le cadre actuel. En septembre 2025, le Tribunal de l’UE a rejeté une première contestation. Mais Max Schrems et son organisation noyb ont immédiatement annoncé vouloir porter une action plus large, en ciblant spécifiquement les actions de l’administration Trump : paralysie du Privacy and Civil Liberties Oversight Board (PCLOB), restructuration de la Federal Trade Commission, et le fait que tout le dispositif repose sur un décret présidentiel — révocable à tout moment (noyb, “EU-US Data Transfers: Time to prepare for more trouble to come”).
En janvier 2025, l’autorité norvégienne de protection des données a recommandé aux entreprises européennes de préparer des “stratégies de sortie” en anticipation d’une invalidation (CMS Law, “Is the EU-U.S. Data Privacy Framework in Danger?”, janvier 2025). Le Danemark et l’Allemagne ont émis des avertissements similaires.
Parier sur la pérennité de ce troisième cadre relève, au mieux, de l’optimisme.
La CNIL ne plaisante pas
Pour ceux qui penseraient que ces questions restent théoriques, un rappel des faits.
En 2022, la CNIL a infligé 20 millions d’euros d’amende à Clearview AI pour collecte et utilisation illégales de données biométriques de personnes résidant en France, assortie d’une astreinte de 100 000 euros par jour de retard (CNIL, décision du 17 octobre 2022). Clearview AI n’a jamais payé — mais le signal est clair.
La même année, la CNIL a mis en demeure des gestionnaires de sites web français pour utilisation de Google Analytics, jugeant que le transfert de données personnelles vers les États-Unis était illégal au regard du RGPD, même avec les mesures complémentaires de Google (CNIL, février 2022).
En 2023, Criteo a écopé de 40 millions d’euros pour défaut de consentement dans la collecte de données publicitaires (CNIL, 2023). Amazon France Logistique : 32 millions d’euros pour surveillance excessive de ses salariés (CNIL, 2024).
Au total, la CNIL a prononcé 87 sanctions en 2024 pour un montant cumulé de 55,2 millions d’euros. Et le virage est net : 8 sanctions sur 10 visaient des TPE/PME (CNIL, “Bilan 2024 de l’action répressive”).
Les PME ne sont plus en dessous du radar.
Ce que signifie concrètement “hébergement souverain”
Le terme est galvaudé. Certains fournisseurs collent l’étiquette “souverain” sur un serveur OVH sans aller plus loin. Clarifions.
Un hébergement véritablement souverain repose sur trois piliers :
Localisation physique en France. Les serveurs sont sur le territoire français. C’est la condition minimale, mais insuffisante à elle seule — rappelons que le CLOUD Act se moque de la localisation physique.
Entité juridique européenne. Le fournisseur d’infrastructure doit être de droit européen, avec des capitaux majoritairement européens. C’est ce qui rend le CLOUD Act inopérant. C’est aussi l’exigence du référentiel SecNumCloud de l’ANSSI, qui impose un minimum de 76% de capitaux européens pour les fournisseurs qualifiés (ANSSI, référentiel SecNumCloud 3.2).
Isolation et traçabilité des données. Vos données ne sont pas mutualisées avec d’autres clients. Chaque traitement est documenté, auditable. Vos données ne servent jamais à entraîner des modèles tiers. Vous savez exactement ce qui entre, ce qui sort, et qui y accède.
Sans ces trois conditions réunies, le mot “souverain” est un argument marketing.
Les questions à poser à votre fournisseur IA
Avant de signer avec un prestataire d’automatisation ou d’intelligence artificielle, posez ces questions. Les réponses vous diront tout :
- Où sont physiquement hébergées mes données ? Exigez le nom du datacenter, pas juste “en Europe”.
- Quelle est la nationalité juridique de l’hébergeur ? Un datacenter français opéré par une filiale d’AWS reste soumis au CLOUD Act.
- Mes données sont-elles utilisées pour entraîner des modèles ? Si la réponse est “non, sauf…” — c’est oui.
- Puis-je obtenir un export complet et une suppression vérifiable de mes données ? Le droit à l’effacement n’est pas négociable.
- Disposez-vous d’un registre des traitements consultable ? C’est une obligation RGPD, pas une faveur.
- Votre infrastructure est-elle soumise à une législation extraterritoriale ? La seule bonne réponse est non.
Un fournisseur qui esquive ces questions ou répond avec du flou ne mérite pas votre confiance.
Ce n’est pas une question de principe — c’est une question de risque
Soyons pragmatiques. L’hébergement souverain n’est pas un caprice idéologique. C’est une couverture contre trois risques concrets.
Risque juridique. En cas de contrôle CNIL, vous devez démontrer la conformité de vos traitements. Des données IA transitant par des serveurs américains sans garanties solides, c’est une infraction documentée. Et les PME sont désormais dans le collimateur.
Risque commercial. “Hébergé en France, données souveraines” est devenu un argument de vente. Dans les appels d’offres publics, c’est souvent un critère éliminatoire. Dans le B2B, c’est un différenciateur. Les entreprises qui peuvent prouver la souveraineté de leurs données gagnent des contrats que les autres perdent.
Risque opérationnel. Un fournisseur étranger peut modifier ses CGU du jour au lendemain, augmenter ses tarifs de 300%, ou être sanctionné par un gouvernement tiers. Vos données sont alors prises en otage. Avec un hébergement souverain sur infrastructure européenne, vous gardez la main.
Trois cadres juridiques transatlantiques. Deux invalidés. Un troisième contesté. Combien de chances voulez-vous prendre avec les données de vos clients ?
Le bon choix se fait maintenant
Le cadre réglementaire ne va pas s’assouplir. L’EU AI Act impose de nouvelles obligations de documentation et de traçabilité. Le RGPD se durcit dans son application — les chiffres de la CNIL le prouvent. Et la stabilité du Data Privacy Framework tient à un décret présidentiel américain que personne en Europe ne contrôle.
Les PME qui choisissent aujourd’hui un hébergement souverain pour leurs solutions IA ne font pas un choix technique. Elles font un choix stratégique : protéger leurs données, rassurer leurs clients, et ne pas dépendre d’une décision politique prise à Washington.
C’est la différence entre subir et anticiper.
