Lorsqu’une organisation qui s’adresse aux européens cherche à renforcer la conformité au RGPD[1] ou au règlement IA Act[2] de ses outils numériques, une idée revient souvent : choisir des outils numériques qui peuvent être hébergés dans un environnement qu’elle contrôle totalement — que ce soit dans ses propres locaux ou dans une infrastructure dédiée dans un datacenter de proximité en Europe.
À première vue, l’idée semble logique : si l’on maîtrise entièrement l’endroit où les données sont stockées, et qu’elles ne sont pas transférées vers des pays qui n’appliquent pas le même niveau de protection, elles paraissent automatiquement mieux protégées.
Mais cette vision est incomplète.
Souveraineté numérique et conformité
La première difficulté consiste à distinguer clairement deux concepts, qui bien que liés, demeurent fondamentalement distincts :
- Souveraineté numérique : la capacité de maîtriser totalement l’emplacement, les flux et les accès aux systèmes d’information.
Héberger sur une infrastructure dont l’organisation est propriétaire permet de renforcer cette maîtrise, réduire les dépendances et offrir un meilleur contrôle sur les flux de données. - Conformité règlementaire : le respect des exigences imposées par les règlementations telles que le RGPD ou l’IA Act, incluant la transparence, une sécurité des systèmes adaptée aux risques, la légalités des traitements effectuées, les responsabilités contractuelles, le respect des droits des personnes concernées, etc.
Si héberger des solutions localement – même en Europe – peut s’intégrer de manière pertinente dans une démarche de conformité pour atténuer des risques, ce n’est qu’une mesure parmi d’autres et cela ne suffit pas à garantir un niveau protection conforme aux règlementations concernées.
Il est donc parfaitement possible d’exploiter des solutions souveraines non conformes aux règlementations, et inversement.
Un contrôle accru qui engendre plus de responsabilités opérationnelles
Exploiter les systèmes et les données au sein de ses propres infrastructures implique que l’organisation soit en mesure d’assurer la gestion opérationnelle permettant de garantir un niveau de sécurité et de conformité adéquat. Cela nécessite notamment de disposer du personnel compétent pour identifier, mettre en place et gérer les mesures techniques, juridiques et organisationnelles requises.
C’est pour éviter ces contraintes que de nombreuses organisations ont opté pour un hébergement dans un cloud. Elles délèguent ainsi ces contraintes opérationnelles à un fournisseur qui dispose de l’expertise et de moyens importants pour fournir des infrastructures conformes aux normes internationales de sécurité. Cependant, les incidents récents en matière de souveraineté numérique poussent certaines organisations critiques à remettre ce choix en question, à juste titre.
Contrôler la sécurité ne suffit pas
Si maîtriser les flux de données et assurer un niveau de sécurité adéquat est indispensensable pour répondre à certaines exigences règlementaires, et stratégiques, cela ne suffit pas.
Les règlements nécessitent la mise en place d’autres mesures visant à respecter les droits des personnes concernées, dont notamment la transparence en matière de traitement de données personnelles ou concernant le fonctionnement de systèmes d’IA.
La transparence : pilier incontournable
Même lorsque les données peuvent être hébergées localement et sécurisées dans les règles de l’art, une transparence complète est requise pour respecter les exigences règlementaires[3] et les droits des personnes concernées.
Une documentation adéquate doit notamment permettre d’informer de manière claire :
- quelles données sont collectées,
- pour quelles finalités,
- comment fonctionne le système d’IA ou le modèle IA utilisé (exigence de l’AI Act),
- quels risques, limites ou biais peuvent exister.
Les fournisseurs qui proposent des solutions innovantes doivent mettre à disposition des organisations toute la documentation nécessaire pour les aider à respecter les exigences réglementaires. Une politique de confidentialité, un Data Process Agreement ou un politique IA visent notamment cet objectif.
Au-delà de l’impératif, une documentation de qualité renforce la confiance et l’adhésion. Elle représente aussi un véritable avantage compétitif pour les fournisseurs face à d’autres acteurs qui ne prennent pas ces obligations au sérieux.
Conclusion : héberger une solution en local, un atout potentiel si on s'en donne les moyens
Héberger une solution en local offre davantage de contrôle et d’indépendance, mais ne suffit pas pour répondre pleinement aux exigences du RGPD ou de l’IA Act. Cette approche permet certes de réduire les dépendances externes et les risques liés aux transferts internationaux de données, mais elle implique une gestion opérationnelle accrue ainsi qu’un besoin de compétences spécifiques pour garantir la sécurité et la conformité.
L’hébergement local peut donc être un choix tout à fait pertinent, à condition qu’il s’inscrive dans une démarche de conformité globale, continue et rigoureusement pilotée.
Besoin d'aide pour assurer la conformation de vos services ou de vos solutions ?
Notre équipe pluridisciplinaire combine une expertise technique, juridique et managériale pour assurer votre conformité aux règlementations européennes telles que RGPD, IA ACT, NIS 2.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[2] Règlement (UE) 2024/1689 du Parlement européen et du Conseil CNSEIL du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) no 300/2008, (UE) n°167/2013, (UE) n°168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle).
[3] Art. 12-14 du RGPD, Art. 13 (pour le système d’IA) et 53 (pour le Modèle IA) de l’IA Act.
Découvrez nos autres articles
À propos de CTI
Une équipe pluridisciplinaire qui combine une expertise technique, juridique et managériale pour assurer votre conformité aux règlementations européennes telles que le RGPD, IA ACT, NIS 2.