Red Hat peine à convaincre sur la souveraineté numérique

Red Hat, qui n'opère pas directement d'infrastructures cloud - c'est IBM qui porte l'offre commune Sovereign Core - tente d'élargir la notion de souveraineté numérique au-delà de la simple conformité réglementaire pour englober l'indépendance vis-à-vis des fournisseurs, le contrôle de l'IA et l'autonomie opérationnelle.

Lors de son Summit 2026 à Atlanta (du 11 au 14 mai) Red Hat a annoncé des capacités de cloud souverain et privé qui élargissent la notion de souveraineté pour y inclure l’indépendance vis-à-vis des fournisseurs, le contrôle de l’IA et l’autonomie opérationnelle. Red Hat tente ainsi de repositionner la souveraineté numérique, la faisant passer d’une simple question de conformité pour les organisations publiques et privées européennes à une priorité stratégique mondiale pour toutes les entreprises, y compris les sociétés américaines, qui souhaitent un plus grand contrôle sur leurs briques applicatives. Ces capacités comprennent une mise en conformité avec les cadres réglementaires de l’UE, des environnements prêts pour la production, une interface de provisionnement de services pour l’IA et le cloud souverain, une télémétrie sur site pour la souveraineté des données, la localisation des distributions Red Hat Enterprise Linux pour l’UE, ainsi qu’un support premium pour les clients européens (annoncé en 2025). Red Hat a cité cinq clients dans son annonce, situés en Europe, en Inde et aux Émirats arabes unis.

La dimension IA de la souveraineté comporte également un aspect économique. Joe Fernandes, vice-président et directeur général de la division IA chez Red Hat, a expliqué aux journalistes la semaine dernière que les entreprises passent de plus en plus du statut de « consommateurs de tokens » — payant les hyperscalers à la requête pour appeler des modèles d’IA de pointe — à celui de « fournisseurs de jetons », ce qui signifie qu’elles exécutent des inférences sur leur propre infrastructure. « Dans les environnements souverains, vous n’avez pas la possibilité de fonctionner dans le cloud public ou dans des environnements partagés », a-t-il déclaré. « L’inférence sur site ou souveraine est donc votre seule option. Et là encore, l’efficacité est essentielle pour que cela constitue une proposition rentable pour vous. »

Suse, un concurrent plus que crédible sur la souveraineté

L’annonce de Red Hat cette semaine fait suite à celle de Suse le mois dernier à Prague, une série d'annonces technologiques majeures autour de l'IA, de Rancher Prime et de la virtualisation, confirmant son virage vers la résilience numérique, et d’IBM concernant Sovereign Core, une plateforme logicielle conçue pour offrir aux entreprises un contrôle opérationnel total sur les déploiements de cloud souverain sans avoir à dépendre des régions gérées par les hyperscalers. Bige blue a annoncé la disponibilité générale de ce produit lors de sa conférence Think 2026. Selon Gartner, les dépenses mondiales en infrastructures cloud souveraines atteindront 80 milliards de dollars en 2026, soit une hausse de 36 % par rapport à 2025. La majeure partie de la croissance de ces dépenses se situe en dehors des États-Unis, indique l’analyste de Gartner Rene Buest dans cette étude, les gouvernements étant les principaux acheteurs, suivis par les secteurs réglementés et les opérateurs d’infrastructures critiques telles que l’énergie, les services publics et les télécommunications.

Toujours selon le cabinet américain, la Chine était le plus gros dépensier en 2025, avec 36 milliards de dollars, et devrait atteindre 47 milliards de dollars cette année. Les États-Unis occupaient la deuxième place, avec 13 milliards de dollars l'année dernière et une prévision de 16 milliards cette année. L'Europe arrivait en troisième position, passant de 7 milliards de dollars en 2025 à 13 milliards en 2026. Cependant, l'Europe devrait dépasser les États-Unis en matière de dépenses dans le cloud souverain en 2027. Aux États-Unis, cependant, les dépenses en cloud souverain ne sont généralement pas désignées comme telles, explique Jeff Picozzi, responsable du marketing produit vertical chez Red Hat. Au contraire, dit-il, « cela se manifeste souvent sous la forme d’un environnement de cloud privé qui respecte néanmoins les exigences rigoureuses des normes de cloud souverain ». Ainsi, même si les exigences de conformité explicites peuvent différer, les entreprises américaines sont toujours confrontées à des défis comparables à ceux des entreprises européennes ou asiatiques. Cela inclut la nécessité de protéger leurs données, a expliqué M. Picozzi à Network World. « Au cours des deux dernières décennies, de nombreuses entreprises ont renoncé à une grande partie du contrôle de leurs briques technologiques », dit-il. « Le glissement actuel vers des modèles de cloud souverain ou privé représente une correction stratégique. » Il ne s’agit pas d’un revirement total, ajoute-t-il. « Mais plutôt d’un rééquilibrage nécessaire des risques opérationnels et de sécurité associés. »

