Pourquoi votre organisation a besoin de V-PROOF non d'une plateforme extérieure à l'Union européenne

Pourquoi votre organisation a besoin de V-PROOF non d’une plateforme extérieure à l’Union européenne — V-PROOF
Veille réglementaire Gouvernance de l'IA Souveraineté technologique
ANALYSE STRATÉGIQUE · GARTNER MQ AI GOVERNANCE 2026 · MARCHÉ EUROPÉEN

Pourquoi votre organisation a besoin de V-PROOF
et non d'une plateforme située en dehors de l'Union européenne

En juin 2026, Gartner a publié le premier « Magic Quadrant » consacré aux plateformes de gouvernance de l’IA. Parmi les 13 fournisseurs évalués, aucun n’est issu de l’Union européenne. Alors que la EU AI Act la souveraineté des données, la plupart des organisations européennes continuent d’évaluer des outils soumis à des juridictions étrangères au cadre juridique de l’UE — aux États-Unis, au Royaume-Uni post-Brexit ou auprès de fournisseurs d’origine asiatique. Cette analyse examine pourquoi ce choix pourrait constituer le principal risque réglementaire de l'exercice.

Date · Juillet 2026
Type · Analyse comparative
Champ d'application · EU AI Act RGPD · CLOUD Act · eIDAS
Référence · Gartner MQ AI Governance, juin 2026
Principales conclusions

Ce que conclut cette analyse

01
Le CLOUD Act (2018) oblige toute entreprise d'origine américaine à transmettre des données aux autorités américaines sur ordonnance judiciaire, quel que soit le pays où ces données sont hébergées. Cela concerne toutes les plateformes de gouvernance de l'IA basées aux États-Unis — ainsi que les fournisseurs de services cloud américains (AWS, Azure, GCP) si le client héberge son infrastructure dans leurs régions.
02
EU AI Act, le RGPD et l'eIDAS exigent conjointement que les données issues des systèmes d'IA à haut risque, traitées à des fins d'audit et de certification, restent sous contrôle souverain européen. L'utilisation d'une plateforme soumise au CLOUD Act pour gérer ces preuves constitue une contradiction juridique structurelle.
03
V-PROOF est la première plateforme espagnole et européenne de certification et de mise en œuvre de EU AI Act des preuves cryptographiques immuables et un déploiement sur site. En tant que fournisseur espagnol, elle n'est pas soumise au CLOUD Act et n'a pas accès aux données des clients. La souveraineté totale exige, en outre, que le client déploie la solution sur une infrastructure dont le siège social est situé dans l'UE.

Un marché comptant plus de 100 fournisseurs, dominé par des juridictions extérieures à l'UE

En juin 2026, Gartner a publié son premier « Magic Quadrant for AI Governance Platforms », une étape importante qui confirme la maturité du marché. Treize fournisseurs ont été évalués. La conclusion de Gartner est révélatrice : « Avec plus de 100 fournisseurs proposant des solutions de gouvernance de l’IA, l’évaluation des différentes options peut rapidement devenir un véritable casse-tête ». Très peu de ces produits, ajoute Gartner, répondent à l’ensemble des besoins des responsables de la gouvernance de l’IA au niveau de l’entreprise.

Ce que Gartner ne dit pas explicitement, mais que le marché européen devrait lire entre les lignes : aucun des 13 fournisseurs évalués n'appartient à l'Union européenne. La plupart sont d’origine américaine, mais il y en a aussi de britanniques (post-Brexit, hors RGPD), et même d’origine asiatique. Lorsqu’une organisation espagnole ou européenne évalue un fournisseur de gouvernance de l’IA, elle choisit, dans la plupart des cas, parmi des outils conçus pour des marchés ne relevant pas du cadre juridique européen.

Cette asymétrie — le recours à des outils provenant de pays tiers pour se conformer à une réglementation de l'UE — n'est pas une question de préférence. Il s'agit d'une contradiction juridique que les équipes juridiques et les délégués à la protection des données (DPO) des organisations européennes doivent résoudre avant de signer tout contrat.

