En ce moment, tout le monde au Canada parle de « souveraineté ». Telus a une usine d’IA souveraine à Rimouski. Bell construit un supercluster souverain en Colombie-Britannique. CGI a une page dédiée à ça. DXC a ouvert un centre à ce sujet à Halifax. Les pubs LinkedIn que tu vois avant d’aller chez Tim’s le matin, celles qui coûtent l’équivalent d’une pièce de deux dollars, ont toutes ce mot dans leur titre.
Aucun d'entre eux ne dit à qui leur fournisseur de services cloud rend réellement des comptes.
C’est la question qui se cache derrière les communiqués de presse. Pas où se trouvent les données. Mais qui peut t’obliger à y donner accès. Quel tribunal est compétent pour juger l’entreprise qui gère l’infrastructure sur laquelle reposent tes données. Qu’advient-il de ta souveraineté lorsque cette entreprise signe un nouveau partenariat, se fait racheter ou restructure sa société dans une juridiction qui n’est pas la tienne ? Ce sont des questions d’architecture, pas d’image de marque, et pour l’instant, c’est l’image de marque qui fait toute la conversation.
La juridiction que tu n'as pas choisie
La loi américaine CLOUD Act donne aux forces de l'ordre américaines le pouvoir d'obliger les entreprises basées aux États-Unis à fournir des données, quel que soit leur lieu de stockage. En juin 2025, le directeur des affaires publiques et juridiques de Microsoft France a déclaré sous serment devant le Sénat français qu’il ne pouvait pas garantir que les données des citoyens français resteraient hors de portée des États-Unis. Pas dans un communiqué de presse. Sous serment. Ce qui ressortait le plus de ce témoignage, ce n’était pas le risque juridique. C’était la confirmation que stocker les données en France ne résout pas le problème quand l’entreprise qui les stocke relève d’une juridiction étrangère.
Des études citées dans les « Balsillie Papers » ont montré qu’une part importante du trafic Internet canadien fait un détour par des points d’échange américains avant d’atteindre sa destination. Tes données ont quitté le Canada pendant trois millisecondes alors qu’elles allaient de Toronto à Montréal, et personne ne t’en a parlé. C’est le problème d’architecture qui se cache derrière le problème juridique. Un centre de données canadien avec un drapeau canadien sur son site web, mais dont la société mère est enregistrée au Delaware.
Et puis, il y a la couche IA. Celle qui relie tout ça aux trois premiers articles de cette série. Les modèles intégrés par le fournisseur que ton CRM a ajoutés lors d’une mise à jour logicielle. L’assistant IA que ton service d’assistance utilise pour trier les tickets. Le chatbot qui résume les interactions avec les clients. Chacun d’entre eux traite tes données au sein d’une plateforme dont la société mère peut être soumise à la juridiction d’un autre pays. Certains s’entraînent sur les données qu’ils traitent, selon des conditions d’utilisation enfouies dans une note de mise à jour que personne n’a relevée. Quand ce fournisseur SaaS de confiance annonce un partenariat pour entraîner un nouveau modèle de langage (LLM) soutenu par un fonds d’investissement étranger, tes données clients pourraient bien se retrouver dans l’ensemble de données d’entraînement. Pas parce que quelqu’un a commis une faille de sécurité. Mais parce que l’architecture le permettait et que personne n’a posé de questions.
Tu ne peux pas sécuriser une IA qui tourne sur une infrastructure que tu ne contrôles pas. Et tu ne peux pas parler de « souveraineté » quand l'entreprise qui détient les clés reçoit des ordres de quelqu'un d'autre que toi.
Gary a signé un contrat de trois ans assorti d'une clause de résiliation valable douze mois
L'équipe des achats de Gary a choisi le fournisseur de services cloud. L'équipe commerciale a parlé d'un centre de données canadien, a montré un endroit sur une carte, puis a souri. L'équipe de Gary a signé. L'équipe chargée de la conformité a coché la case « résidence ». Tout le monde est passé au projet suivant.
Personne n’a demandé à qui appartenait la société propriétaire du centre de données. Personne n’a demandé ce qui se passerait si cette société était rachetée par une entreprise enregistrée dans un pays avec lequel le Canada est actuellement en conflit commercial. Personne n’a demandé ce que prévoyait réellement la clause de résiliation, qui s’avère exiger un préavis de douze mois et une migration dont le périmètre n’a jamais été défini, impliquant des dépendances qui n’ont jamais été documentées et touchant des systèmes interconnectés par un sous-traitant qui est parti en 2021.
Le mois dernier, une nouvelle sur les droits de douane a fait la une. Le directeur financier a demandé : « On peut s’en sortir ? » Un silence s’est installé dans la salle. Pas parce que la réponse est « non ». Mais parce que la réponse est : « Pas sans causer des dégâts qu’on ne peut pas voir, dans un délai qu’on ne peut pas prévoir, à un coût qu’on n’a pas estimé. » Pendant ce temps, le fournisseur vient d’annoncer un nouveau partenariat en IA avec une entreprise dont Gary n’a jamais entendu parler, dont le siège se trouve dans un pays avec lequel le gouvernement de Gary est actuellement en conflit à propos du bois d’œuvre et des pièces automobiles. L’architecture de Gary ne peut pas s’adapter à tout ça. Elle a été conçue pour fonctionner, pas pour évoluer.
