Vous n'avez pas besoin de construire votre propre IA. Vous devez posséder ce qu'elle apprend.

IBM vient de publier un livre blanc qualifiant la souveraineté numérique de "mandat au niveau du conseil d'administration". Le Groupe Schwarz, l'entreprise derrière Lidl et Kaufland, a publié un rapport de 67 pages sur la nécessité pour l'Europe de repenser ses dépendances numériques. Gartner prédit que d'ici 2028, 65 % des gouvernements dans le monde introduiront des exigences de souveraineté technologique.

De grands mots. De grandes entreprises. De grandes politiques.

Mais personne n'a cette conversation avec le fournisseur de matières premières de 15 personnes à Hambourg. Ni avec l'entreprise d'expertise sinistres à Munich. Ni avec la startup biotech qui essaie de déterminer quels outils IA peuvent être utilisés en toute sécurité avec ses données clients.

C'est un problème. Car pour ces entreprises, les enjeux sont sans doute plus élevés. Un grand groupe chimique dispose d'un service juridique et d'un délégué à la protection des données. Une startup a un fondateur qui prend des décisions entre deux réunions.

Je travaille dans ces deux univers. En tant que CCO fractionnel pour des entreprises biotech et chimiques, et via opencream.ai où je développe des solutions IA sur mesure pour les petites et moyennes entreprises B2B. La question de la souveraineté revient plus souvent qu'on ne le penserait. Mais rarement de la façon dont IBM la cadre dans son livre blanc.

La conversation qui a vraiment lieu

Lorsque j'ai commencé à développer TraXagent.de, un outil d'évaluation des sinistres qui analyse des photos et génère des rapports grâce à l'IA, l'une des premières questions des clients potentiels était : "Où vont nos données ?"

Pas "Quelle est la précision de l'IA ?" Pas "Quelle est sa vitesse ?" Où vont les données.

Ce sont des photos de propriétés endommagées. Des dossiers d'assurance. Des informations personnelles. Des données commerciales sensibles. Et ils voulaient savoir si leurs photos étaient envoyées sur des serveurs aux États-Unis, traitées par des entreprises sous juridiction américaine, et potentiellement utilisées pour entraîner des modèles IA dont ils ne bénéficieraient jamais.

Je pouvais répondre clairement : toutes les données sont stockées dans des bases de données en Europe, précisément en Allemagne. Cela comptait. Pour certains clients, c'était le facteur décisif.

La même question revient avec Corial.app, le CRM agentique que je développe pour les fournisseurs de matières premières B2B en phase de démarrage. Un CRM contient tout : les relations clients, les stratégies tarifaires, les historiques de contacts, les pipelines commerciaux. Des cycles de vente de 12 à 24 mois. L'intégralité de la mémoire commerciale de l'entreprise. Chaque donnée passe par une API IA. La question est donc légitime : que se passe-t-il de l'autre côté ?

Ce qui arrive vraiment a vos données (les faits)

C'est là que la conversation devient confuse. Les gens entendent "IA" et supposent que toutes leurs données alimentent une gigantesque machine d'entraînement. La réalité est plus précise, et l'écart entre les options est plus grand que la plupart des gens ne le réalisent.

Outils IA grand public gratuits

Les versions gratuites de ChatGPT, Gemini et Claude : vos conversations peuvent être utilisées pour entraîner de futurs modèles IA. Le Gemini gratuit de Google conserve les données jusqu'à 18 mois par défaut. Des examinateurs humains peuvent lire vos conversations. Quand vous collez vos tarifs clients dans ChatGPT gratuit, vous contribuez à un jeu de données d'entraînement que vous ne contrôlerez jamais et dont vous ne bénéficierez pas.

Accès API payant

Ce que des entreprises comme opencream.ai utilisent : des conditions fondamentalement différentes. L'API d'Anthropic conserve les données 7 jours, uniquement pour la surveillance des abus, jamais pour l'entraînement du modèle. Sans opt-in, sans exceptions. L'API Gemini de Google conserve les données 55 jours, également uniquement pour la surveillance des abus, également jamais pour l'entraînement. Les deux proposent des options de rétention zéro pour les clients entreprises, où rien n'est stocké du tout.