100+
Fournisseurs classés dans le «
» sur la gouvernance de l'IA à l'échelle mondiale
(Gartner, 2026)
13
Fournisseurs évalués dans le premier « Gartner MQ » de l’

, AI Governance (juin 2026)
€35M
Amende maximale prévue par EU AI Act
en cas de non-respect
(art. 99)

La juridiction du fournisseur : la clause dont personne ne parle dans les démonstrations

Lorsqu’un fournisseur de solutions de gouvernance de l’IA établi hors de l’UE présente sa plateforme, il montre des tableaux de bord de conformité, des schémas de mise en correspondance avec EU AI Act des flux d’approbation des modèles. Ce qui n’apparaît sur aucune diapositive, c’est la réalité juridique liée à son siège social : quel pays peut exiger vos données, en vertu de quelle loi, et sans que vous puissiez vous y opposer.

Le cas le mieux documenté est celui des États-Unis :

La loi CLOUD ( Clarifying Lawful Overseas Use of Data Act, 2018) permet aux autorités judiciaires américaines d'exiger de toute entreprise ayant son siège aux États-Unis qu'elle leur remette des données stockées partout dans le monde, y compris sur des serveurs situés en Europe. Cette obligation est unilatérale : elle ne nécessite pas le consentement du pays où se trouvent les données et ne passe pas par les mécanismes de coopération judiciaire de l'UE.

L'impact direct de EU AI Act sur la gestion EU AI Act clair : si votre organisation utilise une plateforme américaine pour enregistrer la documentation technique de ses systèmes d'IA à haut risque — données d'entraînement, journaux d'audit, évaluations des risques, métadonnées des modèles —, ces informations peuvent, en théorie, être soumises à des demandes du gouvernement américain à votre insu et sans que vous puissiez l'empêcher.

⚠ Risque réglementaire identifié

Les articles 10 et 16EU AI Act exigent que les fournisseurs de systèmes à haut risque assurent un contrôle adéquat de la documentation technique et des données d'entraînement. Les articles 28 et 46 du RGPD restreignent le transfert de données vers des pays tiers ne disposant pas de garanties équivalentes. Un fournisseur soumis au CLOUD Act ne peut garantir ces conditions avec une certitude juridique absolue, quel que soit l'emplacement de ses serveurs.

Le risque n’est pas hypothétique. Depuis 2020, le conflit entre le CLOUD Act et le RGPD a fait l’objet de litiges, d’avis du Contrôleur européen de la protection des données et d’analyses de la Commission européenne. Et le CLOUD Act n’est pas le seul facteur à prendre en compte : les prestataires basés au Royaume-Uni (après le Brexit), en Chine ou dans tout autre pays hors de l’UE sont également soumis à des cadres juridiques incompatibles avec le RGPD et EU AI Act. La conclusion est toujours la même : la seule solution structurelle consiste à choisir des prestataires dont le siège social est situé au sein de l’Union européenne.

Les principaux acteurs du « Magic Quadrant » de Gartner et leur déficit de souveraineté

Nous présentons ci-dessous les cinq principaux acteurs du marché de la gouvernance de l'IA présents en Europe, leur position dans le Magic Quadrant 2026 de Gartner et leur déficit structurel pour les organisations tenues de se conformer à la EU AI Act la souveraineté européenne. Aucun d'entre eux n'a son siège social dans l'Union européenne.

IA holistique
Royaume-Uni / États-Unis

Position dans le Magic Quadrant de Gartner : Challenger. N° 1 dans la catégorie « AI Risk & Compliance Use Case ». Plateforme de bout en bout avec détection par IA, tests de biais et mise en conformité. Couverture technique solide de EU AI Act, du NIST et de la norme ISO 42001.

Atteinte à la souveraineté : siège social aux États-Unis avec des activités au Royaume-Uni. Infrastructure cloud. Données traitées hors du contrôle « sur site » du client. Pas de conformité native à la directive eIDAS. Pas de preuve cryptographique immuable.
Monitaur
États-Unis

Position dans le « Magic Quadrant » de Gartner : « Visionnaire ». « Customer Favorite » dans le « Forrester Wave ». Fort dans le domaine de l'assurance et des services financiers aux États-Unis. Cycle de vie complet des modèles avec gestion des politiques et validation automatisée.

Lacune en matière de souveraineté : l’accent est principalement mis sur la réglementation américaine (loi locale n° 144 de New York, NAIC). Couverture limitée prévue par la loi EU AI Act). Solution basée sur le cloud, infrastructure américaine. Application de la loi CLOUD Act. Pas d’eIDAS.
OneTrust AI Governance
États-Unis

Position dans le Magic Quadrant de Gartner : Présent dans le Magic Quadrant. Module de gouvernance de l'IA ajouté à une plateforme de référence en matière de confidentialité/GRC. Vaste écosystème d'intégrations et base installée en entreprise en Europe.

