> Guides

Cloud Act, AI Act : où poser votre IA pour rester en règle

Bruxelles a écarté AWS, Azure et Google d'un marché cloud souverain de 180 M€. À 65 jours de l'AI Act, votre stack IA américaine est-elle encore tenable ?

Par La rédaction Décodeur IA · · 7 min de lecture
Carte de l'Europe avec data centers IA et bouclier RGPD

La Commission européenne a fait un choix radical en avril 2026. 180 millions d'euros de contrat cloud souverain attribués à OVHcloud, Scaleway et StackIT, et AWS, Azure, Google Cloud écartés en bloc. Motif explicite : Cloud Act et section 702 du FISA. Au même moment, l'étude Sage-IDC du 20 mai 2026 menée auprès de 2 210 PME révèle que 50 % des dirigeants français perçoivent désormais l'IA comme un risque cyber net, et que seules 2 % se sentent prêtes. Pour vous qui poussez des CV dans ChatGPT ou des contrats dans Claude Business, le problème n'est plus régalien. Il est arrivé à votre porte.

Cloud Act et FISA 702 : ce que vos prestataires américains ne vous diront pas

Le Cloud Act voté en 2018 et la section 702 du FISA, renouvelée jusqu'en 2026, obligent toute entreprise de droit américain à transmettre les données aux autorités fédérales, peu importe où ces données sont physiquement stockées. Azure OpenAI à Paris Centre, AWS Bedrock à Francfort, ChatGPT Enterprise sur datacenters européens d'OpenAI : tous tombent sous cette loi.

La doctrine Kiteworks sur le sujet est claire : le critère n'est pas la localisation des serveurs, c'est la nationalité du contrôle capitalistique de l'opérateur. Une réquisition fédérale via National Security Letter interdit même la notification au client.

Concrètement, quand votre RH glisse 200 CV dans ChatGPT pour pré-trier un poste, ou quand votre commercial pousse un appel d'offres confidentiel dans Claude pour rédiger une proposition, ces données peuvent être réquisitionnées sans préavis. La CNIL a documenté trois procédures ouvertes contre des PME ayant fait exactement cela en 2025. Sanction maximale : 4 % du chiffre d'affaires annuel mondial au titre du RGPD, à laquelle s'ajoutent désormais les amendes AI Act.

L'AI Act du 2 août 2026 : ce que les contrôleurs vont regarder

La phase 2 de l'AI Act post-Omnibus frappe le 2 août. Nous avions détaillé la checklist AI Act post-Omnibus il y a deux semaines ; côté hébergement, voici ce qui s'ajoute réellement.

Pour les systèmes classés haut risque (filtrage CV, scoring crédit, biométrie, infrastructure critique, éducation), les obligations renforcées tombent : journalisation complète, supervision humaine documentée, traçabilité des données d'entraînement, transparence vers l'utilisateur final. La CNIL et l'ARCEP, désigné régulateur IA en France par le décret de mars 2026, vont exiger trois choses sur l'hébergement :

  • Où tournent les modèles d'inférence (pays, juridiction applicable)
  • Quelles données sortent du périmètre européen (volumétrie, sensibilité)
  • Le contrat liant l'opérateur du modèle à votre PME (clauses de non-réutilisation, droit de notification)

Si votre stack est Azure OpenAI ou Claude pour Microsoft 365, vous avez du travail contractuel à faire. Microsoft a mis à jour ses Data Protection Addendum en avril 2026 pour préciser que les prompts utilisateurs ne sont pas utilisés pour réentraîner les modèles, mais le Cloud Act lui-même reste applicable. C'est un correctif marketing, pas juridique.

Combien coûte vraiment l'IA souveraine vs AWS Bedrock pour une PME française

Le mythe de la prime tarifaire souveraine à 30-50 % comme en 2024 est mort. Comparatif à fin mai 2026 sur les usages typiques d'une PME :

  • ChatGPT Plus : 23 €/mois/utilisateur, hébergement OpenAI (US), Cloud Act applicable
  • Le Chat Pro Mistral : 14,99 €/mois/utilisateur, hébergement France/Allemagne, SecNumCloud V3.2 visé
  • Azure OpenAI GPT-4.1 mini : ~0,003 $/1k tokens entrée, France Central, gouvernance contractuelle US
  • Mistral API Medium 3 : 0,40 €/M tokens entrée, datacenter Essonne disponible Q2 2026
  • OVHcloud AI Endpoints (Mixtral 8x22B, Llama 3.3) : ~0,15 €/M tokens, hébergement Roubaix/Gravelines
  • Scaleway Generative APIs : 0,20 à 0,90 €/M tokens selon modèle, datacenters Paris DC4/DC5

À iso-volume, on est dans le même ordre de grandeur. Pour une PME de 30 collaborateurs consommant 5 millions de tokens par jour, la facture mensuelle Mistral tourne autour de 800 € contre 1 100 € chez OpenAI direct. Le différentiel tarifaire n'est plus l'obstacle. La résistance est devenue culturelle, pas économique.

