Une fois admis que vos données sensibles peuvent relever d'une juridiction étrangère, comme le rappelait l'analyse « CLOUD Act contre RGPD », reste la question qui engage vraiment : qu'en faites-vous ? Trois postures sont possibles. Chacune est légitime pour un profil d'entreprise donné. Aucune n'est gratuite, y compris celle qui consiste à ne rien changer.
Posture A : le statu quo éclairé
L'entreprise reste sur ses outils actuels, mais elle cesse de subir. Elle cadre fermement les usages, contractualise mieux avec ses fournisseurs, forme ses équipes, et chiffre les données les plus sensibles. Pas de changement d'architecture, pas de migration. On sécurise l'existant.
Profil type : une entreprise de taille intermédiaire de 200 à 500 salariés, sans exposition sectorielle particulière au-delà de la directive NIS2. Délai : six à neuf mois, sans rupture opérationnelle. Ordre de grandeur : de 50 000 à 150 000 euros sur un an.
Posture B : l'hybride par classification
L'entreprise segmente ses données selon leur sensibilité. Les plus critiques, paie, santé, données sociales, mais aussi contrats stratégiques et propriété intellectuelle, migrent vers un hébergement qualifié SecNumCloud et vers des outils d'IA sous contrôle étanche. Les données moins sensibles restent sur les outils existants. On ne déplace que ce qui le justifie.
Profil type : une entreprise de 500 à 2 000 salariés, dotée d'un système d'information structuré, d'un délégué à la protection des données établi et d'un comité d'audit attentif à la conformité. Délai : douze à dix-huit mois. Ordre de grandeur : de 200 000 à 500 000 euros sur deux ans. C'est la posture qui émerge le plus fréquemment chez les groupes industriels et les entreprises familiales attentives à leur gouvernance.
Posture C : le souverain intégral
L'entreprise migre l'intégralité de son périmètre sensible vers un écosystème souverain : hébergement qualifié SecNumCloud pour l'ensemble des données critiques, et intelligence artificielle d'entreprise déployée sans dépendance aux grands modèles de langage non européens. C'est l'option la plus exigeante, et la plus protectrice.
Profil type : les entités essentielles au sens de NIS2, les industries sensibles, défense, énergie, santé, et les structures soumises à un devoir de vigilance renforcé. Délai : dix-huit à trente-six mois. Ordre de grandeur : de 500 000 euros à plusieurs millions.
Elles ne s'opposent pas en théorie. Elles s'opposent en calendrier.
L'erreur serait de les présenter comme un débat d'écoles. Les trois postures sont justes, chacune pour un profil. La vraie question n'est pas de défendre l'une contre les autres. Elle est de choisir, et de choisir à temps, car une migration souveraine ne se décide pas le jour où l'incident survient. Elle se prépare des mois, parfois des années à l'avance.
L'arbitrage central n'est donc pas celui d'une posture plutôt qu'une autre. C'est celui de ne pas laisser le choix se faire par défaut. Or il existe une quatrième posture, que personne n'inscrit jamais à l'ordre du jour : ne rien décider. Elle a l'apparence de la prudence. Elle est en réalité un pari, celui que rien n'arrivera avant qu'on ait pris le temps d'y réfléchir.
L'absence de décision est une décision. Sur un horizon de trois à cinq ans, c'est presque toujours la plus coûteuse.
Olivier Indovino, IARH Consulting
Décider, classe de données par classe de données
Pour un comité de direction, l'exercice tient en deux temps. D'abord, cartographier ses données selon leur sensibilité réelle, et non selon l'habitude. Ensuite, placer consciemment chaque classe sur le curseur des trois postures, en assumant le coût et le délai qui vont avec.
Ce travail n'a rien d'idéologique. Il ne s'agit pas de choisir un camp entre souveraineté et pragmatisme, mais de savoir ce que l'on protège, à quel prix, et dans quel délai. C'est précisément l'objet d'un cadrage de gouvernance : transformer une exposition subie en une décision tenue. La posture la plus dangereuse n'est aucune des trois. C'est celle qu'on adopte sans l'avoir choisie.