Guide de souveraineté pour l'IA 2026 : comment exécuter (de manière éthique) des charges de travail liées à l'IA générative dans l'UE

La souveraineté est un concept qui peut présenter des nuances dans la manière dont il est actuellement utilisé par les États et l'industrie pour décrire certains services.

Le terme « autonomie stratégique » a également été utilisé pour décrire la nécessité pour les gouvernements de s’assurer qu’ils contrôlent l’ensemble de la chaîne de valeur (ou du moins qu’ils en connaissent les lacunes et en acceptent les risques) et qu’ils peuvent appliquer leurs règles tant que cela relève de leur juridiction (le mot « autonomie » vient du grec autos, « soi-même », et nomos, « règle »).

Les entreprises pourraient appliquer les mêmes principes à leur niveau, en parlant d’« autonomie organisationnelle » ou, plus couramment, en garantissant la continuité du service en cas de défaillance d’un fournisseur (c’est-à-dire la résilience).

Cela dit, les développeurs ont un rôle important à jouer, car certains choix technologiques peuvent être « à l’épreuve du temps » face aux réglementations à venir. Une partie de la réponse consiste à tirer parti de l’open source pour construire ta solution et à faire appel à des fournisseurs favorisant la portabilité et l’interopérabilité afin de minimiser les efforts de migration. 

Cela s’applique à tout type de charge de travail, y compris l’IA. Comme ce domaine évolue très rapidement, il est d’autant plus nécessaire d’être vigilant quant aux services utilisés pour éviter l’enfermement propriétaire lorsqu’on construit des services technologiques par-dessus. 

Souveraineté en matière d’IA : comment les choses évoluent

« Un principe fondamental de l’« IA souveraine » est la volonté d’un État-nation de contrôler le développement, la modélisation et l’utilisation des systèmes et techniques d’IA, en réduisant sa dépendance vis-à-vis de l’innovation et des talents d’autres pays, ainsi que son recours aux fournisseurs mondiaux. » – Gartner

Dans certains cas, cette ambition pourrait être partagée par plusieurs États membres au sein d’un même espace économique, comme c’est actuellement le cas dans l’Union européenne, avec une ambition renouvelée décrite le 18 novembre par des responsables allemands et français lors du sommet européen sur la souveraineté numérique à Berlin.

Les gouvernements s’y intéressent de plus en plus, car le marché s’oriente vers une utilisation intensive de l’IA dans un avenir très proche : Gartner prévoit que « d’ici 2027, 50 % des décisions commerciales auront été améliorées ou automatisées par des agents IA dédiés à l’intelligence décisionnelle », mais cette adoption se ferait de manière très réglementée, car « d’ici 2027, 35 % des pays seront liés à des plateformes IA spécifiques à leur région ».

L'Europe a toujours été à la pointe de la réglementation en matière de protection des données, et elle renforce cette réglementation à mesure que l'utilisation de l'IA s'intensifie grâce à l'apprentissage et à l'exploitation des données des utilisateurs. 

Principaux aspects à prendre en compte lors de la mise en œuvre de l'IA dans les produits en Europe :

• Transparence : documenter quelles données et quels modèles sont utilisés, et comment les décisions sont prises ;
• Juridiction : garantir la résidence et le contrôle des données sans qu’elles ne sortent des frontières de l’UE.
• Gestion des risques : selon l’usage prévu, l’IA peut être considérée comme à haut risque et nécessiterait des mesures supplémentaires (amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial).

Ces éléments sont encore en évolution, la Commission européenne ayant récemment publié le projet de « Digital Omnibus », qui vise à simplifier l'interaction entre les différentes législations élaborées ces dernières années. 

Même si certaines dispositions relatives à l'IA sont reportées, l'esprit de la loi restera le même et les décisions d'architecture logicielle devront toujours être prises en conséquence pour éviter de futures irrégularités.

Construire étape par étape dans un environnement en constante évolution

Travailler avec plusieurs modèles pour comparer les performances est devenu la norme, car ça se situe à un niveau d'abstraction plus élevé. 

Cependant, travailler avec plusieurs fournisseurs de services cloud dans différentes régions pour garantir la résilience reste une tâche chronophage.

→ Permettre aux entreprises de choisir où exécuter leurs charges de travail, avec différents fournisseurs de cloud sous-jacents, crée de nouvelles opportunités de développement international sans compromettre la sécurité – d’un point de vue juridictionnel – ni la conformité – car certaines exigences peuvent être liées à des zones géographiques. 

Utiliser l’IA pour renforcer les capacités des développeurs internes à créer de nouvelles applications expose les services informatiques qui doivent, plus que jamais, gérer des applications existantes pouvant être considérées comme obsolètes et susceptibles d’être dépréciées lorsqu’elles utilisent des technologies plus anciennes. Tirer parti d’une plateforme d’applications cloud dotée d’outils d’observabilité intégrés peut également soutenir des stratégies telles que « lift and shift puis optimiser », ou s’engager directement dans un processus de modernisation des applications visant à ne changer que les composants nécessaires pour les faire fonctionner à la pointe de la technologie.

En résumé, l’utilisation d’une plateforme moderne comme Upsun te permet :

• De créer des environnements spécifiques à chaque région à l’aide d’un seul fichier de configuration (.upsun/config.yaml) en utilisant des fournisseurs locaux approuvés comme OVHcloud pour l’UE.
• De tester la conformité en matière de souveraineté dans des environnements de test isolés.
• De générer automatiquement la documentation de conformité à partir des pistes d’audit et des journaux d’activité disponibles.
• Passer d’une région à l’autre sans avoir à reconstruire, en fonction des besoins du client final.
• Accélérer la modernisation des applications, car il n'y a pas de souveraineté sans contrôle sur un portefeuille d'applications à jour.