1. Souveraineté juridique
Siège social UE + DPA EU disponible + non soumis au CLOUD Act / FISA Section 702 / Schrems II. Note 5/5 = société EU pure. 0/5 = société US avec données traitées aux États-Unis sans transfert légalement encadré.
Recommandations
Siège social UE + DPA EU disponible + non soumis au CLOUD Act / FISA Section 702 / Schrems II. Note 5/5 = société EU pure. 0/5 = société US avec données traitées aux États-Unis sans transfert légalement encadré.
Licence permissive (MIT, Apache 2.0, BSD) ou copyleft acceptable (LGPL, EUPL) avec code public auditable. Note 5/5 = OSS publié + audits communautaires existants. 0/5 = propriétaire fermé, aucune visibilité technique.
L'outil peut tourner offline / on-premise / air-gappé. Vos données restent chez vous, aucune dépendance réseau au runtime. Note 5/5 = exécution 100 % locale possible. 0/5 = SaaS pur, obligatoire en cloud.
Le point de traitement effectif (datacenter, vector store, modèle) est physiquement en UE. Anti-greenwashing : vendor EU ≠ déploiement EU. Note 5/5 = data residency UE garantie + auditable. 0/5 = hébergement US ou autre juridiction tierce sans CCT.
Releases stables, gouvernance claire, communauté active, supports MR / SLA documentés. Note 5/5 = OSS reconnu 5+ ans, releases trimestrielles, multi-mainteneurs. 0/5 = projet alpha, mainteneur unique, abandonné < 6 mois.
L'outil documente clairement : quels logs sont collectés, combien de temps conservés, qui y accède, opt-out facile. Note 5/5 = politique data lisible + ZDR documenté. 0/5 = floute volontairement, opt-out impossible ou enterré.
25-30 / 30
Adapté à tous usages professionnels EU, y compris traitement de données sensibles (santé, biométrie, RH, mineurs). Vous pouvez en faire un pilier de votre stack sans précaution juridique additionnelle.
18-24 / 30
Adapté aux usages professionnels EU à condition que vous ne traitiez pas de données sensibles avec. Pour les traitements à risque élevé (Art. 35 AIPD), prévoyez un fallback EU souverain.
10-17 / 30
Acceptable pour votre propre productivité (rédaction, recherche, brainstorm) sans données client. À ne PAS utiliser pour un produit ou service exposé à des utilisateurs européens.
0-9 / 30
Non recommandé même pour usage personnel professionnel. Si vous l'utilisez quand même, documentez le risque + ayez un plan de migration. La conformité RGPD + AI Act devient hors d'atteinte.
11 outils affichés sur 11 référencés
LLM · 🇫🇷 France
28/30
Tier 1 : Pro data sensible (open-weight self-host)
Open-weight (Mistral Nemo, Mixtral) hébergé sur OVH AI Endpoints 🇫🇷 ou Scaleway 🇫🇷 = combinaison souveraine quasi-idéale. Nuance importante : Mistral Cloud Standard via GCP US ne tient pas la note (-7 points → 21/30 Tier 2). Mistral Compute (Essonne 🇫🇷, dispo H2 2026) = note conservée.
AIPD generator · 🇫🇷 France
27/30
Tier 1 : Pro data sensible
Outil officiel CNIL, GPL-3.0, application Electron locale. Notre POSITRONIA-CORE exporte un format compatible pour finalisation utilisateur dans son client PIA local.
Hosting + SaaS · 🇨🇭 Suisse
27/30
Tier 1 : Pro data sensible
🇨🇭 Suisse, écosystème complet (mail, drive, calendrier, visio, hosting). Hors UE mais sous Convention 108+ + équivalence RGPD reconnue. Pivot Phase C EuTrustedIA prévu vers Infomaniak.
Hosting + AI · 🇫🇷 France
26/30
Tier 1 : Pro data sensible
🇫🇷 France, SecNumCloud disponible pour exigences haut niveau ANSSI. AI Endpoints expose des modèles open-weight (Mistral, LLaMA) hébergés UE.
