Pourquoi la souveraineté des données n'est pas négociable en 2026

Les hyperscalers américains sont excellents. Nous les utilisons, une bonne partie de l'infrastructure numérique européenne tourne sur eux à juste titre, et ils offrent une échelle et une innovation que personne ne reproduit aujourd'hui. Mais dès lors que la conversation porte sur l'infrastructure critique et les données sensibles soumises à réglementation, le cadre change — non pas parce qu'ils seraient « contre nous », mais parce qu'ils opèrent sous une juridiction différente, et cela emporte des conséquences juridiques concrètes.

La base juridique est solide. En juillet 2020, la Cour de justice de l'UE a invalidé le Privacy Shield (arrêt Schrems II, C-311/18) précisément en raison du conflit entre le CLOUD Act américain et le RGPD. Tout traitement de données personnelles européennes par un fournisseur soumis à la juridiction américaine crée une exposition juridique directe au titre du RGPD. Ce n'est pas une opinion : c'est une jurisprudence ferme de la juridiction européenne.

Ce qui a changé ces 18 derniers mois

• NIS2 oblige depuis octobre 2024 à auditer la chaîne d'approvisionnement numérique des opérateurs essentiels et importants. L'IA en tant que service est une chaîne d'approvisionnement.
• L'AI Act européen classe les systèmes à haut risque avec des exigences de traçabilité et de gouvernance qui impliquent un contrôle sur le lieu et la manière dont les données sont traitées.
• DORA, pleinement applicable depuis janvier 2025, oblige les entités financières supervisées à présenter des plans de sortie pour les services cloud critiques. La Banque centrale européenne, dans son guide sur l'externalisation, identifie la dépendance aux hyperscalers comme un risque de concentration systémique.
• À l'échelle européenne, l'EUCS (European Cybersecurity Certification Scheme for Cloud Services), sous l'égide de l'ENISA, continue de débattre la question de savoir si le niveau d'assurance « High » doit inclure des exigences d'immunité face aux juridictions étrangères — son adoption formelle reste reportée. Au niveau national, SecNumCloud (France, ANSSI, opérationnel depuis 2016) et l'Esquema Nacional de Seguridad (Espagne, obligatoire par le décret royal 311/2022) sont déjà des cadres en vigueur, pas des projets.

Le schéma est clair : le régulateur ne se contente plus de « les données sont chiffrées ». Il exige de savoir qui les traite, où, sous quelle juridiction, et quelle est la chaîne de responsabilité.

Ce que « souverain » signifie en pratique

Souverain n'est pas un label. C'est une somme d'exigences vérifiées simultanément :

Ce que nous regardons lorsque nous concevons la plateforme

GPU Solutions exploite un seul datacenter, à Madrid, Tier III, déjà certifié ISO 27001 et ENS Media — pas « en cours ». Le cluster tourne sur HGX B200 avec une isolation au niveau de la VM par l'hyperviseur, pas sur conteneurs partagés. La liste des sous-traitants tient sur une feuille : nous, NVIDIA pour le support matériel, et l'opérateur du Tier III.

C'est délibérément simple. Quand votre RSSI doit signer l'analyse des risques, la simplicité est l'exigence la plus importante au monde.

La question pour votre équipe

Regardez votre dernière facture cloud. Savez-vous répondre à ces quatre questions sans aller chercher dans le contrat ?

• Dans quel pays exactement sont traités les prompts que vous envoyez au modèle ?
• Que se passe-t-il si une autorité américaine demande l'accès à ces données ?
• Quels sous-traitants interviennent entre votre application et le GPU ?
• Combien de temps mettriez-vous à migrer si le régulateur vous l'imposait demain ?

Si l'une des réponses exige d'ouvrir un ticket avec le support, vous avez déjà un problème de conformité. La bonne nouvelle : une alternative existe, fonctionne, et tient dans votre budget actuel.