.png)
Découvrir l'article
En mars 2026, un prestataire logiciel utilisé par 3 800 médecins français s’est fait voler 15,8 millions de dossiers médicaux. Le même prestataire, Cegedim Santé, avait déjà été sanctionné par la CNIL en septembre 2024 pour traitement illégal de ces mêmes données de santé. Ce n’est pas un cas isolé. C’est un symptôme. À mesure que l’IA s’intègre dans les processus critiques des entreprises (RH, finance, juridique, relation client) la question de la maîtrise des données et des choix technologiques devient un enjeu de direction générale, pas seulement un sujet IT.
.png)
La souveraineté IA devient un enjeu stratégique, avec la montée des risques liés aux données sensibles, aux réglementations européennes comme l’AI Act, et aux limites du CLOUD Act américain.
La souveraineté IA n’est pas binaire, elle fonctionne par niveaux, du SaaS classique jusqu’aux infrastructures on premise ou déconnectées, selon la sensibilité des données et les contraintes métier.
La meilleure approche est souvent hybride, en combinant plusieurs niveaux de souveraineté selon les usages, afin d’équilibrer sécurité, conformité, performance et flexibilité.
Cet article est le premier d’une série que nous publions chez Molia sur la souveraineté IA. Notre conviction : la souveraineté n’est pas un interrupteur qu’on active ou désactive. C’est un spectre, avec des niveaux adaptés à chaque contexte. Et le bon choix dépend de votre secteur, de vos données et de vos exigences, pas d’une idéologie.
Trois forces convergent en 2026 et transforment la souveraineté IA d’un sujet de veille en priorité opérationnelle.
La pression réglementaire s’accélère. L’AI Act européen entre dans sa phase d’application concrète en août 2026 : obligations de transparence pour les chatbots, évaluations de conformité pour les systèmes à haut risque (RH, scoring, santé), documentation technique obligatoire. Les sanctions vont jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial. En parallèle, la CNIL a prononcé 486,8 millions d’euros d’amendes en 2025, avec des cas emblématiques touchant Orange (50 M€), Free (42 M€) et France Travail (5 M€).
Le conflit juridique CLOUD Act / RGPD reste irrésolu. La loi fédérale américaine permet aux autorités de contraindre tout prestataire de droit US à divulguer des données, quelle que soit leur localisation physique. En juillet 2025, Microsoft a reconnu devant des législateurs français ne pas pouvoir garantir la non-transmission de données vers les États-Unis sous ordonnance gouvernementale, selon SDxCentral. Autrement dit, localiser ses serveurs en Europe ne suffit pas si le fournisseur est américain.
Les décideurs bougent. Selon McKinsey, la souveraineté technologique est désormais le facteur numéro un influençant les choix d’infrastructure pour les CIOs et CTOs européens interrogés (France, Allemagne, Italie, Espagne). 62 % des organisations européennes cherchent activement des solutions IA souveraines, et 61 % des décideurs IT en Europe de l’Ouest prévoient d’augmenter leur recours à des prestataires locaux.
C’est là que beaucoup de discours déraillent. Certains présentent la souveraineté comme un choix binaire : cloud américain d’un côté, on-premise de l’autre. La réalité est plus nuancée. Il existe cinq niveaux de souveraineté, chacun avec des garanties, des limites et des cas d’usage légitimes.
Le modèle le plus simple : vous utilisez l’IA via une interface web ou une API, sur l’infrastructure du fournisseur. Les versions Enterprise offrent des garanties contractuelles (pas de réentraînement sur vos données, chiffrement, DPA) mais les données transitent par les serveurs du prestataire, généralement aux États-Unis.
C’est adapté pour le prototypage, la R&D, les cas d’usage où les données ne sont pas sensibles. Pour une ETI qui veut explorer l’IA sans engagement lourd, c’est un point d’entrée légitime.
Ici, vous disposez d’une capacité de calcul réservée et isolée chez un hyperscaler. Vous pouvez choisir une région EU pour la résidence des données, configurer votre propre modèle, et bénéficier de garanties de conformité GDPR/HIPAA.
C’est une approche de souveraineté tout à fait valide pour de nombreuses entreprises. Un grand groupe qui déploie un LLM sur Bedrock en région Frankfurt, avec des garanties contractuelles de résidence EU et une instance provisionnée, maîtrise significativement mieux ses données qu’en SaaS multi-tenant. La limite reste l’exposition au CLOUD Act si le fournisseur est de droit américain, et la dépendance contractuelle à un écosystème propriétaire.
C’est le niveau où l’écosystème français a le plus progressé. Des hébergeurs comme OVHcloud, Scaleway ou Outscale (Dassault Systèmes) proposent des infrastructures certifiées SecNumCloud — la qualification de l’ANSSI qui comporte plus de 500 exigences et qui exclut tout lien de droit vers des juridictions non-européennes. Seuls 9 prestataires sont qualifiés à ce jour, 12 sont en cours.
Côté modèles, Mistral AI offre des LLM open-weight performants, hébergeables sur ces infrastructures. La DINUM a d’ailleurs déployé Mistral + Outscale pour 30 000 utilisateurs dans les ministères français. Pour les organisations soumises à des exigences réglementaires strictes — secteur public, santé, défense — c’est souvent le niveau minimum requis.
