Gouvernance & décision IA · Analyse

Souveraineté des données : trois postures, et le coût de n'en choisir aucune.

Couverture IARH Consulting : un curseur de souveraineté à trois positions, du statu quo au souverain intégral.
Visuel IARH Consulting : trois positions sur un même curseur de souveraineté.

Une fois admis que vos données sensibles peuvent relever d'une juridiction étrangère, comme le rappelait l'analyse « CLOUD Act contre RGPD », reste la question qui engage vraiment : qu'en faites-vous ? Trois postures sont possibles. Chacune est légitime pour un profil d'entreprise donné. Aucune n'est gratuite, y compris celle qui consiste à ne rien changer.

Posture A : le statu quo éclairé

L'entreprise reste sur ses outils actuels, mais elle cesse de subir. Elle cadre fermement les usages, contractualise mieux avec ses fournisseurs, forme ses équipes, et chiffre les données les plus sensibles. Pas de changement d'architecture, pas de migration. On sécurise l'existant.

Profil type : une entreprise de taille intermédiaire de 200 à 500 salariés, sans exposition sectorielle particulière au-delà de la directive NIS2. Délai : six à neuf mois, sans rupture opérationnelle. Ordre de grandeur : de 50 000 à 150 000 euros sur un an.

Posture B : l'hybride par classification

L'entreprise segmente ses données selon leur sensibilité. Les plus critiques, paie, santé, données sociales, mais aussi contrats stratégiques et propriété intellectuelle, migrent vers un hébergement qualifié SecNumCloud et vers des outils d'IA sous contrôle étanche. Les données moins sensibles restent sur les outils existants. On ne déplace que ce qui le justifie.

Profil type : une entreprise de 500 à 2 000 salariés, dotée d'un système d'information structuré, d'un délégué à la protection des données établi et d'un comité d'audit attentif à la conformité. Délai : douze à dix-huit mois. Ordre de grandeur : de 200 000 à 500 000 euros sur deux ans. C'est la posture qui émerge le plus fréquemment chez les groupes industriels et les entreprises familiales attentives à leur gouvernance.

Posture C : le souverain intégral

L'entreprise migre l'intégralité de son périmètre sensible vers un écosystème souverain : hébergement qualifié SecNumCloud pour l'ensemble des données critiques, et intelligence artificielle d'entreprise déployée sans dépendance aux grands modèles de langage non européens. C'est l'option la plus exigeante, et la plus protectrice.

Profil type : les entités essentielles au sens de NIS2, les industries sensibles, défense, énergie, santé, et les structures soumises à un devoir de vigilance renforcé. Délai : dix-huit à trente-six mois. Ordre de grandeur : de 500 000 euros à plusieurs millions.

Illustration : un curseur à trois crans, du statu quo éclairé à l'hybride puis au souverain intégral, avec un coût et un délai croissants.
Trois crans sur un même curseur : à chaque profil sa posture, à chaque posture son coût et son délai.

Elles ne s'opposent pas en théorie. Elles s'opposent en calendrier.

L'erreur serait de les présenter comme un débat d'écoles. Les trois postures sont justes, chacune pour un profil. La vraie question n'est pas de défendre l'une contre les autres. Elle est de choisir, et de choisir à temps, car une migration souveraine ne se décide pas le jour où l'incident survient. Elle se prépare des mois, parfois des années à l'avance.

L'arbitrage central n'est donc pas celui d'une posture plutôt qu'une autre. C'est celui de ne pas laisser le choix se faire par défaut. Or il existe une quatrième posture, que personne n'inscrit jamais à l'ordre du jour : ne rien décider. Elle a l'apparence de la prudence. Elle est en réalité un pari, celui que rien n'arrivera avant qu'on ait pris le temps d'y réfléchir.

L'absence de décision est une décision. Sur un horizon de trois à cinq ans, c'est presque toujours la plus coûteuse.

Olivier Indovino, IARH Consulting

Décider, classe de données par classe de données

Pour un comité de direction, l'exercice tient en deux temps. D'abord, cartographier ses données selon leur sensibilité réelle, et non selon l'habitude. Ensuite, placer consciemment chaque classe sur le curseur des trois postures, en assumant le coût et le délai qui vont avec.

Ce travail n'a rien d'idéologique. Il ne s'agit pas de choisir un camp entre souveraineté et pragmatisme, mais de savoir ce que l'on protège, à quel prix, et dans quel délai. C'est précisément l'objet d'un cadrage de gouvernance : transformer une exposition subie en une décision tenue. La posture la plus dangereuse n'est aucune des trois. C'est celle qu'on adopte sans l'avoir choisie.

Version « En clair » de cet article : la même chose, sans langue de bois.

Sources citées dans l'article

  • ANSSI, référentiel SecNumCloud v3.2 et liste des prestataires qualifiés : cyber.gouv.fr
  • Directive (UE) 2022/2555 (NIS2), entités essentielles et importantes : eur-lex.europa.eu
  • Les ordres de grandeur de coûts et de délais sont des estimations IARH Consulting, à calibrer selon le périmètre réel de chaque organisation.

Lire d'abord : « CLOUD Act contre RGPD : le conflit que votre fournisseur ne peut pas résoudre »

Voir tous les regards sur la gouvernance & décision IA

Retour à tous les regards