Lauréat AMI Sphère Publique (DINUM × DGE)

Guide de référence · Souveraineté

Choisir un outil de réunion souverain : le guide 2026

Un outil de réunion souverain est une solution de transcription et de compte rendu dont l'hébergement, les modèles d'IA et le support relèvent d'une juridiction européenne — hors de portée des lois extraterritoriales comme le Cloud Act. Ce guide donne la méthode complète pour en évaluer un : critères juridiques, grille de 10 questions, référentiels et pièges à éviter.

Mis à jour le 13 juillet 2026 · Équipe Produit Gilbert · Lecture ~12 min

1. Pourquoi la souveraineté des réunions est devenue critique

Une réunion enregistrée concentre ce qu'une organisation a de plus sensible : décisions stratégiques, négociations, données clients, situations individuelles. Trois évolutions ont transformé le choix de l'outil qui traite ces contenus en décision de conformité.

Le droit d'abord. Le Cloud Act (2018) permet aux autorités américaines d'exiger l'accès aux données hébergées par tout fournisseur de droit américain — y compris dans ses datacenters européens. L'arrêt Schrems II (CJUE, 2020) a tiré la conséquence inverse côté européen : les transferts vers les États-Unis n'offrent pas de protection équivalente au RGPD sans garanties supplémentaires démontrables.

La commande publique ensuite. La doctrine « cloud au centre » impose aux systèmes sensibles de l'État des offres qualifiées SecNumCloud et immunisées contre les lois extraterritoriales. L'effet ruisselle sur les collectivités, la santé et les opérateurs publics, qui alignent leurs appels d'offres.

L'IA enfin. La plupart des outils de compte rendu envoient vos échanges à un modèle opéré par un tiers — souvent américain. La question n'est plus seulement « où sont stockées mes données » mais « qui exécute le modèle qui les lit ». C'est le point aveugle de la plupart des politiques d'achat.

2. Les trois niveaux de souveraineté d'une IA de réunion

La souveraineté d'un outil s'évalue à trois étages distincts — un fournisseur peut être irréprochable sur l'un et disqualifié sur l'autre.

  1. Niveau 1 — L'hébergement des données

    Où sont stockés les audios, transcriptions et comptes rendus, et surtout qui opère l'infrastructure. Un datacenter parisien d'un opérateur américain ne protège pas du Cloud Act ; un opérateur européen (OVHcloud, Scaleway, Outscale) si.

  2. Niveau 2 — L'exécution des modèles d'IA

    Quel modèle transcrit et synthétise, et où s'exécute-t-il. Une interface française qui appelle l'API d'OpenAI ou d'Azure n'est pas souveraine : vos contenus transitent par le fournisseur du modèle. Les architectures réellement souveraines s'appuient sur des modèles spécialisés (SLM) ou open-weight exécutés sur infrastructure maîtrisée.

  3. Niveau 3 — Le devenir des données

    Vos réunions servent-elles à entraîner des modèles — les vôtres, ceux du fournisseur, ceux d'un tiers ? Qui peut y accéder en support ? Combien de temps les audios sont-ils conservés ? Les réponses doivent figurer par écrit dans le DPA et la politique de confidentialité.

3. La grille d'évaluation fournisseur — 10 questions

À envoyer telles quelles à tout fournisseur pressenti. Un acteur réellement souverain répond aux dix par écrit, avec références publiques ; les réponses évasives sont une réponse en soi.

#QuestionRéponse disqualifiante
1Qui opère l'infrastructure d'hébergement, et dans quel pays est son siège ?Opérateur de droit américain (quel que soit le datacenter)
2Où s'exécutent les modèles d'IA qui traitent nos contenus ?API d'un fournisseur de modèle américain (OpenAI, Azure, Google)
3Nos données servent-elles à entraîner des modèles ?Oui par défaut, ou opt-out introuvable
4Disposez-vous d'une qualification ou certification vérifiable (SecNumCloud, HDS, ISO 27001) ?« Conforme » sans référence publique consultable
5Le DPA liste-t-il des sous-traitants soumis au Cloud Act ?Sous-traitants critiques américains dans la chaîne
6Combien de temps les fichiers audio sources sont-ils conservés ?Conservation indéfinie ou non documentée
7Vos équipes peuvent-elles accéder à nos contenus ?Accès support sans autorisation explicite du client
8Où est situé le support technique et sous quelle juridiction ?Support hors UE avec accès aux données
9Proposez-vous la réversibilité (export complet, suppression attestée) ?Pas d'export exploitable ou suppression invérifiable
10Un enregistrement de réunion est-il traité comme donnée personnelle (RGPD art. 28) ?Absence de DPA ou DPA générique sans annexe réunions

4. Le tableau des juridictions — qui peut accéder à quoi

Quatre configurations reviennent sur le marché. La différence ne se voit pas dans l'interface — elle se voit le jour où une réquisition, un contentieux ou un audit arrive.

