Orbit Motion.
US CLOUD ACT EU RGPD · AI ACT OTHER

Souveraineté des données et IA. Ce qu'il faut savoir avant de cliquer sur « Accepter ».

Vos données quittent l'Europe dès que vous appelez une API américaine. Ce n'est pas illégal, mais ce n'est pas neutre. Voici le cadre pour décider en connaissance de cause.

Au programme
  1. 01 Trois juridictions, trois logiques — UE, États-Unis, autres
  2. 02 Matrice de risque par type de donnée
  3. 03 Trois niveaux de souveraineté — du SaaS US à l'on-premise
  4. 04 Checklist de conformité avant déploiement
01 / 06 — Souveraineté orbit-motion.com/ressources
Orbit Motion. 01 · Trois juridictions
01 Trois juridictions, trois logiques

Vos données suivent la loi du serveur, pas celle de votre bureau.

Comprendre la souveraineté commence par cartographier les régimes qui peuvent réclamer un accès à vos données — légalement et hors de votre contrôle.

EU

Union européenne

RGPD · AI Act · directive NIS2
Logique
Protection de la personne. Consentement explicite, droit d'accès, droit à l'effacement.
Limites légales d'accès
Autorité judiciaire avec base légale, périmètre proportionné, supervision indépendante.
Transferts hors UE
Encadrés par mécanismes (CCT, Data Privacy Framework). Risque résiduel selon la jurisprudence Schrems.
Sanctions
Jusqu'à 4 % du CA mondial pour le RGPD, 7 % pour l'AI Act.
US

États-Unis

CLOUD Act · FISA 702 · pas de loi fédérale unifiée
Logique
Liberté contractuelle, sectorialité (HIPAA santé, COPPA enfants, GLBA finance), forte priorité à la sécurité nationale.
Limites légales d'accès
CLOUD Act 2018 : accès aux données détenues par une entreprise US, où qu'elles soient. FISA 702 : surveillance étrangère sans notification.
Pour les entreprises EU
Toute donnée chez OpenAI, Anthropic, AWS, Microsoft tombe sous CLOUD Act, même hébergée en Irlande.
Sanctions
Variables, principalement civiles et sectorielles.
·

Autres juridictions

Chine · Inde · Émirats · UK
Logique
Très variable. Régimes locaux de localisation des données, souvent assortis d'obligations de coopération avec les autorités locales.
Cas notables
Chine (Qwen, DeepSeek) : loi cybersécurité 2017, données accessibles aux autorités. UK : régime post-Brexit globalement aligné RGPD.
Risque pratique
Évaluation au cas par cas. Pour des données stratégiques ou IP, traitez chaque juridiction non-EU comme un risque distinct.
Conseil
Diligence approfondie obligatoire pour tout secteur sensible.
Le malentendu fréquent

« Les données sont en Europe » ne veut pas dire que la juridiction est européenne. Si l'opérateur est américain, le CLOUD Act s'applique — qu'importe le datacenter. La résidence physique compte, mais pas seule.

02 / 06 — Souveraineté orbit-motion.com/ressources
Orbit Motion. 02 · Matrice de risque
02 Matrice de risque par type de donnée

Tous les flux ne se valent pas.

Croisez la nature de la donnée avec la juridiction du fournisseur. Tout n'est pas rouge — un brouillon de blog post n'est pas un dossier RH.

Type de donnée
Fournisseur EU
Fournisseur US
Autre juridiction
Contenu marketing public
Faible
Faible
Modéré
Documents internes non-sensibles
Faible
Modéré
Modéré
Données clients (PII)
Faible
Modéré
Élevé
Dossiers RH, salariés
Modéré
Élevé
Élevé
Propriété intellectuelle, R&D
Modéré
Élevé
Élevé
Santé, finance régulée, secret défense
Modéré*
Très élevé
Très élevé

* Modéré pour fournisseur EU sous réserve d'un agrément sectoriel approprié — HDS pour la santé en France, certification ANSSI pour les données défense, etc. La résidence EU ne suffit pas seule pour ces secteurs.

Ce qui se passe vraiment quand vous appelez une API.

Flux typique — chatbot SaaS américain
Émetteur
Votre app
Paris, FR
Inférence
api.openai.com
us-east-1
Stockage logs
Logs · 30 j
USA
Données utilisateur
Sortie CLOUD Act
Subpoena possible
À demander à votre fournisseur
  • Localisation exacte des serveurs d'inférence
  • Durée de rétention des logs et prompts
  • Politique d'usage pour l'entraînement
  • Sous-traitants et leur juridiction
Documents à exiger
  • DPA — Data Processing Agreement signé
  • SCC — clauses contractuelles types pour transfert
  • Rapport SOC 2 ou ISO 27001 à jour
  • Liste des sous-traitants ultérieurs
03 / 06 — Souveraineté orbit-motion.com/ressources
Orbit Motion. 03 · Trois niveaux de souveraineté
03 Trois niveaux de souveraineté

La souveraineté est un curseur, pas un interrupteur.

Plus vous montez, plus vous gagnez en contrôle, mais le coût et la complexité opérationnelle augmentent. Choisissez le niveau qui correspond à vos données les plus sensibles.

