IA juridique de l’État : une solution dite souveraine… mais hébergée chez AWS

Le gouvernement se félicite d’une lettre d’intention avec Doctrine pour doter les juristes de l’État d’une « solution d’IA juridique française, souveraine et sécurisée ». Les mots sont impeccables, les acteurs alignés, le calendrier posé jusqu’en 2030. Reste une question que les DSI connaissent trop bien : peut-on parler de souveraineté quand le cœur de l’infrastructure reste entre les mains d’un hyperscaler américain ?

«L’autonomie numérique stratégique au niveau de l’État, c’est quel numéro ? » La question d’Alain Issarni, ancien DSI de l’État et l’homme qui a fait sortir Microsoft Office de la DGFiP, va plus loin qu’une simple saillie rhétorique. Elle revient en boucle à la lecture du communiqué ministériel sur l’IA juridique que l’État entend déployer pour ses propres juristes. Sur le papier, l’histoire est parfaite. Dans les serveurs, les contrats et les lois applicables, elle l’est beaucoup moins.

Les mots du communiqué, le poids des câbles

Le ministre délégué à la Fonction publique, David Amiel, annonce la signature d’une lettre d’intention avec Doctrine, présenté comme « champion français de l’IA appliquée au droit », pour « doter les juristes de l’État d’une solution d’IA juridique française, souveraine et sécurisée ». Le récit est huilé : il s’agit d’équiper les fonctions juridiques de l’État — administration centrale, services déconcentrés, opérateurs — en outils de recherche, d’analyse et de rédaction fondés sur l’IA ; d’accompagner ces déploiements par une stratégie de formation adaptée ; de « garantir une souveraineté numérique forte », notamment via l’utilisation de modèles européens ou français pour les cas sensibles et grâce à « un hébergement conforme aux exigences de sécurité de l’État » ; de définir enfin un cadre contractuel durable, avec préparation d’un accord-cadre d’ici mi 2026, premiers cas d’usage opérationnels en 2026-2027 et généralisation progressive entre 2027 et 2030. Avec au passage, l’appui d’Anne Le Hénanff, ministre déléguée chargée du Numérique.

Doctrine, AWS et une souveraineté introuvable

Doctrine est une entreprise française reconnue, déjà utilisée par plusieurs ministères. Mais la solution qu’elle opère repose aujourd’hui sur des infrastructures AWS en Europe. Concrètement, les recherches, les analyses et demain, les raisonnements des juristes de l’État s’exécuteront au-dessus d’un cloud américain, soumis au Cloud Act et au FISA, même si les serveurs sont physiquement localisés à Francfort. On pourra toujours invoquer le chiffrement, la segmentation des usages, l’emploi de modèles européens pour les « cas sensibles », les audits et les clauses contractuelles. Reste l’arbitrage fondamental : pour faire tourner cette « solution d’IA juridique française, souveraine et sécurisée », l’État s’en remet une fois de plus à un fournisseur d’infrastructure qu’il ne maîtrise ni techniquement ni juridiquement. Comme le résume Michel Paulin, ancien directeur général d’OVHcloud et figure des débats sur la souveraineté numérique : « Il est fort regrettable que l’État lui aussi utilise à tort et à travers le vocable de solution “souveraine”. Prétendre choisir une solution “souveraine” alors qu’elle est hébergée chez un acteur soumis au Cloud Act et au FISA pour une IA juridique d’État, c’est surprenant. Faut-il en déduire que les données juridiques de l’État français ne sont pas considérées comme sensibles ? » On peut appeler cela un compromis. Le présenter comme une « souveraineté numérique forte » relève d’un tour de passe-passe que les DSI, eux, n’ont plus le luxe de se permettre.

Un roman déjà connu des dépendances de l’État

Cet épisode ne surgit pas dans le vide. Il s’inscrit dans un roman que les DSI du secteur public connaissent par cœur. Il y a eu le Health Data Hub, grande plateforme de données de santé bâtie sur un cloud américain, avec la promesse, en 2020, de « faire disparaître complètement » le risque lié à un opérateur extraeuropéen, promesse sans cesse repoussée. Il y a eu les suites bureautiques et collaboratives des géants américains, confortablement installées au cœur de l’Éducation nationale et de l’enseignement supérieur, avant que le ministère ne rappelle, tardivement, que les offres gratuites ne sont ni neutres ni compatibles avec la commande publique. Il y a eu la complémentaire santé des agents du ministère des Finances, confiée à une licorne française elle-même hébergée sur AWS. À chaque fois, Alain Issarni pointe la même mécanique : un besoin réel et pressant ; la solution la plus mûre, souvent arrimée à un hyperscaler non européen ; puis un discours de souveraineté, construit après coup pour expliquer que, malgré tout, « le risque est maîtrisé ». Du côté des éditeurs français, la réaction est tout aussi vive. Alain Garnier, fondateur et CEO de Jamespot, éditeur tricolore de plateformes collaboratives, le dit sans détour : « Comment expliquer ces choix, annoncés à grand renfort de communication ? Quel est l’agenda politique derrière, au point de transgresser pour l’État profond et sensible ce qui est aujourd’hui identifié comme un risque majeur ? » Et de résumer le malaise en une formule : « On finit par avoir une impression très désagréable de deux poids, deux mesures : d’un côté, on explique aux acteurs publics qu’il faut sortir de la dépendance ; de l’autre, l’État transgresse lui-même des règles qu’il présente comme vitales pour tout le monde. »