Ce n'est pas une promesse marketing. Anthropic a réduit la conservation des données de son API de 30 à 7 jours en septembre 2025 précisément pour répondre aux préoccupations de souveraineté. Google propose la rétention zéro via sa plateforme Vertex AI. Ces politiques sont documentées et vérifiables.

La différence entre coller des données clients dans ChatGPT gratuit et les traiter via une API payante avec stockage en base de données européenne n'est pas négligeable. C'est la différence entre confier vos clés de maison à un inconnu et engager un artisan qui travaille chez vous et repart.

Les trois couches de la souveraineté IA

Quand je réfléchis à la souveraineté pour les entreprises avec lesquelles je travaille, je pense en trois couches. La conversation publique ne parle généralement que de la première.

Couche 1 : le modele IA

C'est là que se déroule le calcul réel. Claude d'Anthropic, Gemini de Google, GPT d'OpenAI. Oui, ce sont des entreprises américaines. Oui, les données transitent brièvement par leur infrastructure lors d'un appel API. Mais avec 7 à 55 jours de conservation et aucun entraînement sur vos données, c'est la couche la moins risquée, à condition d'utiliser des APIs et non des outils grand public gratuits.

Utiliser le meilleur modèle IA disponible quel que soit son pays d'origine n'est pas un problème de souveraineté. C'est de l'ingénierie intelligente. Le propre livre blanc du Groupe Schwarz reconnaît que l'autonomie technologique complète est "ni technologiquement ni économiquement réalisable pour la plupart des pays". L'objectif n'est pas l'isolation. C'est le contrôle.

Couche 2 : vos données

C'est là que les choses deviennent concrètes. Bases de données clients. Historique des prix. Notes de relation. Formulations produits. Photos de sinistres. Détails du pipeline commercial. Ces données n'ont pas besoin de toucher des serveurs américains. Elles vivent dans des bases de données que vous contrôlez, hébergées en Europe, sous juridiction RGPD. Quand TraXagent.de stocke une photo de sinistre, elle va sur un serveur allemand. Quand Corial.app stocke une interaction client, pareil. L'IA traite une demande et renvoie une réponse. Les données restent chez vous.

Couche 3 : l'intelligence que vous construisez

C'est la couche dont personne ne parle, et c'est la plus précieuse. Les workflows, la logique de décision, les règles spécifiques au domaine. C'est là que vous construisez réellement un avantage sur vos concurrents. Quand je développe des solutions IA pour des entreprises B2B, la couche d'intelligence est personnalisée. Elle ne vit pas chez Anthropic ou Google. Elle vit dans le système construit autour de leurs APIs. Elle appartient au client.

La connaissance propriétaire d'un fournisseur chimique sur quels clients ont besoin de quelles formulations à quels niveaux de prix. Ce n'est pas sur un serveur en Californie. C'est dans une base de données européenne, accessible via une IA qui traite les demandes et les oublie en quelques jours.

Pourquoi "utiliser simplement une IA europeenne" n'est pas non plus la reponse

Il y a un argument tentant : utilisez simplement des modèles IA européens. Aleph Alpha d'Allemagne. Mistral de France. Problème résolu.

Ce n'est pas si simple.

La vérité honnête, c'est que pour la plupart des cas d'usage B2B sur lesquels je travaille, les modèles américains sont meilleurs. Pas légèrement meilleurs. Significativement meilleurs. Quand un expert en sinistres télécharge une photo et a besoin d'une classification précise, ou quand un CRM doit comprendre le contexte d'une relation commerciale de 14 mois, des modèles moins performants créent de vrais problèmes.

Choisir un modèle moins performant pour des raisons de souveraineté en perdant en précision ne rend pas votre entreprise plus souveraine. Cela la rend moins compétitive. Et il n'y a pas de souveraineté à se faire dépasser par des entreprises qui ont fait des choix technologiques plus intelligents.

La meilleure approche : meilleurs modèles via un accès API correctement encadré, données dans une infrastructure européenne, couche d'intelligence qui vous appartient. C'est la vraie souveraineté.

Le livre blanc d'IBM avait raison sur un point

L'argument principal d'IBM est que 99 % des données d'entreprise restent inexploitées, et que les utiliser efficacement nécessite d'opérer dans des cadres souverains. Je suis d'accord avec la direction, mais leur cadrage est conçu pour les entreprises Fortune 500 avec des budgets informatiques à sept chiffres.