Hosting + AI · 🇫🇷 France
26/30
Tier 1 : Pro data sensible
🇫🇷 France (Iliad). Generative APIs avec Mistral + LLaMA. Datacenter Paris. Alternative directe AWS / Azure / GCP en EU souverain.
Paiement SaaS · 🇳🇱 Pays-Bas
22/30
Tier 2 : Pro (paiement uniquement, pas data personnelles étendues)
🇳🇱 Pays-Bas, propriétaire mais souverain UE. DPA EU signée. Stack EuTrustedIA en utilise Mollie. Pas OSS donc plafond à 22/30 par construction.
Hosting frontend · 🇺🇸 USA
13/30
Tier 2 : Pro Phase A acceptable (DPA EU Frankfurt), à migrer Phase C
Société US, mais data region Frankfurt + DPA EU signables. Incident novembre 2025 Context.ai sur exposition variables non sensibles. Stack EuTrustedIA Phase A. Migration Phase C vers Infomaniak Public Cloud planifiée. Nuance plan : Vercel Hobby/Pro identiques côté souveraineté ; Vercel Enterprise ajoute audit logs + SOC 2 + DPA renforcée mais ne change pas la juridiction US.
LLM SaaS · 🇺🇸 USA
13-22/30
Tier 2-3, selon plan
Société US, soumise au CLOUD Act. Trois plans, trois scores : (1) Plan Consumer Pro = 13/30 Tier 3 usage personnel uniquement, retraining par défaut. (2) Plan Workspace API avec DPA EU = 16/30 Tier 3 acceptable Niveau 2 EUDAI. (3) Plan Enterprise (Zero Data Retention + audit logs + DPA stricte + EU data region) = 22/30 Tier 2 acceptable Pro sans data sensible. La méthodologie reste publique : le score dépend du contrat signé.
LLM SaaS · 🇺🇸 USA
10-19/30
Tier 3, selon plan
Société US, soumise CLOUD Act + plainte CNIL active. Plans différenciés : (1) ChatGPT Plus consumer = 10/30 Tier 3 retraining par défaut, opacité prompts. (2) ChatGPT Team = 14/30 Tier 3 opt-out training mais conservation 30j. (3) ChatGPT Enterprise + API avec Zero Data Retention + DPA EU = 19/30 Tier 3 frontière Tier 2. Acceptable Niveau 2 EUDAI Enterprise uniquement.
LLM SaaS · 🇺🇸 USA
10-19/30
Tier 3, selon configuration
Société US (Microsoft Corp), soumise au CLOUD Act + FISA 702 — l'EU Data Boundary (résidence Azure Frankfurt) n'efface pas la juridiction de la société-mère. Profil multi-casquette (Copilot, Azure OpenAI, Frontier Tuning) : (1) Copilot par défaut dans Windows / Office = IA subie non auditée, usage souvent non documenté ~10/30 Tier 3. (2) Azure OpenAI + EU Data Boundary + DPA + opt-out training = configuration acceptable ~19/30 Tier 3. Deux points de vigilance propres à Microsoft : le fine-tuning continu (Frontier Tuning) sans mécanisme d'effacement RGPD Art. 17 documenté, et l'absence d'outillage AI Act (Art. 9/11/72) pour le système évolutif. Acceptable si : EU Data Boundary activé + DPA signée + Copilot configuré (opt-out) + pas de fine-tuning sur données sensibles sans AIPD. Alternative souveraine : Mistral 🇫🇷, Aleph Alpha 🇩🇪. Évalué avec la même grille que tous les vendors : un déploiement Microsoft correctement configuré peut obtenir un rapport vert conditionnel.
LLM SaaS · 🇺🇸 USA
9-15/30
Tier 3-4, selon plan
Google soumis CLOUD Act + Workspace AI activé par défaut 2025 sans consentement explicite (plaintes CNIL multiples). Plans : (1) Gemini consumer + Workspace AI activé par défaut = 9/30 Tier 4. (2) Gemini Enterprise avec DPA EU + data region UE + opt-out training = 15/30 Tier 3. Non-recommandé V0 pour data sensible utilisateurs européens même en Enterprise.