Pourquoi l'IA générative souveraine est-elle la seule option ?

La souveraineté des données ? Jusqu'à présent, elle était quasi essentiellement l’affaire du CDO et des équipes de conformité. Mais dans le contexte du développement massif de l’IA générative, elle devient immanquablement un sujet qui inquiète les dirigeants. 

Dans un sondage récent, 100% des entreprises interrogées indiquent que les risques associés à la souveraineté des données (comme la disruption de service), les amènent à s’emparer véritablement du problème. 

Ce même sondage le montre : les entreprises ont bien conscience des menaces qui pèsent lorsqu’il y a un flou sur la localisation de leurs données. 92% des entreprises disent parfaitement comprendre que faire l’impasse sur le sujet de la souveraineté des données les expose à bien des maux. L’atteinte à leur réputation et la perte de confiance des clients n’en sont que quelques-uns. « La souveraineté n'est plus une simple question de conformité, elle répond à un impératif d’autonomie ». Et c’est le cabinet d’experts McKinsey qui le dit.

Dans un contexte d’utilisation accélérée et généralisée de l’IA générative, cette question arrive sur le haut de la pile des dossiers brûlants des dirigeants. Pourquoi ? Parce que la technologie IA a besoin d’accéder aux données. Et parmi elles, figurent les plus sensibles de l’entreprise. Le choix du lieu de stockage des données n’a donc sans doute jamais été aussi critique.

Avec l'expansion du cloud computing et de la technologie IA, s’ajoutent donc de nouveaux défis autour de la conformité et de la sécurité de la propriété intellectuelle. Mais de nombreuses organisations manquent encore de visibilité sur la localisation de leurs données. De plus, avec le déploiement de l'IA agentique, des workflows entiers sont placés sous le contrôle d’une intelligence non humaine. Ce qui fait peser un risque majeur pour les fonctions vitales des entreprises. Logiquement, ces technologies soulèvent des préoccupations à la fois sur l’autonomie de ces processus pilotés par l’IA comme sur la manière dont ils sont sécurisés.  

Dans le même temps, les lois de protection des données se multiplient. Comme le RGPD pour l’Union européenne, le California Consumer Privacy Act (CCPA), ou encore le Digital Personal Data Protection (DPDP) Act de l'Inde. Elles imposent des règles strictes et des pénalités sévères en cas de mauvaise gestion des données. Parallèlement, les tensions géopolitiques et des réglementations comme le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act) ont intensifié les préoccupations sur la protection de la propriété intellectuelle. 

L’exemple suivant suffit à comprendre le niveau de complexité pour les organisations. Le C.L.O.U.D Act requiert des entreprises technologiques américaines qu'elles fournissent les données demandées aux forces de l'ordre américaines. Peu importe où sont stockées ces données. De quoi créer un conflit direct avec les lois de protection des données d'autres pays, comme le RGPD de l'UE. 

Un autre exemple n’a fait qu’accroître les inquiétudes. Flashback. Revenons au mois de mai 2025. Stupeur à la Cour Pénale Internationale (CPI). Karim Khan, procureur en chef de la CPI, découvre que l’accès à ses emails est bloqué. L’organisation utilise la suite Microsoft 365. Elle estime que le géant américain a délibérément suspendu ses accès. Ce que Microsoft dément. 

Pour la CPI, cet événement serait directement lié à plusieurs de ses enquêtes visant des politiques israéliens. En clair, la Cour Pénale Internationale y voit une sanction directe de l’administration américaine.

Cet événement n’est pas directement lié à l’utilisation de l’IA générative mais il met en lumière le pouvoir du gouvernement américain capable d’influencer l'accès aux données des clients internationaux et européens utilisant des services technologiques basés aux États-Unis. Y compris lorsque les données sont stockées dans des centres de données européens. 

Ce précédent a plongé les dirigeants de l'Union européenne dans une profonde inquiétude concernant la dépendance des entités européennes à des technologies contrôlées par les États-Unis. Le monde des affaires s'est également mobilisé en faveur d'une plus grande « souveraineté numérique », et de la fourniture de solutions cloud souveraines.

Au regard de ces événements, les résultats d'une enquête mondiale menée par McKinsey n'ont rien de surprenants : 71 % des personnes interrogées considèrent l’IA souveraine comme une « préoccupation existentielle » ou un « impératif stratégique ». 