Mistral Compute, l'arme française qui change l'équation

Annoncé en mars 2026, le datacenter Mistral à Bruyères-le-Châtel en Essonne entre en production au second trimestre. L'Usine Digitale rapporte 13 800 chips Nvidia Grace-Blackwell, 44 MW de capacité initiale (100 MW prévus en 2027), financés par un prêt syndiqué de 830 M$ auprès de sept banques européennes. L'opérateur du site, Éclairion, est une société française à capital intégralement européen, avec garantie contractuelle de non-réplication des données hors UE.

En parallèle, LeMagIT documente un second investissement de 1,2 Md€ dans un datacenter en Suède opérationnel en 2027. La capacité combinée fera de Mistral le seul acteur européen capable d'entraîner et de servir des modèles frontière sans dépendance américaine.

Quelle IA souveraine pour quel usage en PME

Segmentation pragmatique à mai 2026, par cas d'usage :

  • Chat interne, brainstorm marketing, rédaction : Le Chat Pro Mistral remplace ChatGPT Plus sans débat
  • RAG sur documents internes : Mistral API + base vectorielle Qdrant ou Pinecone hébergées chez Scaleway IRIS
  • Vision multimodale : Pixtral Large via API Mistral (OCR factures, classification de documents)
  • Embeddings et tâches de masse : BGE-Multilingual ou Voyage 3 hébergés sur OVHcloud AI Endpoints
  • Agents IA orchestrés : Mistral Medium 3 + Make (data residency Frankfurt) ou n8n self-hosted sur Scaleway

La limite reste réelle. Sur les benchmarks 2026 (HumanEval, MMLU-Pro, SWE-bench), Claude Opus 4.7 et GPT-5.5 conservent un écart de 8 à 12 points sur les tâches de raisonnement long et de code complexe. Pour 80 % du quotidien PME — synthèse de réunion, rédaction commerciale, analyse de contrat, support client niveau 1 — Mistral Medium 3 fait le job. Pour les 20 % restants (reasoning poussé, code IDE, agents multi-étapes), c'est plus serré.

Souverain washing : le piège marketing qui peut vous coûter cher

« Hébergé en France » ne suffit pas. Snowflake France, Salesforce Hyperforce Paris, AWS Paris, Azure France Central : tous hébergés physiquement en France, tous soumis au Cloud Act. La doctrine Schrems II de 2020 et l'article 48 du RGPD le confirment.

Le critère légal reste la nationalité du contrôle capitalistique de l'opérateur. Les vrais souverains à mai 2026 :

  • OVHcloud (Roubaix, coté Euronext Paris, fondateurs majoritaires)
  • Scaleway (groupe Iliad, Xavier Niel)
  • Outscale (Dassault Systèmes, SecNumCloud certifié)
  • Numspot (Docaposte, Bouygues Telecom, Dassault Systèmes, Banque des Territoires)
  • S3NS (Thales avec Google, gouvernance et opérations 100 % FR, qualification SecNumCloud en cours)
  • Mistral Compute (capital français et nordique)

Le label de référence reste SecNumCloud V3.2 délivré par l'ANSSI. Bleu (Microsoft-Capgemini-Orange) et S3NS visent la qualification sans encore l'avoir obtenue à ce jour. Sans SecNumCloud ou équivalent, vous portez personnellement la charge de la preuve en cas de contrôle.

Votre feuille de route avant le 2 août 2026

Cinq étapes concrètes, testées chez plusieurs PME accompagnées ces derniers mois :

  1. Cartographier les usages IA actuels. On découvre régulièrement 8 à 12 outils en parallèle dans une PME de 50 collaborateurs. C'est du shadow AI documenté qu'il faut sortir de l'ombre avant l'inspection.
  2. Classer par sensibilité de données. RH, santé, finance, propriété intellectuelle, données clients identifiables : ces flux sortent des US sans négociation.
  3. Tester 2-3 modèles FR/UE en parallèle sur vos cas réels. Mistral + OVHcloud AI Endpoints + Scaleway sur deux semaines, avec mesures précises de qualité et de latence.
  4. Migrer les flux critiques d'abord. Gardez les modèles US pour les usages non sensibles (brainstorming générique, traduction publique). Isolez par DLP sortant.
  5. Documenter dans la charte IA selon le modèle CNIL d'avril 2026. C'est ce que l'inspecteur va lire en premier.

Pour orchestrer la bascule sans casser vos automatisations existantes, Make propose désormais une option de data residency Frankfurt et un connecteur natif vers l'API Mistral. C'est le pont le plus court entre vos workflows actuels et un back-end souverain.

