La souveraineté technologique ne se joue pas qu’au niveau du logiciel. Elle se joue aussi au niveau de l’hébergement, du capital et de la chaîne de distribution — trois dimensions juridico-financières que la thèse 7 du manifeste désigne comme le « droit de regard et de coupure » qu’une juridiction étrangère peut exercer sur ce qu’on croit posséder.
Trois engagements traitent ces dimensions.
Hébergement européen par défaut (cf. fiche pub-008). Pour un fournisseur — éditeur SaaS, hébergeur, intégrateur — l’hébergement européen comme position par défaut signifie que les données client transitent et résident dans une juridiction qui les protège effectivement. Cela couvre la localisation physique des datacenters, la juridiction effective de l’opérateur (un opérateur français peut être filiale d’une entité américaine, ce qui le soumet potentiellement au CLOUD Act), les services managés sous-jacents (un PaaS européen qui revend du Google Kubernetes Engine n’offre pas la même garantie qu’un PaaS construit sur une stack souveraine).
Clauses statutaires de protection contre rachat hors UE (cf. fiche pub-012). Sans verrou statutaire, un éditeur français change de juridiction de référence du jour au lendemain : Aleph Alpha racheté par Cohere en avril 2026, Silo AI par AMD en août 2024, MariaDB passée sous K1 Investment en septembre 2024 — autant de transitions qui n’auraient pas dû surprendre les clients, mais qui les ont surpris faute de protection contractuelle ou statutaire. Pacte d’actionnaires limitant la cession à des entités hors UE ; droits de préemption pour des fonds européens ; golden share publique pour les fournisseurs d’intérêt stratégique ; action spécifique à droits de blocage. Ces mécanismes complètent les dispositifs étatiques (IEF en France, AWG en Allemagne, Golden Power en Italie) sans s’y substituer.
Documentation publique de la juridiction de la chaîne d’approvisionnement côté acheteur (cf. fiche user-005). Les organisations utilisatrices peuvent — et doivent — rendre lisible la juridiction effective de leurs forges, registres de paquets, registres de conteneurs, services de CI/CD, services tiers d’infrastructure. Cette documentation n’est pas un audit : c’est un inventaire qui permet à l’organisation d’identifier ses propres points uniques de défaillance juridictionnels, et qui contribue, à l’échelle agrégée, à l’observatoire des lacunes du dispositif.
Ces trois engagements n’ont pas la même cible — fournisseur, fournisseur, utilisateur — mais ils traitent la même surface d’exposition : ce que la juridiction d’un acteur tiers peut légalement imposer à votre dispositif technique, en dehors de toute négociation commerciale.
Pour la documentation des cas où la juridiction a basculé sans préavis utile, voir l’annexe Famille 2 — Fondations et juridiction.