3 juillet 2026

La souveraineté, c'est un choix d'architecture

IA contre IA
| Partie
4

Temps de lecture :

6 minutes

Tout le monde parle de « souveraineté ». Mais personne ne dit à qui leur fournisseur de cloud rend réellement des comptes. On va parler de juridiction, du CLOUD Act et d'une architecture qui te permet de t'adapter quand le monde change.

Découvre toute la série sur la sécurité de l'IA

1. La faille que personne ne surveille
93 % de confiance. 29 % de préparation. Une seule personne a piraté un chatbot et vidé dix administrations. Le fossé entre ce qu’on raconte aux dirigeants et ce que dit le rapport d’incident.

2. Ils sont plus rapides que toi
Des temps de pénétration de 27 secondes. Des attaques de phishing générées par l’IA qui connaissent ton équipe par son nom. Le hacker au sweat à capuche noir a lui aussi perdu son boulot au profit de l’IA. Ce qui l’a remplacé ne dort jamais.

3. Ton IA, c'est leur porte d'entrée
76 % des entreprises ont une IA « fantôme ». La menace n’est pas à la porte. Elle a un badge que tu lui as donné. Des modèles intégrés par les fournisseurs, des plugins compromis et les outils que ton équipe a elle-même installés.

4. La souveraineté, c'est un choix d'architecture
Tout le monde parle de « souveraineté ». Cet article explique ce qui se passe quand ton client te pose la question et que ta réponse doit être nuancée. Interchangeabilité, indépendance vis-à-vis des fournisseurs, et ce que le CLOUD Act implique pour les données canadiennes.

5. Le problème des ressources humaines
L'offre d'emploi en sécurité IA demande quatre profils en une seule personne. Cette personne n'existe pas. Le travail, lui, existe bel et bien. Des banques d'heures, un contexte réutilisable et un PMO qui assure la cohésion de l'ensemble.

6. Quelles questions poser à ton fournisseur
Sept questions. Imprime-les. Apporte-les à la réunion. Attends-toi à des réponses directes, pas à des changements de sujet soigneusement formulés. Pose-les à tout le monde. Y compris à nous.

7. À quoi ça ressemble quand la sécurité de l'IA fonctionne
Mardi matin. Le téléphone n'a pas sonné. Le client n'est pas parti. Le fil de discussion sur Reddit n'a pas été publié. Voilà à quoi ressemble une bonne sécurité.

Auteur

Dimitri Phalen est le responsable marketing chez ISM préfère le langage simple aux grandes promesses. Depuis des années, il bosse en coulisses pour transformer des problèmes informatiques compliqués et confus en solutions concrètes que les équipes peuvent vraiment utiliser. Si un texte donne l'impression d'avoir été écrit par quelqu'un qui n'a pas bu assez de café et qui est resté assis trop près de l'équipe de développement pendant trop longtemps, c'est sûrement de sa faute.

En ce moment, tout le monde au Canada parle de « souveraineté ». Telus a une usine d’IA souveraine à Rimouski. Bell construit un supercluster souverain en Colombie-Britannique. CGI a une page dédiée à ça. DXC a ouvert un centre à ce sujet à Halifax. Les pubs LinkedIn que tu vois avant d’aller chez Tim’s le matin, celles qui coûtent l’équivalent d’une pièce de deux dollars, ont toutes ce mot dans leur titre.

Aucun d'entre eux ne dit à qui leur fournisseur de services cloud rend réellement des comptes.

C’est la question qui se cache derrière les communiqués de presse. Pas où se trouvent les données. Mais qui peut t’obliger à y donner accès. Quel tribunal est compétent pour juger l’entreprise qui gère l’infrastructure sur laquelle reposent tes données. Qu’advient-il de ta souveraineté lorsque cette entreprise signe un nouveau partenariat, se fait racheter ou restructure sa société dans une juridiction qui n’est pas la tienne ? Ce sont des questions d’architecture, pas d’image de marque, et pour l’instant, c’est l’image de marque qui fait toute la conversation.

La juridiction que tu n'as pas choisie

La loi américaine CLOUD Act donne aux forces de l'ordre américaines le pouvoir d'obliger les entreprises basées aux États-Unis à fournir des données, quel que soit leur lieu de stockage. En juin 2025, le directeur des affaires publiques et juridiques de Microsoft France a déclaré sous serment devant le Sénat français qu’il ne pouvait pas garantir que les données des citoyens français resteraient hors de portée des États-Unis. Pas dans un communiqué de presse. Sous serment. Ce qui ressortait le plus de ce témoignage, ce n’était pas le risque juridique. C’était la confirmation que stocker les données en France ne résout pas le problème quand l’entreprise qui les stocke relève d’une juridiction étrangère.