Un décalage entre les paroles et les achats

Selon l’analyste du Futurum Group Nick Patience, l’approche de Red Hat repose sur une certaine logique. « La pile technologique de Red Hat — OpenShift, RHEL, la plateforme IA — fonctionne aussi bien sur site, dans le cloud public que dans des clouds souverains gérés par des partenaires », explique-t-il à Network World. « L’intégration horizontale de capacités de souveraineté est donc justifiable. » Selon une récente enquête de Futurum, l’adoption du cloud souverain constitue un défi pour la majorité des décideurs IT en matière d’IA, en particulier dans les secteurs de la santé, de l’énergie et des services financiers. Mais peu d’entreprises en font l’un de leurs trois principaux critères de sélection des fournisseurs, ajoute-t-il. Par exemple, dans le secteur manufacturier, seules 20 % utilisent le cloud souverain lors du choix des fournisseurs, 19 % dans les services financiers et 14 % dans la santé. « Il y a un décalage entre le fait qu’ils disent que c’est important et le fait de l’utiliser comme facteur clef dans leurs achats », explique M. Patience. Mais Red Hat n’exploite pas elle-même d’infrastructure cloud, précise-t-il. « Il s’agit d’une offre de logiciels et d’assistance, pas d’une offre cloud », explique-t-il. Pourtant, pour certains clients, cela pourrait être un atout, et non une limite. « S’ils recherchent des outils logiciels autres que ceux d’un hyperscaler, alors Red Hat entre en ligne de compte », ajoute-t-il. Aux États-Unis, pour la plupart des entreprises, « la souveraineté concerne moins le territoire que l’auditabilité, l’automatisation de la conformité et la maîtrise du plan de contrôle ». Mais la souveraineté des données devient pertinente pour les agences gouvernementales américaines et les secteurs réglementés tels que les sous-traitants de la défense, les services financiers et les soins de santé, précise-t-il, ainsi que pour les entreprises opérant dans les régions EMEA et APAC.

En effet, le mois dernier, IBM a annoncé avoir obtenu l’autorisation FedRAMP pour onze solutions logicielles d’IA et d’automatisation, dont plusieurs fonctionnent sur Red Hat OpenShift et Red Hat AI. Il s’agit d’une autorisation de niveau « modéré », mais big blue indique qu’il prévoit d’obtenir le niveau « élevé » d’ici fin 2026 ou début 2027, ce qui permettrait de traiter des charges de travail plus sensibles dans les domaines de la défense et du renseignement. Mais l'annonce la plus pertinente concerne IBM Sovereign Core. Ce produit s'appuie bien sur Red Hat AI et OpenShift, explique M. Patience, et offre un plan de contrôle géré par le client, un chiffrement en périphérie et une conformité automatisée aux normes du RGPD, de la DORA, de la NIS2 et de la loi européenne sur l'IA.

« Les annonces sur la souveraineté faites lors du sommet [Red Hat] et Think 2026 sont clairement coordonnées », ajoute-t-il. Rappelons toutefois que Red Hat est désormais une filiale d'IBM. Les annonces de l'éditeur sur la souveraineté tentent de renforcer la visibilité de big blue dans le domaine du cloud souverain, ajoute-t-il. « Red Hat dispose de la crédibilité technique, et IBM des relations avec les entreprises et les gouvernements », conclut-il. Le seul bémol reste que ces entreprises aux ambitions mondiales oublient bien vite qu’elles possèdent un siège social aux États-Unis et qu’elles sont bel et bien assujetties aux lois et réglementations américaines. Au fil des décennies, les États-Unis ont construit un corpus législatif qui étend leur juridiction bien au-delà de leurs frontières sur les données numériques, les logiciels, les matériels et les services cloud — qu'ils soient hébergés aux États-Unis ou à l'étranger (voir encadré ci-dessous).