Lacune en matière de souveraineté : AI Governance en tant que module complémentaire d'une plateforme de confidentialité, non native. Siège social à Atlanta, Géorgie. Approche « cloud-first ». Soumis au CLOUD Act. Pas de preuves cryptographiques. Non conforme à l'eIDAS.
ServiceNow IRM
États-Unis

Position dans le Magic Quadrant de Gartner : Présent. Module AI Risk intégré à la plateforme GRC d'entreprise. Fortement adopté par les grandes entreprises ayant déjà déployé ServiceNow comme solution ITSM.

Lacune en matière de souveraineté : mise à niveau de la gouvernance de l'IA sur une solution GRC générique. Pas de cycle de vie des modèles. Pas de preuve cryptographique. Architecture SaaS avec des données hébergées dans le cloud américain. Le CLOUD Act s'applique. Pas d'eIDAS.
IBM OpenPages MRM
États-Unis

Position dans le Magic Quadrant de Gartner : Présent. Expérience dans la gestion des risques liés aux modèles dans le secteur bancaire. Fort dans les secteurs réglementés utilisant des modèles d’apprentissage automatique (ML) pour le scoring, le risque de crédit et la souscription.

Lacune en matière de souveraineté : champ d'application EU AI Act et non natif de EU AI Act . Infrastructure IBM Cloud. Applicabilité du CLOUD Act. Non-conformité à l'eIDAS. Absence de blockchain/DLT pour garantir l'inaltérabilité à des fins de preuve.
V-PROOF
Espagne · UE

Position : Première plateforme espagnole et européenne de certification et de mise en œuvre de EU AI Act des preuves cryptographiques immuables. Conçue dès le départ pour s'inscrire dans le cadre réglementaire européen.

Avantage en matière de souveraineté : V-PROOF a V-PROOF accès aux données des clients et n’est pas soumise aux exigences du CLOUD Act en tant que fournisseur. La souveraineté totale est garantie lorsque le déploiement s’effectue sur une infrastructure dont le siège social est situé dans l’UE. SHA-256 + DLT immuable. EU AI Act . Conforme au RGPD dès la conception. Conforme à la directive eIDAS.

Matrice de souveraineté : V-PROOF . plateformes hors UE

Le tableau ci-dessous évalue les critères structurels qui permettent de déterminer si une plateforme de gouvernance de l'IA est conforme aux exigences en matière de souveraineté prévues par la EU AI Act sur EU AI Act, le RGPD et le règlement eIDAS pour les organisations européennes.

Critère V-PROOF
Espagne · UE

s sur l'IA holistique (Royaume-Uni/États-Unis)
Monitaur
États-Unis
OneTrust
États-Unis
ServiceNow
États-Unis
Entreprise d'origine européenne / espagnole
Non soumis au CLOUD Act américain.
Déploiement sur site (les données ne quittent pas les locaux du client)
Preuve cryptographique immuable (SHA-256 + DLT)
Conformité native à la directive eIDAS 2.0
Vérification indépendante sans accès aux données d'origine
EU AI Act , non adaptée) Partiel Partiel Partiel
Cycle de vie complet des modèles internes / LLM Partiel
« Human-in-the-Loop avec un ratio IA/humain enregistré Partiel Partiel
RGPD dès la conception (pas de transferts vers des pays tiers) Partiel Partiel Partiel
Couverture : droits d'auteur et IA générative (ensembles de données, option de refus, litiges) Partiel
Priorité aux API, intégration CI/CD et environnement d'entreprise existant

Source : analyse V-PROOF sur la documentation publique de chaque fournisseur, le Magic Quadrant de Gartner sur les plateformes de gouvernance de l'IA (juin 2026) et le cadre réglementaire EU AI Act RGPD / eIDAS. Aucun des fournisseurs comparés n'a son siège social dans l'Union européenne. Le terme « partiel » indique une couverture incomplète ou dépendante d'une configuration spécifique.

La liste de contrôle de la souveraineté : 10 questions à se poser avant de choisir votre plateforme de gouvernance de l'IA

Avant de signer un contrat avec un fournisseur de solutions de gouvernance de l'IA, votre délégué à la protection des données (DPO), votre responsable de la sécurité des systèmes d'information (CISO) et votre équipe juridique devraient pouvoir répondre par l'affirmative à ces dix critères. V-PROOF respecte intégralement.

