La plateforme qui vous informe, vous divertit et vous fait tester vos connaissances | Créée par Chloé-Anne Touma

La plateforme qui vous informe, vous divertit et vous fait tester vos connaissances | Créée par Chloé-Anne Touma

La souveraineté numérique : une illusion… trop confortable ?

Souveraineté numérique
Alain Lavoie

Auteur(e)

  • Alain Lavoie et chroniqueur pour Culturemania, et PDG et cofondateur de LexRock AI. Il œuvre dans le domaine de la compréhension du langage depuis plus de 25 ans, développant des outils, des algorithmes et des produits fondés sur le traitement automatique du langage naturel (TALN) ainsi que sur des techniques modernes d’apprentissage automatique et d’intelligence artificielle (IA). Il s'implique dans l’écosystème des TIC au Québec depuis près de 20 ans.

Nous parlons de souveraineté numérique comme si elle allait de soi. Dans la majorité des organisations, on en est encore loin. Comme si elle se décidait dans un comité, se documentait dans une politique et se réglait par un simple choix de fournisseur ou d’infrastructure. Dans les faits, ce n’est pas le cas. C’est faux. Or, dans la majorité des cas, elle repose sur une perception, pas sur une maîtrise réelle.

Une distinction s’impose : celle entre souveraineté perçue et souveraineté réelle.

Dans la majorité des organisations, la souveraineté numérique n’est pas une réalité. Ça tient souvent plus de la croyance que de la réalité. Une croyance entretenue, entre autres, par :

  • des cadres de conformité; 
  • des architectures rassurantes; 
  • et une impression de contrôle.

Mais derrière cette façade, la réalité est plus simple … et nettement moins confortable :

  • nous dépendons d’infrastructures que nous ne contrôlons pas;
  • de règles que nous ne définissons pas;
  • et de mécanismes que nous comprenons partiellement.

Et pourtant, la souveraineté numérique est désormais partout :

  • dans les plans stratégiques; 
  • dans les rapports de risques;
  • dans les discours des organisations et gouvernements.

Alors la question n’est plus de savoir si on en parle. La question est de savoir si elle existe vraiment.

Cette situation a mené à deux réalités distinctes :

  • Une souveraineté perçue, fondée sur des mécanismes de conformité, des architectures rassurantes et une impression de contrôle;
  • Et une souveraineté réelle, qui repose sur la capacité effective de comprendre, décider et reprendre le contrôle sur ses données et ses systèmes critiques.

Dans la majorité des organisations, cet écart entre perception et réalité demeure largement sous-estimé.

La souveraineté numérique s’impose désormais dans les discussions stratégiques des organisations. Elle apparaît dans les plans de transformation, les rapports de risques et les politiques de conformité. 

Pourtant, pour les conseils d’administration et leurs comités, la question centrale demeure souvent implicite :

L’organisation garde-t-elle un contrôle réel sur les données et les systèmes qui soutiennent ses décisions critiques ?

À l’ère du numérique et de l’intelligence artificielle, la souveraineté ne peut plus être considérée comme un sujet technique réservé aux équipes TI (ou techno). Elle devient un enjeu direct de gouvernance, de gestion des risques et de responsabilité fiduciaire.

Des choix technologiques aux conséquences structurelles

Depuis plus de vingt ans, les organisations ont fait des choix technologiques structurants : adoption de l’infonuagique, intégration de plateformes logicielles globales, externalisation de fonctions critiques, recours accru à des services gérés TI.

Ces décisions ont permis des gains considérables en efficacité, en agilité et en performance. Mais elles s’inscrivent dans un contexte plus large, souvent sous-estimé.

Entre 2000 et 2010, à l’échelle mondiale, un choix collectif s’est imposé. Collectivement, à l’échelle mondiale — y compris au Québec et au Canada — de confier l’infrastructure numérique à un nombre restreint d’acteurs globaux des Big Tech tels que Microsoft, Amazon, Google.

Ce choix était rationnel. Il répondait à une logique économique et technologique forte. Mais, il a eu une conséquence structurelle. Cela a créé une dépendance profonde à des infrastructures, à des architectures et à des cadres juridiques qui échappent largement au contrôle direct des organisations qui les utilisent.

Cette dépendance n’est ni accidentelle ni fautive. Elle devient un risque lorsqu’elle n’est pas explicitement comprise, documentée et gouvernée au plus haut niveau. Cette dépendance est souvent compatible avec une souveraineté perçue… mais rarement avec une souveraineté réelle.

Pour un conseil d’administration d’une organisation, la question n’est donc plus de savoir quelles technologies sont utilisées, mais quelles capacités de décision, de contrôle et de reddition de comptes ont été implicitement transférées à des tiers.

Une souveraineté trop souvent réduite à la conformité

Dans de nombreux dossiers présentés aux conseils, la souveraineté numérique est abordée sous l’angle de la conformité : respect des lois sur la protection des renseignements personnels, localisation des données, clauses contractuelles standard, certifications reconnues (ISO 27001, ISO 27002, PCI, SOC2).