Des lois qui mettent à mal la souveraineté numérique

- Le Patriot Act (2001)

Adopté après les attentats du 11 septembre 2001, le USA Patriot Act autorise les agences américaines (FBI, CIA, NSA) à accéder à toute donnée informatique hébergée aux États-Unis ou appartenant à une entreprise américaine, quel que soit le lieu de stockage. Il permet notamment l'accès aux données sans autorisation judiciaire préalable et sans en informer les utilisateurs concernés. Cette loi constitue le socle historique de l'extraterritorialité numérique américaine, sur lequel se sont greffées des législations ultérieures.

- Le FISA Section 702 (2008, renouvelée 2024)

Le Foreign Intelligence Surveillance Act (FISA), en particulier son article 702, autorise le procureur général et le directeur du renseignement national à cibler des personnes non américaines situées hors des États-Unis pour collecter leurs communications électroniques. Cette disposition s'applique sans mandat aux données détenues par :

Les fournisseurs de services cloud américains

Les opérateurs de télécommunications

Tout fournisseur de services ayant accès à des communications électroniques, au moment de la transmission ou du stockage

La section 702 a été renouvelée en avril 2024, avec de nouveaux amendements controversés autorisant l'interception de communications aux nœuds d'interconnexion des datacenters de droit américain dans le monde.

- Le Cloud Act (2018)

Le Clarifying Lawful Overseas Use of Data Act est la loi la plus emblématique en matière d'extraterritorialité numérique. Adopté le 23 mars 2018 en réponse à l'affaire United States v. Microsoft Ireland, il amende le Stored Communications Act (SCA) de 1986 et stipule que :

Tout prestataire soumis à la juridiction américaine doit fournir les données en sa possession, garde ou contrôle, quel que soit le pays de stockage

Cette obligation s'applique aux entités constituées aux États-Unis, aux filiales de sociétés mères américaines, et aux entités étrangères ayant un lien suffisant avec les activités américaines

Les autorités doivent obtenir un mandat judiciaire, mais l'entreprise peut s'y opposer si cela entraîne une violation du droit d'un pays étranger (ex. : RGPD)

Le Cloud Act prévoit aussi des accords bilatéraux (executive agreements) entre les États-Unis et des pays tiers pour faciliter les échanges d'informations dans les enquêtes criminelles transnationales.

- Les contrôles à l'exportation : EAR et ITAR

Deux réglementations encadrent l'exportation des technologies informatiques avec une portée extraterritoriale explicite :

Réglementation	Autorité	Objet
EAR (Export Administration Regulations)	Dépt du Commerce / BIS	Biens, logiciels et technologies à double usage (civil et militaire)
ITAR (International Traffic in Arms Regulations)	Dépt d'Etat	Technologies et matériels à usage défense/militaire

Ces règlements s'imposent à tout industriel non américain dès lors qu'il gère des produits ou technologies soumis à ces contrôles. Notion clé : le "deemed export" — la communication de données techniques contrôlées à un ressortissant étranger sur le sol américain est assimilée à une exportation et nécessite une licence. Ces réglementations s'appliquent notamment aux logiciels de chiffrement, aux équipements réseau et aux technologies de cloud à usage dual.

- Les sanctions de l'OFAC

L'Office of Foreign Assets Control (OFAC), rattaché au Département du Trésor, administre plus de 30 programmes de sanctions économiques actifs en 2026. Ces sanctions s'appliquent à toute transaction impliquant des pays sous embargo (Iran, Russie, Cuba, Corée du Nord, Syrie, Venezuela…) et concernent directement les fournisseurs de services cloud et logiciels américains : un éditeur SaaS ou un prestataire cloud américain ne peut pas fournir ses services à des entités sanctionnées, même si la transaction est initiée depuis l'Europe.

Sur le même thème

Partenaires

Red Hat peine à convaincre sur la souveraineté numérique

Suse, un concurrent plus que crédible sur la souveraineté

Un décalage entre les paroles et les achats

Commentaire

Suivre toute l'actualité

Newsletter

Suse, un concurrent plus que crédible sur la souveraineté

Un décalage entre les paroles et les achats

Newsletter LMI

Commentaire

Suivre toute l'actualité

Newsletter