1. Les données ne quittent-elles jamais votre infrastructure ?
Déploiement sur site réel. Ni les métadonnées, ni les hachages, ni la documentation technique ne transitent par des serveurs externes au client.
RGPD, art. 28 · EU AI Act . 10
2. Le fournisseur se trouve-t-il hors du champ d'application du CLOUD Act ?
V-PROOF une entreprise espagnole : elle ne peut être contrainte de communiquer les données de ses clients en vertu d'une décision américaine. Remarque : si le client utilise une infrastructure cloud américaine (AWS, Azure US…), le fournisseur de services cloud est quant à lui soumis au CLOUD Act. Pour bénéficier d'une protection complète, il est nécessaire de disposer d'une infrastructure dont le siège social est situé dans l'UE.
CLOUD Act (2018) · Schrems II CJUE · RGPD, art. 46
3. Les preuves sont-elles immuables d'un point de vue cryptographique ?
SHA-256 + enregistrement DLT sur une infrastructure publique. Les preuves ne peuvent pas être modifiées a posteriori, pas même par le fournisseur.
EU AI Act . 12 · eIDAS, art. 41
4. L'autorité de régulation peut-elle vérifier sans avoir accès au document original ?
Vérification indépendante à partir du hash uniquement. L'auditeur ou l'autorité de régulation vérifie l'intégrité sans consulter le contenu confidentiel.
EU AI Act . 14 · eIDAS 2.0
5. Couvre-t-il l'ensemble du cycle de vie des modèles linguistiques de grande envergure (LLM) ?
De la collecte des données et de l'analyse exploratoire (EDA) jusqu'au staging et à la mise en production. Chaque version est dotée de V-Seal . L'historique des modèles n'ayant pas passé l'évaluation est également consigné.
EU AI Act 53 à 55 (GPAI) · Article 16
6. Enregistre-t-il le ratio IA/humain avec une identité vérifiable ?
« Human-in-the-Loop à la source. Auteur, rôle et contexte réglementaire enregistrés par action, et non par processus.
EU AI Act . 14 (contrôle humain)
7. Est-il conforme à la directive eIDAS 2.0 ?
Sceau temporaire et preuves cryptographiques ayant force de loi dans toute l'UE. Garantit la non-répudiation et l'authenticité dans le cadre des procédures judiciaires européennes.
Règlement eIDAS (UE) n° 910/2014
8. Couvre-t-il les obligations en matière de droits d'auteur et de GenAI ?
Documentation relative à l'origine et à l'utilisation des ensembles de données avec un niveau de détail conforme aux exigences légales. Contrôles des licences et clauses d'exclusion prévus en vue d'éventuels litiges concernant l'IA générative.
EU AI Act . 53, par. 1, point c) · Directive sur la propriété intellectuelle
9. S'intègre-t-il sans modifier l'architecture existante ?
API RESTful, SDK natifs (Node.js, iOS, Android), GitHub Actions, CI/CD. Conformité intégrée dans le flux opérationnel existant. Sans refonte.
EU AI Act . 16 · Mise en œuvre technique
10. La plateforme est-elle conforme au cadre réglementaire européen ?
Conçue dès le départ pour répondre aux exigences de EU AI Act, du RGPD et de l'eIDAS, et non adaptée à partir d'un produit américain déjà conforme.
Conception réglementaire native · Souveraineté de l'UE

Première plateforme espagnole et européenne de certification et de mise en œuvre de EU AI Act)

Lorsque la EU AI Act dans sa phase d'exigences la plus stricte — août 2026 pour les systèmes à haut risque de l'annexe III —, le marché européen aura besoin de fournisseurs qui non seulement connaissent le règlement, mais qui aient également été spécialement conçus pour s'y conformer, depuis une juridiction compatible avec ses exigences.

V-PROOF est la première plateforme espagnole et, dans sa catégorie spécifique de preuves cryptographiques pour la gouvernance de l'IA, la première en Europe. Elle n'a pas été conçue à l'origine comme une plateforme de protection de la vie privée à laquelle on aurait ajouté un module d'IA. Elle n'a pas non plus été conçue comme une solution GRC américaine dotée d'une couche conforme à EU AI Act. Elle a été conçue comme une infrastructure de confiance pour l'économie de l'IA, fondée sur les principes du droit européen.

