Souveraineté IA 15 outils analysés Mai 2026

Où vivent vraiment vos outils IA

Vous utilisez ChatGPT, Claude ou Mistral. Mais qui contrôle juridiquement ces services, où passent réellement vos données, et quelles lois étrangères peuvent les atteindre ? Cette analyse cartographie 15 outils IA selon leur dépendance souveraine — entité juridique, infrastructure cloud, sous-traitants, transferts hors UE, applicabilité du CLOUD Act et du RGPD post-Schrems II.

En construction 1 fiche détaillée publiée : ChatGPT 14 outils sourcés au fil de l'eau Sources vérifiées humainement

01 — La carte

15 outils, trois juridictions, un déséquilibre net

Chaque point représente un outil IA, placé sur le pays de son entité juridique parente — l'entité qui détient le contrôle ultime, pas forcément celle qui signe avec vous. Survolez pour voir l'entité, cliquez pour ouvrir la fiche détaillée (disponible pour ChatGPT, en cours pour les 14 autres).

Carte interactive — JavaScript requis. Vue par zone juridictionnelle disponible plus bas.
Souverains EU/FR Sous juridiction US (CLOUD Act) Sous juridiction CN (Data Security Law) Fiche Fiche détaillée disponible

Carte juridictionnelle — pas un routage réseau. Elle affirme la chaîne de responsabilité légale, pas le chemin physique des paquets.

02 — Vue par zone

Le détail outil par outil

La même donnée, en grille comparative. Utile pour scanner les scores et les entités parentes quand on veut juger plusieurs outils en parallèle.

🇪🇺 Souverains EU/FR

Sous juridiction européenne

RGPD pleinement applicable. Pas de loi extra-territoriale étrangère sur les données.

4 outils

Mistral AI

FR · open source · hosting France

10 / 10 Fiche à venir

n8n

DE · open source · self-hostable

10 / 10 Fiche à venir

Kraaft

FR · BTP terrain

9 / 10 Fiche à venir

Praxedo

FR · gestion intervention

9 / 10 Fiche à venir
🇺🇸 Sous juridiction US

CLOUD Act applicable

Les autorités US peuvent exiger les données détenues par ces entreprises, même hébergées hors US. RGPD secondé par les SCCs (Schrems II).

9 outils
Fiche

ChatGPT

US · OpenAI OpCo, LLC

0 / 10

Claude

US · Anthropic, PBC

0 / 10 Fiche à venir

Gemini

US · Google LLC

0 / 10 Fiche à venir

GitHub Copilot

US · GitHub / Microsoft

0 / 10 Fiche à venir

Notion AI

US · sub-Anthropic + OpenAI

— / 10 Fiche à venir

Perplexity

US · Perplexity AI

— / 10 Fiche à venir

ElevenLabs

US/UK · entité non-tranchée

— / 10 Fiche à venir

Descript

US · Descript Inc.

— / 10 Fiche à venir

Midjourney

US · Midjourney Inc.

0 / 10 Fiche à venir
🇨🇳 Sous juridiction CN

Data Security Law

Loi sur la sécurité des données (2021) et art. 7 de la Loi sur le renseignement national. Auto-hébergement requis pour usage UE.

2 outils

DeepSeek

CN · DeepSeek AI

4 / 10 Fiche à venir

Qwen

CN · Alibaba Cloud

— / 10 Fiche à venir

03 — Comprendre

Pour lire ce panorama sans se faire avoir

Comment lire une fiche outil

Chaque fiche déplie quatre axes : l'entité juridique (qui contracte avec vous, qui détient le contrôle ultime), l'infrastructure (cloud providers, datacenters), les sous-traitants (qui d'autre traite vos données pour le compte de l'éditeur), et les transferts hors UE (vers où, avec quelle base légale RGPD).

Le décalage entre l'entité signataire des conditions et l'entité qui détient le contrôle capital est le premier signal souveraineté. Pour ChatGPT, le contrat passe par l'Irlande (OpenAI Ireland Ltd.) mais le contrôle reste à San Francisco (OpenAI OpCo, LLC, Delaware). Le DPA prévoit explicitement des transferts intra-groupe vers les États-Unis.

Le score de souveraineté, en clair

Le score sur 10 agrège quatre facteurs publics et auditables :

conformité RGPD +3 ·
open source +2 ·
hosting EU/FR +5 ·
juridiction UE +1 ·
total capé à 10

Un outil US sans hosting EU et sans open source est mécaniquement à zéro. Ce n'est pas une attaque éditoriale : c'est l'arithmétique du critère souveraineté tel que le posent Schrems II et le RGPD post-2020. Code de la formule : /assets/sovereignty-score.js.

Pourquoi ça compte (et pour qui)

Trois publics sont directement concernés. Les DSI et RSSI de PME qui doivent documenter leurs sous-traitants RGPD et démontrer la base légale de tout transfert hors UE. Les dirigeants de secteurs régulés (santé, finance, défense, secteurs OIV/OSE) pour qui le CLOUD Act est un risque de conformité immédiat.

Et plus largement, toute organisation qui intègre l'IA générative dans des workflows manipulant des données personnelles, des secrets industriels ou des informations stratégiques. L'arrêt Schrems II (CJUE, juillet 2020) a invalidé le Privacy Shield précisément parce que le FISA Section 702 et le CLOUD Act offraient aux autorités US un accès incompatible avec les protections RGPD. Ce diagnostic n'a pas changé.

Méthodologie et limites

Sourcing manuel exclusivement : aucun scraping, aucun LLM en production. Toutes les sources sont ouvertes humainement (Privacy Policy, DPA, sub-processors list, Trust Center, registre légal) et marquées verified=true dans data/souverainete-sources.json. Un validator scripts/validate-souverainete.js bloque toute publication si une source référencée n'a pas été vérifiée.

Limites assumées : certaines URL (sub-processors lists, trust portals) ne sont accessibles qu'authentifié — elles sont marquées « to-verify-by-human » et complétées manuellement. Re-vérification systématique tous les six mois (les URLs vivantes peuvent muter ou disparaître). Toute approximation est explicite dans la fiche, jamais masquée.

Première fiche détaillée

ChatGPT — anatomie juridictionnelle complète

Entité parent US, contractante Irlandaise, 4 cloud providers américains, 5 sous-traitants confirmés, 3 transferts EEA/UK→US sous SCCs, applicabilité CLOUD Act et FISA Section 702, posture EU-US Data Privacy Framework. 11 sources officielles vérifiées humainement.

Lire la fiche ChatGPT