Des études citées dans les « Balsillie Papers » ont montré qu’une part importante du trafic Internet canadien fait un détour par des points d’échange américains avant d’atteindre sa destination. Tes données ont quitté le Canada pendant trois millisecondes alors qu’elles allaient de Toronto à Montréal, et personne ne t’en a parlé. C’est le problème d’architecture qui se cache derrière le problème juridique. Un centre de données canadien avec un drapeau canadien sur son site web, mais dont la société mère est enregistrée au Delaware.

Et puis, il y a la couche IA. Celle qui relie tout ça aux trois premiers articles de cette série. Les modèles intégrés par le fournisseur que ton CRM a ajoutés lors d’une mise à jour logicielle. L’assistant IA que ton service d’assistance utilise pour trier les tickets. Le chatbot qui résume les interactions avec les clients. Chacun d’entre eux traite tes données au sein d’une plateforme dont la société mère peut être soumise à la juridiction d’un autre pays. Certains s’entraînent sur les données qu’ils traitent, selon des conditions d’utilisation enfouies dans une note de mise à jour que personne n’a relevée. Quand ce fournisseur SaaS de confiance annonce un partenariat pour entraîner un nouveau modèle de langage (LLM) soutenu par un fonds d’investissement étranger, tes données clients pourraient bien se retrouver dans l’ensemble de données d’entraînement. Pas parce que quelqu’un a commis une faille de sécurité. Mais parce que l’architecture le permettait et que personne n’a posé de questions.

Tu ne peux pas sécuriser une IA qui tourne sur une infrastructure que tu ne contrôles pas. Et tu ne peux pas parler de « souveraineté » quand l'entreprise qui détient les clés reçoit des ordres de quelqu'un d'autre que toi.

Gary a signé un contrat de trois ans assorti d'une clause de résiliation valable douze mois

L'équipe des achats de Gary a choisi le fournisseur de services cloud. L'équipe commerciale a parlé d'un centre de données canadien, a montré un endroit sur une carte, puis a souri. L'équipe de Gary a signé. L'équipe chargée de la conformité a coché la case « résidence ». Tout le monde est passé au projet suivant.

Personne n’a demandé à qui appartenait la société propriétaire du centre de données. Personne n’a demandé ce qui se passerait si cette société était rachetée par une entreprise enregistrée dans un pays avec lequel le Canada est actuellement en conflit commercial. Personne n’a demandé ce que prévoyait réellement la clause de résiliation, qui s’avère exiger un préavis de douze mois et une migration dont le périmètre n’a jamais été défini, impliquant des dépendances qui n’ont jamais été documentées et touchant des systèmes interconnectés par un sous-traitant qui est parti en 2021.

Le mois dernier, une nouvelle sur les droits de douane a fait la une. Le directeur financier a demandé : « On peut s’en sortir ? » Un silence s’est installé dans la salle. Pas parce que la réponse est « non ». Mais parce que la réponse est : « Pas sans causer des dégâts qu’on ne peut pas voir, dans un délai qu’on ne peut pas prévoir, à un coût qu’on n’a pas estimé. » Pendant ce temps, le fournisseur vient d’annoncer un nouveau partenariat en IA avec une entreprise dont Gary n’a jamais entendu parler, dont le siège se trouve dans un pays avec lequel le gouvernement de Gary est actuellement en conflit à propos du bois d’œuvre et des pièces automobiles. L’architecture de Gary ne peut pas s’adapter à tout ça. Elle a été conçue pour fonctionner, pas pour évoluer.

Ce n'est pas de la souveraineté. C'est une prise d'otage où la rançon, c'est ta propre architecture d'intégration.

La souveraineté, c'est le fait de pouvoir changer d'avis

Tous les communiqués de presse sur l'IA souveraine parlent de l'endroit où se trouvent les données. Personne ne parle de ce qui se passe quand tu dois les déplacer.