Niveau 1 · Pratique

SaaS US standard

OpenAI, Anthropic, Google. API publique, plan team ou pro. Données traversent les USA, traitées sous CLOUD Act.
Coût · faible · Conformité · limitée
Niveau 2 · Équilibré

Fournisseur EU ou enterprise EU

Mistral (api.mistral.ai), OpenAI Enterprise EU residency, Anthropic via partenaires EU. Résidence et juridiction européennes.
Coût · moyen · Conformité · solide
Niveau 3 · Maximal

On-premise · open-weights

Mistral 7B, Llama 4, Gemma. Hébergés sur votre matériel. Aucun appel externe. Souveraineté totale, en échange d'un investissement infrastructure.
Coût · élevé · Conformité · maximale
Critère Niveau 1 — SaaS US Niveau 2 — EU Niveau 3 — On-premise
Time-to-market Quelques heures Quelques jours Plusieurs mois
Compétences requises Développeur backend Backend + RSSI DevOps · MLOps · matériel GPU
Coût mensuel typique 200 € à 5 K€ 500 € à 10 K€ 10 K€ à 100 K€+
Confidentialité Partielle Forte Totale
Performance modèle Frontier disponible Compétitive (gap léger) Variable selon matériel

Une architecture peut combiner les trois. Niveau 1 pour le contenu marketing, niveau 2 pour le support client, niveau 3 pour les données RH. Ne forcez pas un niveau unique — segmentez par sensibilité de la donnée.

04 / 06 — Souveraineté orbit-motion.com/ressources
Orbit Motion. 04 · Checklist conformité
04 Checklist avant déploiement

Dix vérifications, à cocher avant la mise en production.

À faire avec votre RSSI ou DPO. Si vous n'avez ni l'un ni l'autre, faites-le quand même — un cabinet de conseil peut couvrir le passage en 2 à 3 jours.

Inventorier les types de données qui vont transiter

Marketing, PII clients, RH, IP, données réglementées. Tracez chaque flux du déclencheur à la sortie du modèle.

Vérifier la juridiction de l'entité du fournisseur

Pas seulement la résidence des serveurs — la nationalité de l'entité contractante. Une filiale irlandaise d'une maison-mère US reste sous CLOUD Act.

Signer un DPA et lire l'annexe sous-traitants

Le DPA établit le rapport responsable / sous-traitant au sens RGPD. L'annexe liste les sous-sous-traitants — tous doivent être conformes.

Confirmer la politique d'entraînement

Les plans grand public utilisent souvent vos données pour l'entraînement par défaut. Les plans team / enterprise non. Vérifiez explicitement par écrit.

Configurer la rétention des logs au minimum

Souvent 30 jours par défaut, parfois ramenable à zéro sur demande pour les plans payants. Demandez et documentez le réglage retenu.

Mettre à jour la politique de confidentialité

Mentionner explicitement le recours à l'IA, le fournisseur, la finalité, le transfert hors UE le cas échéant. Les régulateurs scrutent ce point en 2026.

Recueillir le consentement quand requis

Pour les usages au-delà de l'intérêt légitime — profilage, scoring, contenu généré attribué à une personne. Ne présumez pas du consentement.

Filtrer les PII en amont quand possible

Anonymisation, pseudonymisation, masquage des champs sensibles avant envoi à l'API. Réduit le périmètre de risque sans perdre la valeur du traitement.

Documenter l'analyse d'impact (AIPD)

Obligatoire au sens RGPD pour traitements à risque élevé. L'AI Act peut imposer une FRIA pour les systèmes haut risque. Tenez les deux à jour.

Prévoir un plan de réversibilité

Si votre fournisseur disparaît, change de juridiction, ou augmente brutalement ses tarifs : combien de temps pour migrer ? Architecturez pour l'option de sortie.

Ce n'est pas du formalisme. En cas de contrôle CNIL ou d'incident, ces dix points sont exactement ce qui sera demandé. Les avoir prêts transforme une situation tendue en formalité.

05 / 06 — Souveraineté orbit-motion.com/ressources
Orbit Motion. 05 · Synthèse
05 Synthèse

À retenir.

01

La résidence physique ne suffit pas.

La juridiction de l'opérateur prime. Données EU chez OpenAI = soumis au CLOUD Act. La phrase « hébergé en Europe » est un début, pas une garantie de souveraineté.

02

Segmentez par sensibilité.

Une architecture pragmatique mixe les trois niveaux. SaaS US pour l'éphémère et le public, fournisseur EU pour la PII clients, on-premise pour les secrets. Pas de réponse unique.

03

Documentez maintenant, pas après le contrôle.

DPA signé, AIPD à jour, politique de confidentialité claire, registre des traitements. Quelques heures de travail aujourd'hui, des semaines économisées demain.

04

La souveraineté est un investissement, pas une dépense.

Reproductibilité, indépendance fournisseur, capacité à pivoter. Une bonne architecture souveraine est aussi une bonne architecture tout court — résiliente, observable, documentée.

La position d'Orbit Motion

Nous concevons des produits IA pour des entreprises européennes. Notre default architectural est le niveau 2 — fournisseur EU, juridiction européenne, DPA propre.

Le niveau 1 reste valable pour des prototypes ou des usages publics. Le niveau 3 reste réservé aux secteurs et données qui le justifient. Choisir le bon niveau, c'est notre métier.

Cette ressource fait partie de la série
Comprendre l'IA · 5 erreurs à éviter · OpenAI / Claude / Mistral · Glossaire · Souveraineté
orbit-motion.com/ressources →
06 / 06 — Souveraineté · Fin orbit-motion.com/ressources