Le ministère des Finances a annoncé le 4 décembre 2025 un partenariat inédit avec Doctrine, présenté comme le « champion français de l’IA appliquée au droit », pour équiper les juristes de l’État d’une solution souveraine. La promesse de sécurité et de souveraineté se heurte toutefois à la réalité technique d’une plateforme hébergée sur Amazon Web Services en Allemagne, elle‑même exposée aux lois extraterritoriales américaines.
À retenir
- Lettre d’intention signée avec Doctrine : déploiement 2026-2030.
- Infrastructure AWS à Francfort : exposition au Cloud Act.
- Contradiction avec le cadre SecNumCloud et la loi SREN.
- Actionnariat majoritaire Summit Partners (USA) : question d’autonomie stratégique.
- Critiques de Michel Paulin et Alain Issarni sur la prétendue souveraineté.
- Engagement futur de Doctrine à obtenir la certification SecNumCloud.
L’IA juridique à la rescousse de la fonction publique : l’État veut offrir à ses juristes un outil d’aide à la décision capable de rechercher, analyser et rédiger en français, sur la base d’un vaste corpus de textes normatifs. Le calendrier prévoit un accord‑cadre d’ici mi‑2026, des premiers cas d’usage en 2026‑2027 et une généralisation jusqu’en 2030. Ce projet s’inscrit dans la démarche « Cloud au centre » de la DINUM, censée moderniser les services publics tout en maintenant un haut niveau de sécurité des données.
Un compromis technique qui relance le débat sur la souveraineté : la solution repose sur des serveurs AWS localisés à Francfort, mais ces plateformes restent soumises au Cloud Act et à la FISA, qui autorisent un accès éventuel de l’administration américaine aux données traitées. Doctrine assure que les données publiques sont pseudonymisées et chiffrées, et qu’une future certification SecNumCloud couvrira les documents privés sensibles. Or l’ANSSI rappelle qu’une infrastructure AWS ne peut pas être qualifiée SecNumCloud, tandis que la loi SREN impose un cloud « de confiance » pour les données susceptibles de porter atteinte à l’ordre public.
Les enjeux d’un capital américain dans un secteur stratégique : après son rachat en 2023 par le fonds Summit Partners, Doctrine a basculé sous contrôle majoritaire américain, ce qui fragilise l’argument d’une solution entièrement « française ». Michel Paulin, ex‑directeur général d’OVHcloud, juge « fort regrettable » l’usage du terme souverain dans ce contexte. Alain Issarni, ancien DSI de l’État, pointe une « mécanique récurrente » : les gouvernements choisissent d’abord la solution la plus mature, puis tentent d’y adosser a posteriori un discours de souveraineté. Cette dynamique renvoie aux controverses passées sur l’hébergement de données sensibles, notamment les dossiers EDF‑AWS et Health Data Hub, qui avaient déjà suscité de vives critiques.
La promesse d’innovation face à la réalité réglementaire
Le projet vise à intégrer l’IA dans le travail quotidien des juristes de l’État, en améliorant la recherche documentaire, la détection des risques juridiques et la rédaction de brouillons de textes réglementaires ou contractuels. Selon le ministre délégué à la Fonction publique, David Amiel, la solution devra être « française, souveraine et sécurisée ». Cette exigence figure dans la lettre d’intention et dans la communication officielle, qui met en avant l’usage de modèles européens ou français pour les dossiers les plus sensibles.
Objectifs officiels de l’État
Le ministère de la Fonction publique et le ministère chargé du Numérique se sont réunis en avril 2024 pour fixer les grandes orientations. Les objectifs incluent : améliorer la productivité des juristes, réduire les coûts de recherche et garantir la conformité au droit européen. La solution doit également respecter la protection des données personnelles et rester conforme aux exigences de la CNIL, notamment en matière de minimisation et de traçabilité des traitements.
Calendrier de déploiement
Le projet prévoit une phase pilote en 2026‑2027, suivie d’une généralisation progressive entre 2027 et 2030. La lettre d’intention vise à sécuriser un accord‑cadre d’ici la mi‑2026, afin de donner de la visibilité aux administrations. Des tests préliminaires ont déjà été lancés dans plusieurs ministères, avec des premiers retours jugés positifs sur la rapidité de recherche et la qualité des synthèses générées.
Le paradoxe de la souveraineté et de l’infrastructure cloud
Alors que le discours officiel insiste sur la souveraineté, l’hébergement sur AWS à Francfort place en pratique l’outil dans le champ des lois américaines. Le Cloud Act et la FISA offrent aux autorités des États‑Unis un accès potentiel aux données, y compris lorsqu’elles sont stockées en Europe. Cette situation entre en tension avec le référentiel SecNumCloud et les orientations de la DINUM, qui exigent un hébergement « de confiance » pour les données publiques sensibles.
Infrastructure technique et lois extraterritoriales
Les serveurs AWS sont physiquement situés à Francfort, mais l’infrastructure reste juridiquement rattachée à un groupe américain. Le Cloud Act permet aux autorités des États‑Unis de réclamer l’accès à des données stockées sur ces plateformes, y compris lorsqu’elles sont hébergées hors du territoire national. La FISA, de son côté, élargit le périmètre d’intervention des services de renseignement étrangers, ce qui nourrit les craintes de fuite d’informations stratégiques.
Réponses de Doctrine
« Nous sécurisons les données via ISO 27001, chiffrement systématique et accompagnement CNIL. »
Porte-parole de Doctrine
L’entreprise met en avant une séparation stricte entre l’IA travaillant sur des données publiques, considérées comme peu sensibles, et les traitements portant sur des documents privés. Elle affirme se préparer à la conformité SecNumCloud dès que le décret d’application de la loi SREN sera publié. Mais l’ANSSI a déjà indiqué qu’une infrastructure reposant directement sur AWS ne peut pas obtenir la qualification SecNumCloud, ce qui rend cette promesse fragile et alimente les critiques des acteurs français du cloud.
Impact des lois SREN et SecNumCloud
La loi SREN renforce l’exigence d’un cloud souverain pour les données sensibles de l’État. Son article 31 impose le recours à un « cloud de confiance » qualifié, notamment pour les informations susceptibles d’affecter la sécurité nationale. Le cadre fixé par la DINUM, marqué par la doctrine « Cloud au centre », se heurte donc à la réalité d’un hébergement sur une plateforme américaine. Pour plusieurs experts, le projet revient à accorder un chèque en blanc qui prolonge la dépendance technologique aux hyperscalers étrangers.
Réactions des acteurs de la souveraineté numérique
Michel Paulin, ex‑DG d’OVHcloud, a jugé l’usage du terme « solution souveraine » « fort regrettable » au regard du risque d’intervention américaine. Alain Issarni, ancien DSI de l’État, dénonce une logique où l’administration choisit d’abord la solution la plus avancée, avant de tenter de la requalifier en « offre souveraine » par la communication. Alain Garnier, CEO de Jamespot, estime pour sa part que l’État « transgresse ses propres règles », créant un sentiment de « deux poids, deux mesures » vis‑à‑vis des fournisseurs français.
Le cas de la dépendance stratégique
Le précédent du dossier EDF‑AWS a montré que les autorités françaises avaient déjà dû revoir leur communication quand un cloud américain hébergeait des données jugées sensibles. Le projet actuel rappelle ces débats, en ravivant les inquiétudes sur la protection de l’information nationale et sur la capacité de l’État à soutenir durablement un écosystème numérique européen.
Les voix de la défense
Une représentante de la CNIL met en avant les mesures de pseudonymisation et de chiffrement mises en œuvre, tout en insistant sur la nécessité d’une trajectoire crédible vers SecNumCloud. Elle rappelle que l’État s’est engagé à ne pas confier de données hautement sensibles à des infrastructures exposées aux demandes d’autorités étrangères, et qu’un contrôle régulier des garanties techniques restera indispensable.
Contrepoint : l’efficacité contre la souveraineté
Certains experts défendent le choix d’AWS, au nom de la rapidité de déploiement et de l’accès à des technologies avancées jugées indispensables au bon fonctionnement des services publics. Selon eux, les garanties de sécurité déjà en place, comme le chiffrement, le pseudonymage et la segmentation des environnements, suffisent pour des données essentiellement publiques. D’autres estiment au contraire que le risque d’ingérence américaine demeure inacceptable pour des informations liées à l’action de l’État, même chiffrées, car un déchiffrement forcé peut être exigé par la loi étrangère.
Économie d’échelle et innovation rapide
Les hyperscalers comme AWS offrent une puissance de calcul et une élasticité difficilement atteignables par les opérateurs européens à court terme. Ils permettent d’implémenter rapidement une IA juridique opérationnelle pour des milliers d’agents publics. Le coût estimé d’une solution nationale de même envergure atteindrait environ 1,5 milliard d’euros pour un développement et une exploitation à grande échelle, un investissement que l’État hésite à assumer seul.
Les limites de la souveraineté technique
La souveraineté ne se résume pas à la localisation physique des serveurs. Les lois extraterritoriales, la structure de l’actionnariat, la maîtrise de la propriété intellectuelle et la dépendance contractuelle pèsent tout autant. Le projet d’IA juridique de l’État illustre cette tension entre la volonté politique de reprise de contrôle et la réalité d’une économie numérique mondialisée, dominée par quelques acteurs privés étrangers.
La voie à suivre pour une IA juridique réellement souveraine
Le débat autour de cette IA juridique montre que la modernisation de la fonction publique exige une clarification des critères de souveraineté, de sécurité et d’efficacité. La réussite du projet dépendra de la capacité de l’État à définir un socle technique réellement « de confiance », à garantir la conformité aux cadres réglementaires européens et nationaux, et à rassurer les acteurs sur la protection durable des données sensibles. Seuls un dialogue structuré entre les parties prenantes, une transparence sur les choix technologiques et le respect strict du cadre juridique permettront de faire de l’IA juridique un outil à la fois utile aux agents publics et protecteur des intérêts de l’État.