De nombreuses entreprises ne savent pas clairement où sont stockées leurs données, ce qui souligne la nécessité d'une gouvernance renforcée et d’outils permettant de suivre les données au-delà des frontières. Quant aux consommateurs, ils sont de plus en plus avertis en matière de protection de la vie privée et des données. Et les marques qui agissent en toute transparence sur le sujet obtiennent logiquement leurs faveurs.

La maîtrise de la souveraineté des données pour assurer la conformité réglementaire, le maintien de la confiance des clients et le renforcement de la résilience des entreprises n’ont probablement jamais été aussi incontournables.

L’IA générative souveraine désigne des solutions strictement régulées au sein d'une entité

géographique définie, nationale ou européenne par exemple, pour garantir une protection des données conforme aux réglementations locales. Mais si les données sont au cœur du débat autour de l’IA souveraine, le sujet va bien au-delà de l'emplacement physique du stockage. 

La souveraineté des données des entreprises doit être garantie en toutes circonstances : 

• lors de leur stockage (dans un centre de données),
• pendant leur transit (et lorsqu'elles circulent de manière active entre les utilisateurs et divers emplacements). 

Le Forum économique mondial l’indique d’ailleurs dès le premier des six piliers stratégiques de l’IA souveraine : « le principe de l’IA souveraine réside dans une infrastructure numérique robuste… qui constitue la base sur laquelle les technologies d’IA peuvent être développées et déployées efficacement ». 

Orange Business a une conviction : une connectivité souveraine, sécurisée et résiliente est essentielle pour garantir la conformité, protéger les données sensibles de l'entreprise et assurer sa résilience à long terme.

Pour les entreprises qui souhaitent opter pour une stratégie d'IA souveraine : la feuille de route est claire : elle doit couvrir l'ensemble des technologies concernées par l'IA, des applications d’IA aux données, en passant par les modèles et les outils utilisés, jusqu'aux couches d’infrastructure et de calcul. 

Tout ceci devant bien évidemment reposer sur un cadre d'IA responsable, qui constitue le fondement de l'adoption des collaborateurs et de la création de valeur globale.

Cependant, il n'existe pas d'approche universelle pour l’IA souveraine : elle se décline sur un spectre qui va des infrastructures publiques aux environnements d'IA entièrement souverains (utilisés par les acteurs gouvernementaux et les organismes de défense). 

Pour les premières, les services de cloud public sont hébergés dans des data centers locaux, ce qui garantit le respect des réglementations locales. Les solutions 100 % souveraines sont totalement déconnectées d’Internet, avec des données stockées sur site ou dans un cloud privé. Face au risque qui pèse sur la sécurité des données dans ce type d’environnement cloud, des certifications ont été instaurées pour attester de la robustesse de ces solutions. La plus rigoureuse d’entre elles est le SecNumCloud français, qui exige que les données soient hébergées par des entités européennes, garantissant ainsi une protection contre les lois de surveillance étrangères.

Le grand modèle de langage (LLM) utilisé est un autre élément critique : un LLM souverain est entraîné, détenu et hébergé dans un cadre national ou sous la responsabilité d'une entité spécifique. 

De nombreux pays, dont la France, ont lancé des initiatives dans ce domaine. Orange Business recommande, a minima, aux entreprises de ne jamais dépendre d’un seul fournisseur de LLM et de chercher à disposer d'un contrôle local sur l’ensemble de leurs données, y compris celles qui sont utilisées pour les requêtes et la génération des réponses. 

Les entreprises qui disposent de données hautement sensibles utiliseront un cloud privé alors que les plus soucieuses de la sécurité entraîneront leurs propres modèles de langage (les LLM open source étant privilégiés dans ce contexte).

La majorité des entreprises choisiront une option située quelque part entre ces deux exigences de sécurité, en fonction de la sensibilité de leurs données. Dans la majorité des cas, les solutions entièrement souveraines sont plus coûteuses à mettre en œuvre que des approches moins sécurisées. C'est pourquoi de nombreuses entreprises décident d'appliquer différents niveaux de souveraineté à différents types de données. 

Conscients de la diversité des besoins des entreprises, Orange Business propose une gamme de solutions de cloud souverain visant à accompagner ses clients dans la mise en œuvre du type de souveraineté de l’IA la plus adaptée à leur réalité opérationnelle.

Nous l’avons vu, évoquer l’IA souveraine, c’est faire référence à des solutions qui opèrent strictement à l'intérieur de frontières juridictionnelles définies. Ainsi, les données restent protégées par les réglementations nationales. Déployer des outils d’IA générative dans un cloud privé va encore plus loin : les organisations ont dès lors un contrôle direct sur leurs environnements de stockage et de traitement des données. 

