Souveraineté

Snapshot mai 2026 · 15 outils analysés

OÙ VIVENT
VOS OUTILS IA

Vous utilisez ChatGPT, Claude ou Mistral. Mais qui contrôle juridiquement ces services, où passent réellement vos données, et quelles lois étrangères peuvent les atteindre ? Cette analyse cartographie 15 outils IA selon leur dépendance souveraine — entité juridique, infrastructure cloud, sous-traitants, transferts hors UE, applicabilité du CLOUD Act et du RGPD post-Schrems II.

15 outils analysés 1 fiche détaillée : ChatGPT Sources vérifiées humainement Snapshot daté

01 — La carte

15 outils, trois juridictions, un déséquilibre net

Chaque point représente un outil IA, placé sur le pays de son entité juridique parente — l'entité qui détient le contrôle ultime, pas forcément celle qui signe avec vous. Survolez pour voir l'entité, cliquez pour ouvrir la fiche détaillée (fiche détaillée disponible pour ChatGPT ; les autres outils restent visibles avec leur entité parente).

Carte interactive — JavaScript requis. Vue par zone juridictionnelle disponible plus bas.
Souverains EU/FR Sous juridiction US (CLOUD Act) Sous juridiction CN (Data Security Law) Fiche Fiche détaillée disponible

Carte juridictionnelle — pas un routage réseau. Elle affirme la chaîne de responsabilité légale, pas le chemin physique des paquets.

02 — Vue par zone

Le détail outil par outil

La même donnée, en grille comparative. Utile pour scanner les scores et les entités parentes quand on veut juger plusieurs outils en parallèle.

🇪🇺 Souverains EU/FR

Sous juridiction européenne

RGPD pleinement applicable. Pas de loi extra-territoriale étrangère sur les données.

4 outils

Mistral AI

FR · open source · hosting France

10 / 10

n8n

DE · open source · self-hostable

10 / 10

Kraaft

FR · BTP terrain

9 / 10

Praxedo

FR · gestion intervention

9 / 10
🇺🇸 Sous juridiction US

CLOUD Act applicable

Les autorités US peuvent exiger les données détenues par ces entreprises, même hébergées hors US. RGPD secondé par les SCCs (Schrems II).

9 outils
Fiche

ChatGPT

US · OpenAI OpCo, LLC

0 / 10

Claude

US · Anthropic, PBC

0 / 10

Gemini

US · Google LLC

0 / 10

GitHub Copilot

US · GitHub / Microsoft

0 / 10

Notion AI

US · sub-Anthropic + OpenAI

— / 10

Perplexity

US · Perplexity AI

— / 10

ElevenLabs

US/UK · entité non-tranchée

— / 10

Descript

US · Descript Inc.

— / 10

Midjourney

US · Midjourney Inc.

0 / 10
🇨🇳 Sous juridiction CN

Data Security Law

Loi sur la sécurité des données (2021) et art. 7 de la Loi sur le renseignement national. Auto-hébergement requis pour usage UE.

2 outils

DeepSeek

CN · DeepSeek AI

4 / 10

Qwen

CN · Alibaba Cloud

— / 10

03 — Comprendre

Pour lire ce panorama sans se faire avoir

Comment lire une fiche outil

Chaque fiche déplie quatre axes : l'entité juridique (qui contracte avec vous, qui détient le contrôle ultime), l'infrastructure (cloud providers, datacenters), les sous-traitants (qui d'autre traite vos données pour le compte de l'éditeur), et les transferts hors UE (vers où, avec quelle base légale RGPD).

Le décalage entre l'entité signataire des conditions et l'entité qui détient le contrôle capital est le premier signal souveraineté. Pour ChatGPT, le contrat passe par l'Irlande (OpenAI Ireland Ltd.) mais le contrôle reste à San Francisco (OpenAI OpCo, LLC, Delaware). Le DPA prévoit explicitement des transferts intra-groupe vers les États-Unis.

Le score de souveraineté, en clair

Le score sur 10 agrège quatre facteurs publics et auditables :

conformité RGPD +3 ·
open source +2 ·
hosting EU/FR +5 ·
juridiction UE +1 ·
total capé à 10

Un outil US sans hosting EU et sans open source est mécaniquement à zéro. Ce n'est pas une attaque éditoriale : c'est l'arithmétique du critère souveraineté tel que le posent Schrems II et le RGPD post-2020. Code de la formule : /assets/sovereignty-score.js.

Pourquoi ça compte (et pour qui)

Trois publics sont directement concernés. Les DSI et RSSI de PME qui doivent documenter leurs sous-traitants RGPD et démontrer la base légale de tout transfert hors UE. Les dirigeants de secteurs régulés (santé, finance, défense, secteurs OIV/OSE) pour qui le CLOUD Act est un risque de conformité immédiat.

Et plus largement, toute organisation qui intègre l'IA générative dans des workflows manipulant des données personnelles, des secrets industriels ou des informations stratégiques. L'arrêt Schrems II (CJUE, juillet 2020) a invalidé le Privacy Shield précisément parce que le FISA Section 702 et le CLOUD Act offraient aux autorités US un accès incompatible avec les protections RGPD. Ce diagnostic n'a pas changé.

Méthodologie et limites

Sourcing manuel exclusivement : aucun scraping, aucun LLM en production. Toutes les sources sont ouvertes humainement (Privacy Policy, DPA, sub-processors list, Trust Center, registre légal) et marquées verified=true dans data/souverainete-sources.json. Un validator scripts/validate-souverainete.js bloque toute publication si une source référencée n'a pas été vérifiée.

Limites assumées : certaines URL (sub-processors lists, trust portals) ne sont accessibles qu'authentifié — elles sont marquées « to-verify-by-human » et complétées manuellement. Re-vérification systématique tous les six mois (les URLs vivantes peuvent muter ou disparaître). Toute approximation est explicite dans la fiche, jamais masquée.

Fiche détaillée disponible

ChatGPT — anatomie juridictionnelle complète

Entité parent US, contractante Irlandaise, 4 cloud providers américains, 5 sous-traitants confirmés, 3 transferts EEA/UK→US sous SCCs, applicabilité CLOUD Act et FISA Section 702, posture EU-US Data Privacy Framework. 11 sources officielles vérifiées humainement.

Lire la fiche ChatGPT