La donnée, nouveau pétrole — mais nous n’avons pas la raffinerie

L’IA promet une révolution de productivité, mais une grande partie des entreprises européennes ne peut toujours pas l’utiliser sans risquer ses données sensibles. Derrière le débat technologique, c’est désormais une question de souveraineté juridique et stratégique qui se joue. Une tribune proposée par César Harari, fondateur de Rekap.AI.

Temps de lecture : 5 minutes

Il y a quelques mois, le responsable conformité d’une banque privée genevoise m’a dit quelque chose que je n’ai pas oublié. Pas une plainte. Pas une question. Mais une constatation, posée avec la résignation tranquille de celui qui a déjà fait le tour du problème : «On ne peut pas utiliser l’IA. Pas parce qu’on ne veut pas. Parce qu’on ne peut pas.»

Derrière cette courte phrase, une réalité que ni les discours du Sommet pour l’action sur l’IA de février 2025, ni les 109 milliards d’euros d’investissements annoncés dans la foulée ne viennent vraiment résoudre. Des milliers de professionnels — banquiers, avocats, médecins, gestionnaires de fortune — sont structurellement exclus de la révolution IA. Non par conservatisme, mais dans de nombreux secteurs, la règle est simple : la donnée sensible doit rester dans le périmètre contrôlé de l’organisation, qui en conserve la responsabilité et la conformité. Or, une grande partie des outils du marché transfèrent rapidement les données hors de ce périmètre, parfois dès les premières actions de l’utilisateur.

Le cloud n’est pas un nuage. C’est un bâtiment.

Le «cloud» n’est pas une abstraction immatérielle. C’est du béton, de l’électricité, des câbles et des racks de serveurs — un bâtiment sécurisé, climatisé en permanence, dont la consommation énergétique est significative et le fonctionnement continu, 24 heures sur 24, 7 jours sur 7.

La distinction qui importe n’est pas géographique. Elle est juridique. On peut avoir un data center physiquement situé à Pantin ou à Roubaix, opéré par Amazon ou Microsoft : les données sont sur le sol français, mais l’opérateur est américain, et c’est lui qui tient les clés. En vertu du Cloud Act de 2018, les autorités américaines peuvent contraindre tout fournisseur soumis à leur juridiction à livrer les données qu’il héberge, quelle que soit leur localisation physique, sans en informer l’entreprise cliente. En juin 2025, un représentant de Microsoft l’a dit sans détour devant le Sénat français : «Non, je ne peux pas le garantir.» Ce n’est pas une faille. C’est l’architecture du système.

La réunion du mardi matin

Un cabinet de conseil parisien utilise Otter.ai ou Fireflies — ces outils qui rejoignent automatiquement les réunions Zoom pour transcrire et générer un compte-rendu en quelques minutes. Pratiques, efficaces. Or, ce que personne ne mentionne : la conversation vient d’être envoyée sur des serveurs à San Francisco. Depuis août 2025, Otter.ai fait l’objet d’une action collective portant précisément sur l’utilisation des données de ses utilisateurs pour entraîner ses modèles. Si la réunion portait sur une stratégie d’acquisition ou un litige en cours, la question n’est plus technique, car elle devient déontologique. Et dans les secteurs régulés, elle peut être pénale.

Le secteur bancaire prend acte

La finance a été la première à mesurer le problème — et à tenter de le contourner, souvent à grands frais. Axa a développé son propre «Secure GPT», le Crédit Agricole son «Sécuri’Chat», BNP Paribas héberge en interne des modèles Mistral. UBP Monaco est allée plus loin : interdiction totale de tout outil d’IA générative externe. Chacun réinvente la roue, séparément, à des coûts considérables. Selon Netskope (2026), les données financières représentent 59 % des infractions liées à l’IA générative dans le secteur bancaire. Le cas Samsung est devenu une référence : des ingénieurs ayant collé du code propriétaire dans ChatGPT ont exposé des secrets industriels. L’entreprise a banni l’outil dans la semaine.

Bruxelles bascule. Paris hésite encore.

En avril 2026, la Commission européenne a attribué un marché cloud souverain de 180 millions d’euros à OVHcloud, Scaleway et StackIT — en écartant explicitement AWS, Azure et Google Cloud. Raison : le Cloud Act et la section 702 du FISA créent un risque juridique incompatible avec la protection des données des institutions européennes. Jusqu’ici, 70 % des charges de travail des institutions de l’Union étaient hébergées chez les trois hyperscalers américains. Le basculement est spectaculaire.

En France, la prise de conscience est plus lente. Le Health Data Hub en est l’illustration : dès 2020, l’État savait que confier les données de santé de 67 millions de Français à Microsoft posait un problème insurmontable. Il aura fallu cinq ans pour que Scaleway soit sélectionné pour le remplacer. Cinq ans d’une inconséquence que l’on n’ose pas tout à fait appeler négligence.

La souveraineté n’est pas un repli. C’est une avance.

Le banquier genevois qui me disait «On ne peut pas» avait raison de diagnostiquer le problème. Il avait tort de croire qu’il n’y avait pas d’issue. Des réponses architecturales existent, portées par des acteurs très différents. OVHcloud et Scaleway proposent des infrastructures cloud certifiées SecNumCloud, où aucune loi extraterritoriale ne peut s’appliquer aux données hébergées. Mistral AI, depuis Paris, développe des modèles de langage ouverts, déployables directement sur les serveurs de l’organisation, sans dépendance externe.

Des plateformes comme Rekap.AI vont plus loin encore dans l’intégration métier : enregistrement des réunions, interrogation des documents internes, génération de comptes-rendus — le tout dans un périmètre fermé, avec une option on-premise pour les environnements les plus contraints. Ce que les grands groupes reconstruisent à coup de dizaines de millions, des solutions à échelle humaine permettent désormais de l’opérer pour une PME ou une ETI. La différence de taille ne doit plus être une différence de droits.

La souveraineté des données n’est pas un obstacle à l’adoption de l’IA. Elle en est la condition. Les organisations qui auront résolu cette équation ne seront pas en retard sur la transformation numérique. Elles seront les seules à pouvoir aller là où les autres sont bloquées. Et la question, au fond, n’est pas technique — elle est politique au sens premier du terme : à qui appartient l’intelligence produite dans une organisation ? Peut-on réellement parler d’IA utile en entreprise sans avoir d’abord répondu à cette question ?

César Harari est fondateur de Rekap.AI, plateforme d’intelligence artificielle organisationnelle.