Qu’est-ce que la souveraineté ?

La souveraineté n’est pas un slogan, c’est la capacité à :

• Répondre aux meilleures pratiques et exigences européennes en matière de protection et d’intégrité des données.
• Limiter les risques liés à des fournisseurs soumis à des législations étrangères à portée extraterritoriale.
• Garantir le respect du RGPD.

Pour un CLM, cela signifie concrètement savoir où sont hébergées les données, qui peut y accéder et selon quelles règles.
‍

Pourquoi c’est critique dans un projet CLM 

Les contrats concentrent les informations sensibles d’une organisation : propriété intellectuelle, brevets, engagements stratégiques, conditions commerciales.

• Le Cloud Act repose sur un principe d’extraterritorialité : il permet, sous certaines conditions, aux autorités américaines de demander l’accès à des données hébergées par des prestataires américains, y compris lorsqu’elles sont physiquement localisées hors du territoire des États-Unis.
• Les exigences du RGPD et du Data Act européen se renforcent : la convergence réglementaire européenne s’accélère depuis 18 mois.

Dans les projets CLM, les directions IT et RSSI imposent désormais la souveraineté comme un critère préalable, voire bloquant, avant toute décision d’achat. Les directions juridiques ont besoin d’arguments clairs et défendables pour répondre aux exigences IT.
‍

Les 3 piliers Gino

Souveraineté activable : Gino permet, lorsque l’organisation l’exige, un déploiement dans un environnement d’hébergement 100 % souverain en France via OVHcloud. Ce n’est pas une contrainte par défaut : c’est une capacité activée selon le contexte client.

Sécurité sur deux couches : la sécurité chez Gino ne se limite pas à l’hébergement. Elle combine une infrastructure robuste et une approche security by design dans le produit, avec cloisonnement des données, gestion avancée des habilitations et traçabilité. La sécurité est intégrée à chaque étape du développement, pas ajoutée en bout de chaîne.

IA maîtrisée et paramétrable : l’offre IA de Gino est paramétrable (choix du fournisseur), désactivable, et conçue pour éviter toute utilisation des données clients à des fins d’entraînement, avec des périmètres cloisonnés par client.
‍

Infrastructure

• Cloud privé OVHcloud : Hébergement dédié, opéré par un acteur français et permettant de répondre aux exigences européennes en matière de protection des données (notamment RGPD).
  ‍
• PCA/PRA en France : Plan de continuité et de reprise d’activité avec deux sites français : Gravelines (principal) et Paris (secondaire)
  ‍‍
• Redondance France-France : Les deux sites sont géographiquement distincts, avec une continuité d’activité prévue sans sortie du territoire français.
  ‍

Produit

1. Journal d’audit : On peut prouver qui a fait quoi, quand
   ‍
2. Security by design : La sécurité n’est pas un audit en fin de projet : elle est intégrée à la conception du produit, en continu
   ‍
3. Cloisonnement des données : Tout le monde n’a pas accès à tout : les données sont segmentées par BU, entité, périmètre
   ‍
4. Gestion avancée des habilitations : Chaque utilisateur accède uniquement à ce dont il a besoin et cette segmentation évolue avec l’organisation (acquisitions, nouvelles BU, nouveaux rôles)
   ‍

En pratique pour une direction juridique ‍

Grâce à des choix d’architecture et de conception clairement définis (hébergement en France activable, continuité d’activité, cloisonnement des données, traçabilité), la direction juridique peut :

• Avancer dans un benchmark CLM sans être stoppée par une question de sécurité ou de souveraineté.
• Répondre aux premières exigences IT en s’appuyant sur des éléments factuels et vérifiables.
• S’appuyer sur une infrastructure et un produit capables de satisfaire les exigences IT lorsque le niveau d’analyse se renforce.

‍