Le contrôle total. Vos modèles tournent sur votre infrastructure, dans votre datacenter ou en colocation. Les données ne quittent jamais votre périmètre. Vous maîtrisez chaque composant : hardware, logiciel de serving, monitoring, sécurité.
Le coût d’entrée est réel — comptez 20 à 40 k€ par nœud GPU, plus 1 à 2 ETP DevOps/MLOps — mais le retour sur investissement intervient en 4 à 12 mois pour un usage supérieur à 2 millions de tokens par jour. C’est pertinent pour les organisations avec des données ultra-sensibles (finance, propriété industrielle) et une vision long-terme de l’IA.
Le dernier niveau du spectre : l’IA tourne en local, sans aucune connexion réseau. C’est le territoire de la défense, du nucléaire, des usines en environnement contrôlé. Le marché de l’edge AI représente 12 à 13 milliards de dollars en 2024 et croît de plus de 24 % par an.
C’est un marché de niche, mais il illustre un point important : la souveraineté est un continuum. Chaque cran supplémentaire apporte plus de contrôle, au prix de plus de complexité opérationnelle.
Le bon niveau de souveraineté dépend de trois questions.
Quelle est la sensibilité de vos données ? Si vos workflows IA traitent des données publiques ou non critiques, le SaaS ou le cloud dédié suffisent. Si vous traitez des données clients, de la propriété intellectuelle, ou des informations réglementées (santé, finance), les niveaux 3 à 5 s’imposent.
Quelles sont vos obligations réglementaires ? SecNumCloud est obligatoire pour certaines administrations publiques et recommandé pour les OIV (opérateurs d’importance vitale). L’AI Act impose des exigences de traçabilité et d’auditabilité qui sont plus faciles à satisfaire quand vous contrôlez votre infrastructure. Le RGPD impose la maîtrise des flux de données — ce qui exclut de facto certaines configurations multi-tenant.
Quelles sont vos capacités internes ? Un déploiement on-premise ou sur cloud européen requiert des compétences DevOps et MLOps. Si votre équipe n’a pas cette expertise, commencer par une instance dédiée cloud (niveau 2) et monter progressivement en souveraineté est une stratégie raisonnable — à condition que la montée en compétence fasse partie du plan.
ProfilNiveau recommandéPME/startup, données non sensibles, explorationNiveau 1-2 (SaaS / cloud dédié)ETI, données clients, conformité RGPDNiveau 2-3 (cloud dédié / cloud EU)Grand groupe, secteur régulé (finance, santé)Niveau 3-4 (cloud EU certifié / on-premise)Administration publique, OIVNiveau 3-4 (SecNumCloud obligatoire)Défense, environnements critiquesNiveau 4-5 (on-premise / air-gapped)
La France n’est pas en retard — elle est en train de construire une infrastructure souveraine crédible.
109 milliards d’euros ont été annoncés par Emmanuel Macron au Paris AI Summit (février 2025) pour l’infrastructure IA en Europe. Le plan France 2030 vise 1,2 million de GPUs et 1,5 GW de capacité de calcul d’ici la fin de la décennie, avec un avantage structurel : 57 réacteurs nucléaires qui fournissent 60 à 75 % de l’électricité — de l’énergie bas-carbone pour alimenter une IA énergivore.
Mistral AI a levé 830 millions d’euros en dette pour construire un datacenter à Bruyères-le-Châtel, opérationnel au second semestre 2026. La DINUM a abandonné Microsoft Teams et Zoom au profit de solutions souveraines. Et le nombre de prestataires en cours de qualification SecNumCloud double.
L’écosystème n’est pas encore mature sur tous les fronts — les modèles open source européens ont encore 6 à 12 mois de retard sur les modèles frontier américains, et le vivier de compétences MLOps reste limité. Mais la trajectoire est claire.
Chez Molia, nous déployons des solutions IA à tous les niveaux du spectre — de l’instance Bedrock pour un client qui a besoin de scalabilité rapide, au déploiement on-premise de LLMs open source pour un groupe industriel avec des exigences de confidentialité maximales.
Notre conviction : le bon niveau de souveraineté n’est pas le plus élevé possible, c’est celui qui correspond à votre contexte. Et ce qui garantit votre indépendance à long terme, c’est la compétence — pas juste l’infrastructure. C’est pourquoi chaque mission Molia inclut un transfert de compétences.
Si vous êtes DSI ou CTO et que vous vous posez la question de votre stratégie IA souveraine, voici notre recommandation : commencez par cartographier vos cas d’usage par niveau de sensibilité. Identifiez ceux qui nécessitent un changement d’infrastructure. Et construisez une feuille de route progressive — pas un big bang.
Nous détaillerons chaque brique dans les prochains articles de cette série : automatisation de processus souveraine, knowledge management IA, traitement documentaire intelligent et data engineering au service de l’IA.
Cet article est le premier de la série Souveraineté IA par Molia. Une question sur votre stratégie IA souveraine ? Contactez-nous.
Tous droits réservés. © 2026 Molia.