L'interchangeabilité, c'est la souveraineté qui a du mordant. Ça veut dire que tu comprends suffisamment bien tes dépendances pour pouvoir remplacer n'importe quel élément de ta pile sans que le reste ne s'effondre. Ça veut dire qu'aucun fournisseur, y compris celui qui écrit cet article, ne détient les clés de tes données ou de tes plateformes. Ça veut dire que ta couche de gouvernance de l'IA sait quels modèles traitent quelles données, où vont les résultats, et ce qui change si tu changes de fournisseur au trimestre prochain. Ça veut dire que quand le monde change un mardi matin, tu prends une décision au lieu de te rendre compte que tu en es incapable.

Ça demande un boulot fastidieux. Cartographier les dépendances. Documenter les flux de données. Concevoir une architecture d’intégration pensée pour être démantelée. Dresser l’inventaire des ressources d’IA pour savoir quels outils s’entraînent sur quoi, et où vont les données quand ils le font. Le genre de boulot qui ne fait pas l’objet d’un communiqué de presse, mais qui se concrétise lors de la réunion où le directeur financier demande « on peut passer à l’étape suivante ? » et où quelqu’un répond « oui », en le pensant vraiment. On a parlé de ces bases dans la série « Data » et sur la page consacrée à la souveraineté des données.

La réponse que ton client n'aura jamais besoin de demander

ISM au cœur même de l'infrastructure du gouvernement canadien et des entreprises depuis plus de cinquante ans. On ne fait pas de va-et-vient au rythme des cycles de conseil de trois ans. On est ancré là. Ce sont les gens qui ont construit ces systèmes, qui savent où se trouvent les dépendances non documentées, qui se souviennent pourquoi la solution de contournement de 2004 est toujours en place et quelles sont les trois choses qui plantent si tu la déplaces.

Grâce à l’étendue du réseau de partenariats de Kyndryl, l’architecture n’est pas cantonnée à la pile technologique d’un seul fournisseur. Quand une charge de travail nécessite un acheminement par l’Europe ou le Japon pour des raisons de conformité ou de latence, on ne fait pas appel à des équipes sous-traitantes. Ce sont des collègues de la même entreprise, soumis au même cadre de gouvernance. Le SOC de Barrie est géré par des Canadiens habilités conformément à la législation canadienne. Les clés de chiffrement restent là où le client les place. La gouvernance d’entreprise s’exerce depuis la Saskatchewan, pas depuis la Virginie.

L'objectif, c'est une architecture où c'est toi qui décides. Où tu sais exactement où se trouvent tes données et comment elles circulent. Où ce que tes clients se racontent correspond exactement à ce que tu veux qu'ils disent : leurs données sont au Canada, gérées par des Canadiens, sous le droit canadien. Pas de bémols. Pas de notes de bas de page. Pas de clauses en petits caractères qui se dévoilent quand quelqu’un en Virginie décroche son téléphone. Le client qui reste, c’est parce qu’il n’a jamais eu de raison de se poser la question. Le coût d’une souveraineté bien gérée, ce n’est pas un poste budgétaire lié à l’infrastructure. C’est la question qu’on n’a jamais besoin de poser.

À lire ensuite

Tu peux avoir une architecture parfaite, mais ne pas trouver les personnes capables de la mettre en place. L'article suivant parle d'une offre d'emploi en sécurité IA que personne ne peut pourvoir : architecture de sécurité, gouvernance des données, ML Ops et conformité, le tout chez une seule et même personne. Cette personne n'existe pas. Le poste, lui, existe bel et bien. Il y a une autre façon de le pourvoir. Le problème, c'est le personnel.

Références

Gouvernement du Canada : Souveraineté des données et cloud public (livre blanc sur les limites de la souveraineté avec les fournisseurs de cloud étrangers)

Les « Balsillie Papers »: les implications de la loi américaine CLOUD Act pour les données canadiennes et l'acheminement du trafic Internet via les points d'échange américains

Déposition de Microsoft France devant le Sénat français, juin 2025 : impossibilité de garantir la souveraineté des données, quel que soit le lieu de stockage

OVH c. GRC, Tribunal de justice de l'Ontario, septembre 2025 : un tribunal canadien ordonne à une entreprise française de communiquer des données stockées en Europe

Tu veux savoir comment on fonctionne ?

Chaque conversation commence par ton environnement. Pas par notre liste de produits.

Contacte-nous
FlècheFlèche

Ce n'est pas une question de technologie ou de processus. Ce qui compte, ce sont tes clients, tes utilisateurs et la confiance que tu as su gagner à la sueur de ton front. Toutes nos équipes gardent ça à l'esprit.

Appel à l'action sur mobile