Choisir une région, c'est la résidence, pas la souveraineté
Le réglage a l'air d'être la souveraineté. Vous ouvrez la console, choisissez une région européenne, et vos données résident désormais en Europe. Ce que ce réglage commande, c'est l'endroit où les octets reposent. Ce qu'il ne commande pas, c'est à qui l'on peut ordonner de les produire, et seule la seconde question touche à la souveraineté.
Le CLOUD Act américain permet aux autorités des États-Unis de contraindre un fournisseur basé là-bas à livrer les données qu'il détient, où qu'elles se trouvent dans le monde. Une région européenne ne place pas vos fichiers hors de la juridiction américaine si l'entreprise qui exploite la région répond à un tribunal américain. Le verrou est sur le fournisseur, pas sur le code postal.
Cette année, ce n'est plus théorique. Washington a coupé à un client étranger l'accès à un fournisseur d'IA américain, et l'abstraction est devenue une panne. Pour un dirigeant, la leçon est étroite et pratique: une case de résidence est une pièce de conformité, pas une garantie que votre activité continue si la relation entre deux gouvernements change. La France a bâti SecNumCloud en partie pour exiger l'immunité au droit non européen, c'est-à-dire l'écart même que Valarian vise.
Ce que fait vraiment une couche de contrôle
Valarian, une entreprise de Londres, a levé cette semaine 50 millions de dollars dans une Series A menée par NEA, portant son total à 70 millions. Le produit n'est pas un nuage de plus. C'est une couche de contrôle, nommée ACRA, qui se pose au-dessus du nuage que vous utilisez déjà et applique les règles que la console ne peut pas.
Techniquement, elle tourne au-dessus de Kubernetes et se comporte de la même façon que la charge soit dans un nuage public, dans votre propre centre de données ou sur un réseau isolé. Chaque charge tourne dans sa propre enclave scellée, avec un réseau en refus par défaut, des secrets à durée courte et une journalisation complète. Le client détient les clés de chiffrement, donc le fournisseur n'a aucun accès après le déploiement, et une charge compromise peut être isolée, scellée ou révoquée à l'exécution sans faire tomber ce qui l'entoure.
Cette dernière capacité est justement ce qu'un réglage de résidence ne vous donne jamais: un interrupteur d'arrêt que vous commandez. L'entreprise vend deux lignes, une pour les entreprises régulées et une pour la défense et le secteur public, mais l'architecture est la même. L'affirmation est simple: la souveraineté n'est pas une option qu'on ajoute après, c'est l'endroit où vivent les clés et l'interrupteur.
Pourquoi l'argent américain finance la sortie de secours
Le détail de l'investisseur est révélateur. C'est le premier investissement européen de défense et à double usage de NEA, ce qui veut dire qu'un grand fonds américain parie désormais que les acheteurs européens paieront pour dépendre moins de l'infrastructure américaine. Quand le capital qui finance la sortie de secours vient du pays même que les acheteurs cherchent à contourner, la demande est réelle.
Le décor, c'est l'argent et la méfiance. Les dépenses européennes de défense ont atteint l'an dernier environ 447 milliards de dollars, et les acheteurs publics se retirent des plateformes de données américaines: le Royaume-Uni dénoue un contrat d'État avec Palantir, et le cofondateur de Valarian est sorti de Palantir pour vendre du middleware plutôt qu'une plateforme. Le pari est que la marge durable se loge dans la couche de contrôle entre le client et l'hyperscaler, pas dans les applications au-dessus.
Pour un opérateur européen, cela reformule une question d'achat familière. Le choix n'est plus seulement quel nuage, ni même quelle région, mais si la couche qui gouverne l'accès, le mouvement et l'arrêt vous appartient ou est louée. Les fournisseurs vendent des régions; la souveraineté se décide une couche plus bas.
Les questions avant votre prochain renouvellement
Traitez le prochain renouvellement de nuage ou d'IA comme le moment de tester la différence entre résidence et contrôle. Commencez par les clés: détenez-vous vos propres clés de chiffrement, ou le fournisseur les détient-il pour vous? S'il les détient, on peut le contraindre à s'en servir.
Testez ensuite l'interrupteur et la sortie. Existe-t-il un interrupteur d'arrêt que vous pouvez actionner sans la coopération du fournisseur? Sortir les données exige-t-il votre accord ou celui du fournisseur? La même charge peut-elle tourner sans changement dans votre propre centre de données ou sur un site isolé si la relation hébergée prend fin? Chaque réponse qui dépend du fournisseur est un point où la souveraineté est une promesse, pas une architecture.
Rien de tout cela n'exige d'abandonner AWS ou Azure demain, et la conception même de Valarian suppose que vous continuerez à les utiliser. Cela exige de savoir quelles garanties vous avez écrites et lesquelles vous avez seulement supposées. Le réglage de région n'a jamais été le contrôle de souveraineté; les clés et l'interrupteur l'ont toujours été.
À lire ensuite: Le réseau, pas les puces, plafonne l'essor de l'IA britannique | Amazon a emprunté 25 milliards de dollars pour sa capacité IA