Un choix qui comporte plusieurs avantages : il répond aux exigences légales et réglementaires tout en protégeant des fuites de données potentielles que peuvent rencontrer les services de cloud public.

Les implémentations dans un cloud privé supportent aussi des mesures de sécurité personnalisées, permettant aux entreprises d'adresser des exigences de conformité spécifiques et des profils de risque différents. En gardant les données critiques à l'intérieur de frontières de confiance, les entreprises maximisent la valeur de leurs actifs tout en minimisant la menace d'accès non autorisé ou d’utilisation frauduleuse.

Mais gardez en tête que le cloud privé présente cependant quelques inconvénients. 

Il requiert un fort investissement en équipements, logiciels et personnel qualifié. Contrairement aux clouds publics qui offrent des ressources quasi illimitées, les clouds privés sont limités par leur taille physique et doivent être mis à niveau au gré de l’évolution des besoins. 

De plus, avec un cloud privé, maintenir la conformité et la sécurité en matière de données nécessite une supervision et une maintenance constantes. Un point particulièrement exigeant pour les équipes IT. 

Enfin, les fournisseurs de cloud public introduisent de nouvelles fonctionnalités IA et mises à jour très régulièrement, des avancées qui peuvent être plus lentes à atteindre l'environnement du cloud privé.

Pour répondre à l’ensemble de ces défis, Orange Business propose une gamme de solutions souveraines de gestion des données conçues pour protéger les informations des clients et garantir la conformité réglementaire. Pour nombre de nos clients français, la souveraineté numérique vise avant tout à réduire la dépendance à des acteurs non européens et à garantir qu’ils ne soient pas soumis à des décisions extérieures.

Notre stratégie consiste à offrir à ces entreprises un choix de solutions fiables qui favorisent l’innovation tout en préservant leur compétitivité et leur autonomie.   

C'est l'idée à l'origine de notre plateforme Cloud Avenue, détenue et exploitée par Orange et entièrement basée en Europe. Elle propose des solutions cloud privées et hybrides sécurisées, souveraines et évolutives qui permettent aux entreprises de moderniser leur architecture informatique et de gérer des charges de travail d'IA. Elle répond également à des exigences strictes en matière de sécurité et de souveraineté, et garantit la conformité avec la réglementation européenne. 

Ainsi, notre plateforme Cloud Avenue SecNum, déployée en juillet 2025 dans notre centre de données de Grenoble, a obtenu la certification la plus élevée délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en matière de sécurité : la qualification « SecNumCloud » pour ses environnements IaaS mutualisés et dédiés. 

Exploitée exclusivement par nos équipes françaises, elle intègre : 

• le chiffrement des données,
• la gestion fine des clés de chiffrement,
• la ségrégation des environnements réseau,
• un contrôle d’accès strict.

En interne, nous adoptons une approche centrée sur la confiance dans chaque aspect de nos opérations. Orange Business migre actuellement son architecture informatique vers une version souveraine de la solution Azure de Microsoft (Bleu en France). Notre approche, basée sur la confiance dès la conception, est au cœur de nos efforts visant à atténuer les risques tels que les biais et à garantir éthique et responsabilité. Tous nos systèmes d’IA sont développés sous supervision humaine et par une Autorité de Conception IA responsable, qui classe les projets d’IA selon leur niveau de risque afin de garantir la mise en place de mesures de sécurité appropriées.

Avec l'accélération de l’adoption de l’IA, la nécessité de protéger l’intégrité des données et de respecter les réglementations locales devient un élément clé de toute stratégie tech.

Vous l’aurez compris, l’IA générative souveraine, en particulier lorsqu’elle est déployée dans des clouds privés, offre des avantages convaincants pour les organisations qui priorisent la protection des données et la conformité réglementaire. Les entreprises doivent cependant considérer les coûts associés au cloud privé et ses contraintes opérationnelles.

Les solutions souveraines d'Orange Business adressent l’ensemble des défis actuels des organisations, offrant aux dirigeants un environnement fiable et économiquement viable.

En évaluant précisément leur profil de risque, les exigences de leur secteur et leurs objectifs à long terme, Orange Business peut aider les entreprises à déterminer si l'IA générative souveraine est le bon choix pour elles.

Elles peuvent ainsi sereinement expérimenter, identifier leurs cas d’usage et les développer en toute sérénité. 

Parce que lorsque l’on parle de souveraineté, il est également question d’innovation.