Notre avis tranché

Pour 80 % des usages IA en PME, Mistral Le Chat Pro associé à l'API Mistral tient la route à 14,99 €/utilisateur/mois. C'est 35 % moins cher que ChatGPT Plus, hébergé en UE, et la qualité est suffisante pour la rédaction, la synthèse, le support et l'analyse de documents non sensibles. Si vous touchez à de la donnée sensible (RH, santé, finance, IP industrielle), le passage au souverain n'est plus une posture philosophique : c'est un risque légal direct, chiffré à 4 % du CA annuel par l'AI Act et le RGPD cumulés.

Pour les workflows complexes (reasoning, code, agents poussés), gardez Claude ou GPT-5.5 sur des données strictement non sensibles, isolez par DLP, et préparez votre plan B Mistral pour le jour où la CJUE invalidera le Data Privacy Framework — procédure en cours depuis 2024 selon le décryptage de Maddyness. Et oubliez le mythe « hébergé en France » : seule la nationalité du contrôle capitalistique compte.

FAQ

Une PME française peut-elle légalement utiliser ChatGPT en 2026 ?
Oui pour des usages non sensibles, sans données personnelles ni informations confidentielles. Pour la RH, la santé, la finance ou la propriété intellectuelle, la combinaison Cloud Act + AI Act haut risque rend l'usage juridiquement intenable. La CNIL recommande explicitement Le Chat Mistral pour ces cas dans sa note d'avril 2026 sur l'IA générative en entreprise.
Mistral Compute est-il accessible aux PME ou réservé aux grands comptes ?
Le PaaS de Mistral Compute ouvre en juin 2026 avec un tarif à l'usage accessible dès quelques centaines d'euros mensuels via API. Le Bare Metal sur GPU Grace-Blackwell reste réservé aux grands comptes (minimum 50 000 €/mois). Pour la majorité des PME, l'API Mistral hébergée sur Mistral Compute suffit largement et tarifie à l'usage.
OVHcloud AI Endpoints propose-t-il une vraie alternative à Azure OpenAI ?
Oui sur les usages standards (chat, RAG, embeddings) avec Mixtral 8x22B, Llama 3.3 et Pixtral. La latence est équivalente, le prix 30-40 % inférieur, et l'hébergement Roubaix/Gravelines est en cours de qualification SecNumCloud V3.2. Sur les tâches de reasoning avancé ou de code complexe, l'écart se creuse avec GPT-5.5 et il faut accepter de basculer sur Mistral Large 3.
Faut-il auto-héberger Mistral on-premise pour être en règle avec l'AI Act ?
Non sauf usages très sensibles (santé hospitalière, défense, OIV). Pour 95 % des PME, l'API Mistral hébergée en France ou Le Chat Pro suffit. L'auto-hébergement implique un GPU H100 ou H200 à 30 000 €+, des compétences MLOps internes et des coûts d'opération qui dépassent vite l'API managée. Le ROI se fait à partir de plusieurs millions de requêtes mensuelles.
Combien coûte la migration d'AWS vers Scaleway pour une PME ?
Sur un scope IA seul (sans tout l'écosystème data), comptez 8 à 15 jours de prestation pour une PME de 50 personnes, soit 8 000 à 20 000 €. Le retour sur investissement se fait en 12 à 18 mois grâce au différentiel tarifaire et à la couverture juridique gagnée. Pour un scope data complet (S3, lambda, RDS), c'est un projet de 4 à 6 mois à 50 000-150 000 €.
Partager
★ Pack PME · 49 €

Vous avez aimé cet article ? Allez plus loin.

Le pack qui complète la théorie : 30 prompts + workflows actionnables, pas un autre cours en ligne.

Découvrir le pack →
Vous aimerez aussi
Balance de justice avec d'un côté un pinceau humain, de l'autre une puce IA, symbolisant le flou juridique du droit d'auteur sur les contenus générés par intelligence artificielle
Guides 9 min

Votre logo IA n'appartient à personne — et c'est un problème

Un contenu 100 % IA n'a aucun droit d'auteur en France. Voici ce que ça change pour votre PME et comment protéger vos créations.

23 mai 2026 Lire le guide →
Document de charte IA posé sur un bureau avec un cadenas numérique
Guides 10 min

Pas de charte IA dans votre PME ? Trois bombes à retardement

CNIL, AI Act et assureurs exigent une charte IA. 75 % des PME n'en ont pas. Guide complet pour rédiger la vôtre en 4 semaines.

18 mai 2026 Lire le guide →
Checklist de conformité AI Act posée sur un bureau avec un drapeau européen en arrière-plan
Guides 9 min

AI Act post-Omnibus : 79 jours pour mettre votre PME en règle

L'AI Omnibus du 7 mai 2026 repousse certaines échéances et étend les allègements PME. Checklist concrète pour être prêt le 2 août.

15 mai 2026 Lire le guide →
Résumé vidéoen cours…