ConfigurationExemplesCloud ActAdapté secteur régulé FR
Fournisseur US, hébergement USOtter.ai, Fireflies.aiApplicableNon
Fournisseur US, « données en UE »Microsoft (EU Data Boundary)Applicable (nationalité de l'opérateur)Insuffisant pour SecNumCloud
Fournisseur EU, hébergement EUActeurs européens souverainsNon applicableOui (vérifier modèles & DPA)
Fournisseur FR + option SecNumCloudGilbert (OVHcloud)Non applicableOui, y compris exigences État

Détails dans nos comparatifs : Gilbert vs Microsoft Teams, Gilbert vs Otter.ai, Gilbert vs Microsoft Copilot.

5. Les référentiels qui font foi (et ce qu'ils couvrent)

  • SecNumCloud (qualification ANSSI) — le niveau le plus exigeant : sécurité auditée ET immunité aux lois extraterritoriales. Référence des marchés publics sensibles.
  • HDS (hébergement de données de santé) — obligation légale dès qu'un enregistrement contient des données patients (staffs, RCP, transmissions).
  • ISO 27001 / SOC 2 — attestent d'un management de la sécurité sérieux, mais ne disent rien de la juridiction : un outil américain peut être ISO 27001 et soumis au Cloud Act.
  • RGPD + DPA art. 28 — le socle contractuel : sous-traitants listés, durées de conservation, droits des personnes. L'AI Act ajoute depuis 2024 des obligations de transparence sur les systèmes d'IA.

6. Ce que votre secteur exige concrètement

Secteur public

Doctrine cloud au centre, SecNumCloud attendu, publicité des actes (PV de séance). L'AMI Sphère Publique DINUM × DGE référence les solutions IA adaptées.

PV de conseil municipal

Santé

Certification HDS obligatoire dès qu'un cas patient est évoqué. Secret médical : l'outil grand public non certifié est hors cadre.

Gilbert pour la santé

Juridique

Secret professionnel de l'avocat (art. 66-5) : les échanges clients ne doivent pas transiter par une juridiction tierce.

Gilbert pour le juridique

Finance

Traçabilité ACPR/AMF des décisions, données de portefeuille sensibles, vocabulaire technique à transcrire fidèlement.

Gilbert pour la finance

7. Détecter le « souveraineté-washing » : 6 signaux

Le mot « souverain » ne coûte rien à écrire. Six signaux distinguent le marketing de la réalité :

  1. « Hébergé en Europe » sans nommer l'opérateur — si c'est AWS/Azure/GCP, le Cloud Act s'applique.
  2. Aucune mention du modèle d'IA — l'interface est française, mais qui lit vos réunions ?
  3. Des sceaux sans lien de vérification — une qualification réelle a une référence publique consultable (liste ANSSI, certificat HDS).
  4. Un DPA introuvable ou générique — la souveraineté se lit dans la liste des sous-traitants, pas dans la page d'accueil.
  5. Le silence sur l'entraînement — « vos données sont sécurisées » ne répond pas à « servent-elles à entraîner des modèles ? ».
  6. Aucune reconnaissance tierce — référencements publics, clients institutionnels nommés, presse vérifiable : la confiance se démontre par des tiers.

8. Questions fréquentes

Qu'est-ce qu'un outil de réunion souverain ?

Un outil de réunion souverain est une solution de transcription et de compte rendu dont l'hébergement, les modèles d'IA et le support relèvent d'une juridiction européenne, sans dépendance à un fournisseur soumis à des lois extraterritoriales comme le Cloud Act américain. Les trois critères à vérifier : où s'exécutent les modèles, qui les opère, et si vos données servent à les entraîner.

Un hébergement en Europe suffit-il à garantir la souveraineté ?

Non. Le critère du Cloud Act est la nationalité de l'opérateur, pas la localisation des serveurs : un datacenter européen opéré par une société américaine reste soumis aux réquisitions américaines. La souveraineté exige un opérateur de droit européen ET un hébergement européen — au niveau le plus exigeant, une qualification SecNumCloud de l'ANSSI.

SecNumCloud est-il obligatoire pour utiliser une IA de réunion ?

Pas pour tout le monde. La doctrine « cloud au centre » l'impose aux systèmes sensibles de l'État, et beaucoup d'acheteurs publics ou régulés en font un critère de sélection. Pour une PME sans contrainte réglementaire, un hébergement souverain français (opérateur européen, données en France) constitue déjà une protection structurelle solide.

Les outils américains sont-ils interdits pour les réunions ?

Non — mais depuis l'arrêt Schrems II, les utiliser pour des contenus sensibles impose une analyse de transfert et des garanties supplémentaires difficiles à démontrer. Pour le secteur public, la santé, le juridique ou la finance, le plus simple et le plus robuste est de ne pas transférer du tout, en choisissant un prestataire européen.

Comment détecter le « souveraineté-washing » d'un fournisseur ?

Demandez des preuves vérifiables : quel modèle d'IA traite les données et qui l'opère ; où est le lien vers l'attestation ou la qualification revendiquée ; le DPA mentionne-t-il des sous-traitants américains ; les contenus servent-ils à entraîner des modèles. Un fournisseur réellement souverain répond par écrit et avec des références publiques à ces quatre questions.

Gilbert répond par écrit aux 10 questions de la grille : hébergement OVHcloud France, SLM propriétaires exécutés en France, zéro entraînement sur vos données, option SecNumCloud.

Tester Gilbert gratuitement