Ces éléments sont nécessaires, mais insuffisants. Ils répondent à des obligations légales et réglementaires. Mais ils ne garantissent pas, à eux seuls, un contrôle effectif. 

Une organisation peut être conforme… et entretenir une illusion de souveraineté

À titre d’exemple, une institution financière peut respecter l’ensemble des exigences réglementaires en matière de protection des données, tout en s’appuyant sur des infrastructures infonuagiques où les mécanismes réels d’accès, de traitement et de réutilisation des données demeurent partiellement opaques pour ses propres équipes. De la même façon, un ministère peut être pleinement conforme sur le plan légal, tout en n’ayant qu’une visibilité limitée sur les flux réels de données et les usages secondaires effectués par ses fournisseurs technologiques.

Du point de vue de la gouvernance, la souveraineté numérique repose sur la capacité de l’organisation à comprendre et encadrer l’ensemble des usages de ses données, notamment :

  • les flux réels de données à travers des architectures complexes ; 
  • les usages secondaires, y compris l’analyse, l’optimisation et l’entraînement de modèles ; 
  • la répartition effective des responsabilités entre l’organisation et ses fournisseurs ; 
  • les leviers disponibles en cas d’incident, de changement stratégique ou de rupture contractuelle. 

Or, ces dimensions sont rarement présentées de façon claire, synthétique et intelligible au niveau du conseil d’administration.

Conformité et maîtrise des risques : un écart préoccupant

Les investissements importants réalisés en matière de conformité témoignent d’une volonté réelle de réduire les risques juridiques et réglementaires. Toutefois, ils peuvent aussi donner un faux sentiment de sécurité.

Une organisation peut être conforme tout en demeurant vulnérable sur les plans opérationnel, stratégique ou réputationnel. Pour les administrateurs, cet écart est critique : il expose l’organisation à des risques qui ne sont ni pleinement identifiés ni correctement arbitrés.

La souveraineté numérique devient alors un enjeu de qualité de l’information fournie au conseil. Sans une lecture claire des dépendances technologiques et de leurs impacts, le conseil ne peut exercer pleinement son rôle de surveillance. À défaut, l’organisation s’expose à une perte progressive de capacité décisionnelle, où les choix structurants ne sont plus réellement maîtrisés, mais dictés par ses dépendances technologiques.

Un enjeu de rapport de force, au-delà des opérations

La souveraineté numérique s’inscrit désormais dans un contexte géopolitique structurant.

Deux modèles dominent :

  • l’Europe, qui exerce une influence par la réglementation et la capacité d’imposer des conditions d’usage des données ; 
  • les États-Unis, qui bénéficient d’un avantage décisif lié au contrôle des infrastructures numériques mondiales. 

Dans ce contexte, le Canada et le Québec occupent une position intermédiaire :

  • ils consomment les technologies;
  • mais disposent de leviers limités pour en influencer les règles

Agir organisation par organisation, sans exigences communes ni vision partagée, limite considérablement la capacité d’influence face à des fournisseurs globaux qui définissent les standards, les architectures et les conditions d’usage.

Dans ce contexte, le rôle de l’État devient déterminant. La souveraineté numérique ne peut reposer uniquement sur des initiatives organisationnelles ou des choix technologiques isolés. Elle exige une capacité réelle de structuration à l’échelle collective.

Cela implique notamment de définir des exigences claires en matière de contrôle réel des données et des dépendances technologiques, d’assurer une cohérence entre les organisations publiques et de favoriser le développement de capacités maîtrisées.

À défaut, la souveraineté numérique demeure fragmentée, et la capacité d’action de l’État s’en trouve directement limitée.

Un risque systémique amplifié par l’intelligence artificielle

La montée en puissance de l’intelligence artificielle vient amplifier ces enjeux et comprimer les délais d’action : ce qui pouvait être toléré hier devient aujourd’hui un risque immédiat. Elle amplifie également l’écart entre souveraineté perçue et souveraineté réelle. Les données deviennent un actif stratégique central, dont la valeur ne réside plus uniquement dans leur stockage, mais dans leur capacité à être analysées, croisées et réutilisées.

Dans ce contexte, les risques liés à la dépendance technologique ne sont plus uniquement opérationnels. Ils touchent :

  • la continuité des activités, i.e. la continuité des affaires ; 
  • la protection des données et de la réputation ; 
  • la capacité d’adaptation stratégique ; 
  • et, ultimement, la responsabilité des administrateurs. 

Les décisions prises aujourd’hui structurent les dépendances de demain.

Trouver un équilibre de gouvernance

Il serait irréaliste de vouloir se soustraire complètement aux grandes plateformes technologiques. Elles sont devenues essentielles au fonctionnement des organisations modernes. À l’inverse, accepter une dépendance non gouvernée revient à accepter un transfert implicite de contrôle.

La voie la plus pertinente ne passe ni par le rejet, ni par une dépendance passive.

Elle repose sur un équilibre :

  • tirer parti des technologies globales;
  • tout en renforçant le contrôle local sur les données et leur gouvernance;

Pour les conseils d’administration, cela implique de s’assurer que la direction dispose :

  • d’une compréhension claire des dépendances technologiques critiques ; 
  • d’un encadrement contractuel aligné sur les risques réels ; 
  • de mécanismes de suivi et de reddition de comptes qui tiennent la route ; 
  • et d’une capacité à réévaluer ces choix à mesure que les technologies évoluent. 