V-PROOF · Positionnement

Le premier niveau de confiance technique mis en place par l'Europe, pour l'Europe

Preuve cryptographique immuable. Cycle de vie complet des modèles. Validation humaine vérifiable. Conformité native à EU AI Act, au RGPD et à l'eIDAS. Déploiement sur site. Hors juridiction américaine.

EU AI Act Conforme à eIDAS 2.0 RGPD dès la conception Sur site SHA-256 + DLT Souveraineté européenne

La souveraineté technologique n’est pas un argument de vente. Il s’agit d’une exigence juridique découlant de l’intersection entre le CLOUD Act, le RGPD, EU AI Act l’eIDAS. Les organisations européennes qui gèrent des systèmes d’IA à haut risque via des plateformes relevant de la juridiction américaine s’exposent à un risque juridique qui, dans le pire des cas, pourrait invalider leurs propres preuves de conformité.

La question n'est pas de savoir s'il faut adopter une norme de gouvernance de l'IA. La question est de savoir si cette norme sera reconnue par l'autorité de régulation européenne lorsque viendra le moment de présenter des preuves.

V-PROOF · Analyse stratégique de la souveraineté

V-PROOF le marché européen de la gouvernance de l'IA : position concurrentielle

Atouts structurels distinctifs par rapport aux plateformes de pays tiers

F
Points forts
  • Seule plateforme européenne dotée d'une preuve cryptographique immuable (SHA-256 + DLT) pour la gouvernance de l'IA EU AI Act . 12 · eIDAS, art. 41
  • Solution native sur site : V-PROOF accède V-PROOF aux données du client et n'en assure pas la conservation. En tant que fournisseur espagnol, il n'est pas soumis au CLOUD Act. La souveraineté totale est garantie en associant V-PROOF une infrastructure européenne. RGPD, art. 28 · art. 46 · Schrems II
  • Cycle de vie complet des modèles ML/LLM internes : de l'acquisition des données au déploiement en production avec V-Seal version EU AI Act . 53-55 (GPAI)
  • Human-in-the-Loop : rapport IA/humain, identité et rôle enregistrés pour chaque action dans le flux opérationnel EU AI Act . 14
  • Une approche « API-first » sans refonte : intégration dans CI/CD, SAP, Salesforce, Oracle et plus de 8 ERP. Aucune difficulté pour l'équipe technique EU AI Act . 16 · Mise en œuvre
V-PROOF · Étape suivante

Votre organisation utilise-t-elle une plateforme située en dehors de l'UE pour se conformer à une norme européenne ?

Nous évaluons votre pile actuelle de gouvernance de l'IA, identifions votre exposition aux juridictions extérieures à l'UE et concevons l'architecture de traçabilité dont votre organisation aura besoin d'ici août 2026, sans modifier votre infrastructure.

Parlons-en →
Sources et références
  1. Règlement (UE) 2024/1689 du Parlement européen et du Conseil — EU AI Act — Journal officiel de l'UE, juillet 2024.
  2. Gartner, « Magic Quadrant for AI Governance Platforms » — Lauren Kornutick, Sumit Agarwal, Priya Sundararaman, Nader Henein, Brandon Medford — 16 juin 2026.
  3. Gartner, « Critical Capabilities for AI Governance Platforms » — 17 juin 2026.
  4. Loi clarifiant l'utilisation légale des données à l'étranger (CLOUD Act, 2018) — 18 U.S.C. § 2713 — Gouvernement des États-Unis
  5. Règlement (UE) 2016/679 — RGPD — Articles 28, 44 à 46, Transferts internationaux de données.
  6. Règlement (UE) n° 910/2014 — eIDAS — Cadre européen pour l'identité numérique et les services de confiance.
  7. Holistic AI, Holistic AI figure dans le tout premier Magic Quadrant™ de Gartner® consacré aux plateformes de gouvernance de l'IA — juillet 2026 — holisticai.com
  8. Contrôleur européen de la protection des données, Avis préliminaire sur l'interaction entre le CLOUD Act et la législation de l'UE en matière de protection des données — CEPD, 2021.

Proposé par V-Proof

Suivant
Suivant

Calendrier de mise en œuvre de la EU AI Act: ce qui est déjà obligatoire et ce qui change avec le « Digital Omnibus »