Google Vertex AI Agent Builder « EU Sovereign » : ce que ça protège vraiment — et ce que ça ne protège pas
Google Cloud annonce une version « EU Sovereign » de Vertex AI Agent Builder, avec données confinées en Europe. L'annonce est séduisante pour les DSI en quête de conformité RGPD, mais une analyse détaillée révèle des limites importantes : Google reste une société américaine soumise au Cloud Act et au FISA 702, quelle que soit la localisation des serveurs.
Google Cloud frappe fort avec l'annonce d'une version « EU Sovereign » de Vertex AI Agent Builder : les données de vos agents IA seraient confinées dans des datacenters européens, avec une équipe de support dédiée sans accès aux ingénieurs américains. L'argument commercial est clair. L'analyse juridique l'est moins.
Ce que « EU Sovereign » couvre réellement
- Données au repos et en transit stockées exclusivement dans l'UE (Frankfurt, Netherlands)
- Isolation logique des accès : techniciens européens uniquement en accès courant
- Conformité RGPD au sens de la localisation des données (Art. 44-49)
- Accord de traitement des données (DPA) conforme, BCR Google applicable
Ce que « EU Sovereign » ne couvre pas
C'est ici que le marketing diverge du droit. Google LLC reste une société de droit américain, soumise au Cloud Act (Clarifying Lawful Overseas Use of Data Act). Les autorités américaines peuvent exiger la communication de données hébergées n'importe où dans le monde par une entité américaine — y compris en Europe.
De même, le FISA 702 (Foreign Intelligence Surveillance Act) permet la collecte de renseignement sur des non-citoyens américains sans mandat judiciaire préalable. Le Privacy Shield 2.0 (Data Privacy Framework) atténue partiellement ce risque pour les transferts de données personnelles, mais ne couvre pas les données stratégiques d'entreprise.
Ce qu'il faut retenir
- EU Sovereign ≠ immunité Cloud Act : Google reste soumis au droit américain
- Localisation européenne = conformité RGPD localisation, pas souveraineté pleine
- FISA 702 : risque de surveillance intelligence sur données non-US citizens
- Approprié pour : données non classifiées, usage collaboratif, conformité RGPD stricte
- Non approprié pour : données couvertes secret des affaires, données de défense, données santé HDS, données judiciaires
Qui peut s'en contenter ?
Pour une entreprise commerciale traitant des données clients non-sensibles, EU Sovereign Vertex AI représente un progrès réel par rapport à une version standard. Le RGPD est couvert. En revanche, pour les entreprises soumises à des obligations sectorielles strictes (SecNumCloud, HDS, IGI 1300), ou traitant des données commercialement stratégiques, il faut aller plus loin.
Le bon cadre d'analyse
Posez-vous la question : si cette donnée était communiquée à un concurrent ou à une administration étrangère, quel serait l'impact ? Si la réponse est « significatif », EU Sovereign Google n'est pas suffisant — quelle que soit la qualité du produit.