La souveraineté n'est pas un label. C'est une échelle.

« Vos données sont hébergées en Europe. Donc elles sont souveraines. RGPD. Protection. »

Ce récit irrigue toute la communication de l'IA française et européenne. Il est réconfortant, il est vendeur — et il est partiellement faux. Non pas parce que la souveraineté n'existe pas, mais parce qu'on ne lui a jamais donné d'échelle.

Quatre fractures qu'on ne vous montre pas

Le CLOUD Act. Si votre hébergeur a une maison-mère américaine — Azure, AWS, Google Cloud, jusqu'à leurs régions « Paris » ou « Frankfurt » — une autorité judiciaire américaine peut exiger l'accès à vos données, où qu'elles se trouvent physiquement. Microsoft, Google et Amazon répondent à des dizaines de milliers de demandes par an ; elles le documentent elles-mêmes.

L'Europe n'est pas un sanctuaire. Le RGPD protège des abus commerciaux. Mais l'Union vote en parallèle ses propres textes de contrôle : le scan des communications chiffrées (« Chat Control »), le partage forcé de données (Data Act), le logging centralisé (AI Act). Une logique de contrôle différente de celle des États-Unis ou de la Chine — mais bien réelle.

Les pratiques réelles. Même un hébergeur « européen » peut s'appuyer sur un réseau de diffusion américain (Cloudflare, Fastly), sous-traiter son DNS hors d'Europe, employer une main-d'œuvre hors-UE. OVH, Scaleway, Hetzner sont moins exposés qu'AWS — pas non-exposés.

Le maillon faible n'est presque jamais l'hébergeur. Neuf fuites sur dix ne viennent pas du cloud : mots de passe faibles, hameçonnage, clés d'API oubliées sur GitHub, sauvegardes non chiffrées, départs de salariés. Et surtout le modèle d'IA lui-même, qui peut retenir ce qu'on lui transmet dès qu'on n'est pas en BYOK strict.

On peut héberger son serveur dans un bunker en Suisse. Si la clé d'API envoie les données à San Francisco à chaque requête, la souveraineté est fictive.

La contradiction qu'on vit tous

Le même dirigeant qui s'inquiète de « souveraineté » a, dans la même journée, une boîte Gmail pour ses échanges, récupère ses bulletins de paie sur une plateforme tierce, les recolle dans ChatGPT pour les résumer, et signe ses impôts en ligne. Il « fait de la souveraineté » comme on ferme sa porte à clé en laissant les fenêtres ouvertes.

Le problème n'est pas que la souveraineté n'existe pas. C'est qu'on l'a vendue comme un interrupteur — alors que c'est un thermostat.

L'échelle de souveraineté : cinq niveaux

À chaque document, une question simple : à quelle hauteur faut-il le garder ? On ne protège pas un post LinkedIn comme on protège un testament.

S0 — Public assumé. Pages web, brochures, communiqués. C'est fait pour être vu : aucune protection, et c'est voulu.

S1 — Standard quotidien. Factures banales, premiers contacts, agendas. Cloud européen classique, BYOK recommandé. Risque pratique faible.

S2 — Métier sensible. Données clients, propositions, contrats, savoir-faire. Europe stricte, chiffrement au repos, accès tracé, BYOK obligatoire — jamais en « données d'entraînement » du fournisseur.

S3 — Confidentiel. Paie, litiges, stratégie, santé. Chiffrement côté client (le serveur ne lit pas en clair), journal immuable, et aucune sortie sans validation humaine.

S4 — Sceau personnel. Ce qui ne doit jamais quitter le cœur humain : testament, secrets professionnels, données spirituelles. Hors-ligne ou zero-knowledge, illisible même serveur compromis. Aucun envoi externe ; si IA, modèle cent pour cent local.

La force de l'échelle, c'est qu'à chaque niveau on dit aussi ce qu'on ne protège pas — le « risque accepté ». C'est contre-intuitif. Et c'est exactement ce qui crée la confiance.

Le Coffre : un gardien, pas un entrepôt

Au bout de l'échelle, le Coffre souverain. Il n'entrepose pas : il autorise, prouve, refuse. À chaque demande d'accès, il vérifie qui demande, pour quoi, à quel niveau — et il tranche. Tout est consigné dans un journal immuable : la preuve, en cas d'audit comme de litige. Et pour tout ce qui touche au confidentiel, une Halte : un humain valide. Une machine traite ; un humain tranche. Le Coffre ne libère jamais seul un secret.

Le haut de l'échelle a une géographie : la Suisse

Les premiers niveaux vivent très bien en Europe. Mais le confidentiel et le sceau personnel peuvent monter d'un cran physique : la Suisse. Au cœur de l'Europe, connectée à tout, mais hors de sa logique de contrôle. À une condition — un acteur suisse et indépendant (Infomaniak, Proton), jamais une « région suisse » d'un géant américain, qui resterait sous CLOUD Act.

Ici, une règle d'honnêteté : on vérifie l'actionnariat, pas le drapeau du datacenter. Un fournisseur opéré en Suisse mais à maison-mère européenne ou américaine ne donne pas la même souveraineté.

Et surtout : la Suisse réduit le risque, elle ne l'annule pas.

• Hors UE : elle échappe au Chat Control, au Data Act, au logging de l'AI Act.
• Hors CLOUD Act : à condition que le fournisseur soit cent pour cent suisse.
• RGPD-légal : l'adéquation Europe–Suisse est reconnue — mais c'est une décision vivante, qui peut être revue.
• La Suisse n'est pas immune au renseignement étatique.
• Et le modèle d'IA reste le maillon faible : au niveau S4, c'est local, quoi qu'il arrive.

La formule juste n'est donc pas « vos données sont protégées ». C'est : « la Suisse réduit le risque — voici jusqu'où, et voici la limite ». C'est cela qui protège. Pas la promesse absolue.

Notre ancrage n'y est pas étranger : Mulhouse, dans le Dreiländereck — le coin des trois frontières, France · Suisse · Allemagne. Le pont franco-suisse de la souveraineté des données.

Moins de magie, plus de pouvoir

Personne, sur le marché, ne vend la souveraineté ainsi. Tous la vendent comme un label binaire. Nous préférons la lucidité : voici l'échelle réelle, voici où sont vos documents, voici ce qu'on peut tenir — et ce qu'on ne peut pas. C'est plus honnête. Donc plus solide.

Pas un coffre-fort. Une échelle de coffres-forts.
La souveraineté n'est pas un label. C'est une échelle.
Voici ce qu'on protège. Et voici ce qu'on ne peut pas protéger. Les deux comptent.

Le Coffre souverain autorise, prouve, refuse. Et il sait, pour chaque chose, à quelle hauteur la garder.

---

Découvrez l'échelle, niveau par niveau — et écoutez-en la synthèse — sur l'atelier SABILOO, sabiloo.io/souverainete.