Ce que cela signifie concrètement pour un conseil d’administration

Au-delà des principes, la souveraineté numérique doit pouvoir être évaluée de manière tangible. Un conseil d’administration devrait pouvoir obtenir, rapidement et clairement, des réponses aux questions suivantes :

  1. Cartographie des dépendances critiques
    L’organisation dispose-t-elle d’une vision complète des infrastructures, plateformes et fournisseurs dont dépendent ses processus décisionnels critiques ? 
  2. Maîtrise des flux de données
    Les flux réels de données (stockage, traitement, transfert) sont-ils documentés et compris, incluant les usages indirects ou secondaires ? 
  3. Contrôle des usages des données
    L’organisation sait-elle dans quelle mesure ses données peuvent être utilisées à des fins d’analyse, d’optimisation ou d’entraînement de modèles par des tiers ? 
  4. Capacité de réversibilité
    Existe-t-il des mécanismes réalistes permettant de migrer, rapatrier ou remplacer des solutions critiques en cas de besoin ? 
  5. Alignement contractuel avec les risques réels
    Les ententes avec les fournisseurs reflètent-elles adéquatement les enjeux de contrôle, de responsabilité et de continuité ? 
  6. Scénarios de rupture
    L’organisation a-t-elle évalué les impacts d’un changement réglementaire, d’un incident majeur ou d’une rupture avec un fournisseur stratégique ?

Si les réponses ne sont pas disponibles de manière claire et synthétique, la souveraineté numérique demeure largement théorique. 

Vers une mesure de la souveraineté numérique

Si la souveraineté numérique ne se décrète pas, elle doit pouvoir se mesurer. Autrement dit, la souveraineté numérique peut et doit être objectivée.

Une approche consiste à évaluer le niveau de contrôle réel d’une organisation à partir de quelques dimensions structurantes, notamment :

  • la visibilité des dépendances technologiques critiques ;
  • la compréhension des flux réels de données, incluant leurs usages secondaires ;
  • le niveau de contrôle exercé sur l’utilisation des données par des tiers ;
  • la capacité réelle de réversibilité ou de migration des solutions critiques ;
  • et la qualité de la gouvernance exercée au niveau de la direction et du conseil.

Pris ensemble, ces éléments permettent de distinguer une souveraineté perçue, fondée sur des mécanismes de conformité et une impression de contrôle, d’une souveraineté réelle, qui repose sur une capacité effective d’agir, de décider et de reprendre le contrôle lorsque nécessaire.

Dans la pratique, très peu d’organisations disposent aujourd’hui d’une lecture claire et consolidée de ces dimensions. 

Reprendre la main au niveau du conseil

La souveraineté numérique n’est ni une posture idéologique ni un débat purement technologique. C’est un enjeu de gouvernance stratégique. Elle exige que les conseils d’administration posent les bonnes questions, au-delà de la conformité et des performances à court terme.

À l’ère de l’intelligence artificielle, ne pas comprendre les dépendances technologiques de l’organisation, c’est accepter d’en assumer les conséquences sans en maîtriser les leviers.

Une question qui ne peut plus être évitée

Au fond, la souveraineté numérique ne se décrète pas. Elle se mesure.

  • Non pas par la localisation des données; 
  • mais par la capacité réelle de décider, d’agir et de reprendre le contrôle lorsque nécessaire.

Ce qui ne se mesure pas en matière de souveraineté numérique… ne se contrôle pas.

Dans ce contexte, il ne s’agit plus seulement de documenter ou de déléguer ces enjeux, mais de les porter explicitement au niveau du conseil … avec le même niveau d’attention et de rigueur que les risques financiers, opérationnels ou réputationnels.

L’organisation dispose-t-elle d’une souveraineté réelle… ou se contente-t-elle… d’une souveraineté perçue ?

Dans plusieurs organisations, cette réflexion s’étend désormais aux projets d’intelligence artificielle, où la valeur repose sur la capacité à exploiter des volumes importants de données et de documents tout en en conservant la maîtrise.

Or, ces dimensions sont encore trop rarement abordées de manière intégrée au niveau décisionnel, notamment en ce qui concerne la traçabilité des traitements, l’explicabilité des résultats et la capacité à en assurer l’auditabilité et la défendabilité.

Des approches permettent aujourd’hui de structurer cette lecture et d’en faire un véritable levier de gouvernance, de performance… et de maîtrise.

Parce qu’en matière de souveraineté numérique, ce n’est pas ce que l’on croit contrôler qui compte… mais ce que l’on est réellement en mesure de maîtriser lorsque ça compte vraiment.

Vous souhaitez, vous aussi, faire partie de la discussion? Soumettez-votre question ou votre opinion à la rédactrice en chef Chloé-Anne Touma par courriel.

Pour consulter le dossier complet sur la souveraineté numérique et culturelle :

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
0
Partagez votre réaction en commentaire!x
()
x