Pour une startup biotech de 10 personnes ou un fournisseur de matières premières de 15 personnes, le cadre doit être différent. Pas plus simple. Différent. Car les mêmes questions s'appliquent :

Qui a accès à vos données clients ? Si vous utilisez des outils IA gratuits, la réponse pourrait vous surprendre. Le CLOUD Act américain de 2018 donne aux autorités américaines le droit d'accéder aux données stockées par des entreprises américaines sous certaines conditions, même si ces données sont hébergées à l'étranger. Cela entre directement en conflit avec le RGPD, qui exige un consentement pour le traitement des données.

Où s'accumule votre intelligence commerciale ? Si elle se trouve dans la plateforme de quelqu'un d'autre sans option d'export, vous avez externalisé la mémoire de votre entreprise. Quand cette plateforme change ses conditions, augmente ses prix ou ferme, votre intelligence disparaît avec elle.

Qui possède le système IA qui traite vos décisions ? Si vous vous appuyez sur un outil générique que vous ne contrôlez pas, chaque concurrent dispose des mêmes capacités. Il n'y a aucun avantage à cela.

Ce ne sont pas des questions théoriques. Le rapport du Groupe Schwarz note que 53 à 59 % des entreprises allemandes dépendent de fournisseurs cloud non-européens pour leurs applications et infrastructures IA. Pour la plupart d'entre elles, cette dépendance n'a jamais été un choix stratégique conscient. C'est simplement arrivé.

Ce que cela donne dans la pratique

Chez opencream.ai, chaque solution que nous développons suit la même architecture :

Les modèles IA viennent d'où ils sont les meilleurs, actuellement Anthropic et Google, accessibles via leurs APIs. La conservation des données est minimale (7 à 55 jours pour la surveillance des abus uniquement). Pas d'entraînement sur les données clients. Rétention zéro disponible si nécessaire.

Les bases de données sont en Europe. Données clients, intelligence commerciale, données opérationnelles, tout stocké dans des centres de données allemands ou européens sous juridiction RGPD. Quand les clients de TraXagent.de demandaient où vont leurs photos de sinistres, la réponse était l'Allemagne. Quand Corial.app stocke des données de pipeline commercial, même réponse.

La couche d'intelligence est personnalisée et appartient au client. Les workflows, la logique de décision, l'expertise du domaine intégrée au système. Ce n'est pas sur les serveurs d'Anthropic ou de Google. C'est dans l'architecture que nous construisons. Si un client voulait changer de fournisseur IA, les données et l'intelligence restent. Seul le calcul du modèle change.

Est-ce une souveraineté parfaite ? Non. Les données transitent brièvement par l'infrastructure API lors du traitement. Mais c'est un profil de risque différent de celui qui consiste à coller vos secrets commerciaux dans un outil gratuit qui peut les utiliser pour l'entraînement et les conserve pendant des mois.

La fenetre se referme (mais pas pour la raison que vous croyez)

Le livre blanc du Groupe Schwarz soulève un point sur l'urgence auquel je reviens sans cesse. En 2023, les investissements IA aux États-Unis ont atteint 67,2 milliards de dollars. La Chine était à 7,7 milliards. L'UE à 5,8 milliards. L'AI Act européen est maintenant en vigueur. D'ici 2028, Gartner prévoit que 65 % des gouvernements auront introduit des exigences de souveraineté technologique.

Pour les petites entreprises B2B, l'urgence n'est pas réglementaire. Pas encore. L'urgence, c'est que chaque mois où vous utilisez des outils IA gratuits sans penser à la gouvernance des données, vous construisez des habitudes et des workflows autour de systèmes que vous ne contrôlez pas. Quand la réglementation arrivera, et elle arrivera, corriger votre architecture IA après coup est bien plus difficile que de la construire correctement dès le départ.

Et chaque mois où votre concurrent construit une intelligence IA propriétaire sur des données correctement gérées pendant que vous copiez-collez dans ChatGPT, l'écart se creuse.

Les entreprises qui réussiront ne seront pas celles qui ont évité l'IA américaine. Ce seront celles qui ont utilisé la meilleure technologie disponible tout en gardant leurs données, leur intelligence et leur avantage concurrentiel sous leur propre contrôle.