Ce n'est pas de la souveraineté. C'est une prise d'otage où la rançon, c'est ta propre architecture d'intégration.
La souveraineté, c'est le fait de pouvoir changer d'avis
Tous les communiqués de presse sur l'IA souveraine parlent de l'endroit où se trouvent les données. Personne ne parle de ce qui se passe quand tu dois les déplacer.
L'interchangeabilité, c'est la souveraineté qui a du mordant. Ça veut dire que tu comprends suffisamment bien tes dépendances pour pouvoir remplacer n'importe quel élément de ta pile sans que le reste ne s'effondre. Ça veut dire qu'aucun fournisseur, y compris celui qui écrit cet article, ne détient les clés de tes données ou de tes plateformes. Ça veut dire que ta couche de gouvernance de l'IA sait quels modèles traitent quelles données, où vont les résultats, et ce qui change si tu changes de fournisseur au trimestre prochain. Ça veut dire que quand le monde change un mardi matin, tu prends une décision au lieu de te rendre compte que tu en es incapable.
Ça demande un boulot fastidieux. Cartographier les dépendances. Documenter les flux de données. Concevoir une architecture d’intégration pensée pour être démantelée. Dresser l’inventaire des ressources d’IA pour savoir quels outils s’entraînent sur quoi, et où vont les données quand ils le font. Le genre de boulot qui ne fait pas l’objet d’un communiqué de presse, mais qui se concrétise lors de la réunion où le directeur financier demande « on peut passer à l’étape suivante ? » et où quelqu’un répond « oui », en le pensant vraiment. On a parlé de ces bases dans la série « Data » et sur la page consacrée à la souveraineté des données.
La réponse que ton client n'aura jamais besoin de demander
ISM au cœur même de l'infrastructure du gouvernement canadien et des entreprises depuis plus de cinquante ans. On ne fait pas de va-et-vient au rythme des cycles de conseil de trois ans. On est ancré là. Ce sont les gens qui ont construit ces systèmes, qui savent où se trouvent les dépendances non documentées, qui se souviennent pourquoi la solution de contournement de 2004 est toujours en place et quelles sont les trois choses qui plantent si tu la déplaces.
Grâce à l’étendue du réseau de partenariats de Kyndryl, l’architecture n’est pas cantonnée à la pile technologique d’un seul fournisseur. Quand une charge de travail nécessite un acheminement par l’Europe ou le Japon pour des raisons de conformité ou de latence, on ne fait pas appel à des équipes sous-traitantes. Ce sont des collègues de la même entreprise, soumis au même cadre de gouvernance. Le SOC de Barrie est géré par des Canadiens habilités conformément à la législation canadienne. Les clés de chiffrement restent là où le client les place. La gouvernance d’entreprise s’exerce depuis la Saskatchewan, pas depuis la Virginie.
L'objectif, c'est une architecture où c'est toi qui décides. Où tu sais exactement où se trouvent tes données et comment elles circulent. Où ce que tes clients se racontent correspond exactement à ce que tu veux qu'ils disent : leurs données sont au Canada, gérées par des Canadiens, sous le droit canadien. Pas de bémols. Pas de notes de bas de page. Pas de clauses en petits caractères qui se dévoilent quand quelqu’un en Virginie décroche son téléphone. Le client qui reste, c’est parce qu’il n’a jamais eu de raison de se poser la question. Le coût d’une souveraineté bien gérée, ce n’est pas un poste budgétaire lié à l’infrastructure. C’est la question qu’on n’a jamais besoin de poser.
À lire ensuite
Tu peux avoir une architecture parfaite, mais ne pas trouver les personnes capables de la mettre en place. L'article suivant parle d'une offre d'emploi en sécurité IA que personne ne peut pourvoir : architecture de sécurité, gouvernance des données, ML Ops et conformité, le tout chez une seule et même personne. Cette personne n'existe pas. Le poste, lui, existe bel et bien. Il y a une autre façon de le pourvoir. Le problème, c'est le personnel.
Références
Gouvernement du Canada : Souveraineté des données et cloud public (livre blanc sur les limites de la souveraineté avec les fournisseurs de cloud étrangers)
Les « Balsillie Papers »: les implications de la loi américaine CLOUD Act pour les données canadiennes et l'acheminement du trafic Internet via les points d'échange américains
Déposition de Microsoft France devant le Sénat français, juin 2025 : impossibilité de garantir la souveraineté des données, quel que soit le lieu de stockage
OVH c. GRC, Tribunal de justice de l'Ontario, septembre 2025 : un tribunal canadien ordonne à une entreprise française de communiquer des données stockées en Europe