SecNumCloud écrit, pratique contournée

Pendant ce temps, la doctrine officielle s’est considérablement affermie. Avec la doctrine « Cloud au centre » de la DINUM et le référentiel SecNumCloud de l’ANSSI, l’État a lui-même fixé un cadre qui ne se résume ni à la localisation en Europe ni à quelques certifications ISO. La doctrine rappelle noir sur blanc que, pour chaque produit numérique manipulant des données dont la violation pourrait porter atteinte à l’ordre public, à la sécurité publique, à la santé, à la vie des personnes ou à la propriété intellectuelle, l’offre de cloud retenue doit impérativement être qualifiée SecNumCloud (ou équivalent européen) et être immunisée contre tout accès non autorisé par des autorités d’État tiers. Dans ce cadre, une solution reposant sur AWS, même installée à Francfort et entourée de toutes les clauses du monde, ne pourra pas être qualifiée SecNumCloud. Ce n’est pas un jugement moral, c’est un simple constat. Les DSI publics, eux, vivent déjà avec ces contraintes : ils cartographient leurs données, définissent des niveaux de sensibilité, réservent certains périmètres à des offres qualifiées, négocient des clauses de sortie réalistes, arbitrent entre performance, coût et exposition réglementaire. Pendant ce temps, la communication politique continue de parler de « souveraineté numérique forte » pour des montages qui prolongent précisément la dépendance qu’ils prétendent corriger.

Ce que les DSI n’ont plus le droit d’oublier

L’accord annoncé autour de l’IA des juristes de l’État n’est pas, en soi, un mauvais projet. Mieux outiller les agents, fluidifier la recherche juridique, améliorer la qualité des écrits, c’est indispensable. Le problème n’est ni l’IA, ni Doctrine, ni même AWS pris isolément. Le problème, c’est la cohérence. Cohérence entre les discours sur l’autonomie stratégique et les choix d’infrastructure. Cohérence entre les doctrines publiées par l’ANSSI et de la DINUM et les pratiques concrètes des acheteurs publics. Cohérence, enfin, entre ce que l’on demande aux DSI — publics comme privés — et ce que l’État s’applique à lui-même. Alain Issarni n’est pas un théoricien de plus : il a piloté de l’intérieur la sortie d’Office à la DGFiP, il sait ce que coûte, politiquement et humainement, une rupture de dépendance. Lorsqu’il alerte sur notre propension à « marcher sur la tête » en multipliant les contrats avec des hyperscalers tout en parlant de souveraineté, il ne fait pas un procès d’intention : il décrit une mécanique qu’il a vu se répéter, ministère après ministère. En signant une lettre d’intention pour une IA juridique « française, souveraine et sécurisée » hébergée sur un cloud américain, l’État rejoue une fois de plus la même scène. Peut-être est-il temps, justement, de changer de pièce.

Doctrine : souveraineté, promesses et grand écart

Contactée par nos soins, la legaltech a sorti le grand jeu. Doctrine présente son partenariat avec l’État comme « une excellente nouvelle pour la transformation de nos services publics » et déroule tous les gages possibles : certification ISO 27001, « accompagnement renforcé » par la CNIL, hébergement « exclusivement en Europe », données pseudonymisées et chiffrées, 25 000 professionnels du droit, moitié du CAC 40 et plusieurs ministères déjà clients. Sur la souveraineté, elle distingue doctement l’IA qui ne traiterait que des données publiques – donc sans sujet, selon elle – et, pour les documents privés sensibles, des engagements futurs de conformité à SecNumCloud et à l’article 31 de la loi SREN, « dès que le décret sera publié ».

Sauf qu’au milieu de cette démonstration, un élément clé disparaît : le nom du fournisseur de cloud. Dans d’autres documents publics, Doctrine revendique pourtant un hébergement de ses données et de ses services sur des serveurs AWS à Francfort. Autrement dit, un hyperscaler américain soumis au droit américain, quelle que soit la localisation physique des data centers.

Là est le cœur du problème. Si l’on prend au sérieux la doctrine gouvernementale « Cloud au centre » et l’article 31 de la loi SREN, le traitement d’IA appliqué à des données sensibles de l’État doit être opéré sur un cloud souverain : infrastructure interne ou offre de « cloud de confiance » qualifiée SecNumCloud, protégée des lois extraterritoriales. Promettre que l’on « travaillera activement » à s’y conformer demain, tout en continuant aujourd’hui à faire tourner l’IA sur AWS, revient à demander un blanc-seing sur la base d’engagements encore purement incantatoires.

Le parallèle avec le dossier EDF/AWS est difficile à éviter : là aussi, la communication officielle mettait en avant la souveraineté, pendant que des systèmes très sensibles reposaient sur un cloud américain, jusqu’à ce que la controverse force un rétropédalage et une réorientation vers un cloud de confiance. Doctrine rejoue le même scénario, en y ajoutant une couche capitalistique : la société affirme n’être « absolument pas soumise aux lois extraterritoriales » alors qu’elle a été rachetée en 2023 par le fonds américain Summit Partners, devenu actionnaire majoritaire, aux côtés de Peugeot Invest.

Tant que l’IA juridique proposée à l’État tourne sur AWS et qu’un fonds américain tient la majorité du capital, les promesses de « compliance SecNumCloud » relèvent moins d’une stratégie de souveraineté assumée que d’un exercice de communication. Au lecteur – et aux DSI publics – de juger si cela suffit pour parler, sérieusement, de cloud souverain.

À LIRE AUSSI :

Gouvernance

Entre Cigref, collectivités et éditeurs, 50 nuances de souveraineté IT en débat

Thierry Derouet

26 Sep

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !