La souveraineté numérique devient très concrète lorsqu’une entreprise ouvre une enquête interne. Une alerte anticorruption, un soupçon de fraude ou une violation de sanctions impose de traiter courriels, messages, contrats, factures et données RH. Ces corpus sont massifs et hétérogènes. Pour les trier, les traduire, les résumer ou repérer des signaux faibles, l’IA s’impose. Mais elle ajoute à la chaîne d’enquête un tiers technique susceptible d’accéder aux données les plus sensibles.
La DGSI a posé les termes du problème à propos des cabinets étrangers. Dans un Flash de janvier 2024, elle rappelle que des lois extraterritoriales peuvent amener à des audits intrusifs, la captation d’informations ou de technologies sensibles, voire la déstabilisation de concurrents1. Un rapport parlementaire sur la guerre économique vise les données sensibles confiées à des prestataires étrangers (banques, fonds, cabinets de conseil, d’audit, d’avocats ou commissaires aux comptes), dont le recours « peut induire de fortes vulnérabilités, avec un risque de fuite de données, en particulier lorsque ces dernières sont stockées à l’étranger »2. Dans une enquête interne, l’IA joue précisément ce rôle : elle traite des données pour l’entreprise. Prompts, fichiers importés, historiques et connecteurs peuvent contenir secrets d’affaires, données personnelles, échanges protégés ou informations utiles à une autorité étrangère. La DGSI a ainsi étendu son alerte à l’IA. Dans son Flash de décembre 2025, elle décrit le cas d’une entreprise ayant délégué l’évaluation de l’intégrité de ses partenaires commerciaux à un outil fondé sur une IA créé par une entreprise étrangère, qui lui fournit un rapport d’évaluation sur son potentiel partenaire3.
Le même document évoque une due diligence confiée à un outil d’IA étranger sans contrôle humain, puis une fraude par deepfake imitant un dirigeant4. Le risque n’est donc pas seulement la fuite : c’est aussi l’erreur, le biais, l’opacité et la...
