Résumé exécutif
Le concept de souveraineté numérique appliqué à l’IA est devenu un levier politique majeur. L’UE l’invoque via le CLOUD Act, GAIA-X et SecNumCloud ; la France via sa Stratégie nationale IA et France 2030 (1,5 milliard d’euros) ; le Sud global via des mesures de localisation des données. Cet article analyse la tension entre souveraineté IA et les obligations de l’Accord général sur le commerce des services (AGCS) de l’OMC — articles I (nation la plus favorisée), XVII (traitement national) et XIV (exceptions générales). La conclusion : il existe une distinction fondamentale entre souveraineté de régulation (compatible avec le multilatéralisme) et protectionnisme numérique (juridiquement fragile au regard du test de nécessité de l’AGCS).
Constat
Trois hyperscalers nord-américains contrôlent 70% du marché européen du cloud. Le CLOUD Act américain permet aux autorités d’accéder aux données hébergées par des entreprises américaines partout dans le monde. GAIA-X, lancé par la France et l’Allemagne, vise une infrastructure cloud souveraine européenne. La France a investi 1,5 milliard d’euros dans sa stratégie nationale IA. L’Observatoire de la souveraineté numérique (janvier 2026) documente les dépendances structurelles. Au Sud global, l’Inde, le Brésil et le Nigeria imposent des mesures de localisation des données IA.
Analyse
Au prisme du droit OMC : l’article I AGCS (NPF) exige que tout avantage accordé à un pays soit étendu à tous les membres. Les mesures de localisation qui favorisent les fournisseurs nationaux de cloud pourraient violer l’article XVII (traitement national). L’article XIV permet des exceptions pour la protection de la vie privée et l’ordre public, mais sous condition de nécessité et de non-discrimination. Le test de nécessité du panel OMC dans US-Gambling et Argentina-Financial Services établit que la mesure doit être la moins restrictive pour le commerce. Les mesures de localisation absolue échouent généralement à ce test.
Implications politiques
La distinction clé est entre souveraineté de régulation — le droit de définir des normes de protection des données, de sécurité et de transparence algorithmique — et protectionnisme numérique — l’exclusion de facto des fournisseurs étrangers par des barrières techniques ou réglementaires. La première est pleinement compatible avec le cadre OMC ; la seconde est juridiquement vulnérable.
Recommandations
Premièrement, la Commission européenne devrait reformuler ses exigences SecNumCloud en termes de résultats de sécurité plutôt que d’origine du fournisseur. Deuxièmement, l’OMC devrait clarifier l’applicabilité de l’article XIV AGCS aux mesures de gouvernance IA par un programme de travail dédié. Troisièmement, le G7 devrait promouvoir des accords de reconnaissance mutuelle pour les certifications de sécurité cloud. Quatrièmement, les États du Sud global devraient privilégier les cadres régionaux de gouvernance des données plutôt que les mesures nationales de localisation.
La souveraineté numérique n’est pas un faux concept — c’est un concept mal calibré quand il devient un instrument de fermeture commerciale plutôt qu’un outil de régulation légitime.