Conformité & souveraineté · Tribune

Bruxelles sanctionne les entreprises. L'État, lui, signe avec Palantir.

Couverture IARH Consulting : « PALANTIR ». Le paradoxe de la souveraineté numérique française.
Visuel IARH Consulting : « Palantir ».

La Commission européenne inflige des amendes records aux entreprises qui transfèrent des données personnelles hors de l'Union sans garanties suffisantes. La CNIL contrôle, publie ses décisions, et ne s'en cache pas : sa liste de sanctions est accessible au grand public. Le règlement général sur la protection des données est, en huit ans, devenu l'un des textes réglementaires les plus imités au monde.

Pendant ce temps, la Direction générale de la sécurité intérieure, le principal service de renseignement intérieur français, utilise Palantir Technologies pour analyser ses données. Palantir est une société de droit américain, cotée à Wall Street. Son contrat avec la DGSI est reconduit. Il n'est pas confidentiel que cela se sache.

Ce qu'est réellement Palantir

Palantir Technologies a été fondée en 2003, financée à l'origine en partie par In-Q-Tel, le fonds capital-risque de la CIA. Elle est inscrite au New York Stock Exchange depuis 2020. Son produit phare pour les gouvernements, Palantir Gotham, est conçu pour croiser des sources de données hétérogènes : images de surveillance, communications, données de déplacement, flux financiers, registres administratifs. Sa valeur tient à cette capacité de fusion et de détection de patterns que les outils classiques ne savent pas produire.

Pour des agences de renseignement, Gotham est ce qui se fait de plus efficace sur le marché. Il n'existe pas d'équivalent européen comparable à date. C'est une réalité que cette tribune ne conteste pas.

Le CLOUD Act et ce qu'il impose

Depuis 2018, le Clarifying Lawful Overseas Use of Data Act autorise le gouvernement américain à exiger d'une entreprise américaine qu'elle lui remette des données, quelle que soit leur localisation dans le monde. Un tribunal américain peut émettre une ordonnance valable sur des serveurs situés en Irlande ou en France. La société destinataire n'a pas toujours le droit d'en informer son client.

Palantir est une société américaine. Elle est soumise au CLOUD Act.

Ce n'est pas un risque hypothétique. C'est le cadre juridique dans lequel tout contrat avec Palantir s'inscrit structurellement, quels que soient les engagements contractuels négociés par ailleurs. La localisation des serveurs en Europe ne suffit pas à neutraliser une ordonnance de droit américain.

La doctrine de souveraineté que la France applique aux autres

L'Agence nationale de la sécurité des systèmes d'information publie depuis 2016 le référentiel SecNumCloud, précisément conçu pour immuniser les données sensibles contre ce type de risque. Un hébergeur qualifié SecNumCloud garantit notamment que les données ne peuvent pas être transférées vers des pays tiers et que la société ne peut pas être contrainte par une juridiction étrangère. C'est la condition recommandée pour les données les plus sensibles des organisations publiques.

Palantir ne détient pas la qualification SecNumCloud.

Le règlement européen sur l'intelligence artificielle, qui impose aux systèmes à haut risque des exigences de traçabilité, de gouvernance et de contrôle humain, ne s'applique même pas à ce cas. Son article 2 exclut explicitement de son champ les usages relevant de la sécurité nationale, qu'ils soient le fait d'acteurs publics ou privés. L'IA que la France impose d'encadrer dans les entreprises échappe ainsi à toute obligation lorsqu'elle sert son propre renseignement. Le déséquilibre n'est pas un effet de bord : il est inscrit dans le texte lui-même.

La localisation des serveurs en Europe ne suffit pas. Tant qu'une société est de droit américain, le CLOUD Act s'applique, quelles que soient les clauses contractuelles.

Olivier Indovino, IARH Consulting

Le même deux poids, deux mesures

On reconnaît ici la même mécanique que celle observée sur les données personnelles : l'État produit les normes dont il s'exclut. La tribune « Deux poids, deux mesures » l'avait documenté pour les fuites de données. C'est la même logique à l'œuvre, sur un sujet différent.

La nuance est qu'ici, ce n'est pas un manquement. C'est un arbitrage délibéré. La DGSI a évalué les options disponibles, estimé que l'efficacité opérationnelle de Palantir primait sur les contraintes de souveraineté que la France impose aux organisations qu'elle réglemente, et signé. L'arbitrage peut être défendable : la sécurité intérieure a des impératifs d'efficacité que d'autres secteurs n'ont pas, et l'absence d'alternative européenne est un fait. Ce n'est pas le cœur de cette tribune.

Ce que cet arbitrage signale aux organisations

Ce qui mérite d'être posé, c'est ce que cet arbitrage signale aux organisations privées qui observent la scène.

Quand l'État qui écrit les règles de souveraineté numérique décide qu'elles ont un prix qu'il n'est pas toujours prêt à payer lui-même, il reconnaît implicitement que ces normes ont un coût. Et que ce coût peut, selon les circonstances, être jugé trop élevé.

Pour une entreprise industrielle, une administration locale ou un établissement de santé qui choisit aujourd'hui ses outils IA, ce signal n'est pas neutre. Il n'allège pas ses obligations réglementaires, qui restent entières. Mais il fragilise la légitimité du discours qui les accompagne.

Une doctrine de souveraineté n'est crédible que si ceux qui la posent la vivent. L'écart de Palantir ne menace pas directement la sécurité du pays, dont les services ont probablement fait leur calcul de risque. Il menace quelque chose de plus lent à mesurer, et de plus difficile à reconstruire : la cohérence entre ce que la France dit aux organisations sur la souveraineté de leurs données, et ce qu'elle fait elle-même des siennes.

Sources et références

  • CLOUD Act (Clarifying Lawful Overseas Use of Data Act), 115e Congrès américain, 2018 : congress.gov
  • ANSSI, référentiel SecNumCloud v3.2 : ssi.gouv.fr
  • Règlement (UE) 2024/1689 sur l'intelligence artificielle, article 2 (exclusions du champ d'application) : eur-lex.europa.eu
  • RGPD, article 83 (sanctions) : eur-lex.europa.eu
  • Annonce de la fin du contrat DGSI-Palantir au profit de ChapsVision, 16 juin 2026 (mise à jour) : boursorama.com

Lire aussi : « Deux poids, deux mesures » — la France, ses 400 000 règles, et l'État qu'aucune amende ne peut toucher

Voir tous les regards sur la conformité & souveraineté

Retour à tous les regards