Recommandations

Notre méthodologie de scoring + nos outils recommandés

Tout n'est pas noir ou blanc. Un outil 100 % US peut être acceptable pour un usage personnel sans données sensibles, mais inacceptable pour un déploiement professionnel exposé à des utilisateurs européens. Pour chaque outil ci-dessous, nous donnons un score sur 30 calculé sur 6 critères transparents, et un verdict d'usage recommandé aligné avec votre niveau de risque.

Notre méthodologie : 6 critères, score sur 30

Chaque outil est noté de 0 à 5 sur 6 critères, pour un score total sur 30. Pas de pondération cachée. Pas d'algorithme opaque. Vous pouvez recalculer le score vous-même à partir des données publiques de chaque outil.

1. Souveraineté juridique

Siège social UE + DPA EU disponible + non soumis au CLOUD Act / FISA Section 702 / Schrems II. Note 5/5 = société EU pure. 0/5 = société US avec données traitées aux États-Unis sans transfert légalement encadré.

2. Open Source

Licence permissive (MIT, Apache 2.0, BSD) ou copyleft acceptable (LGPL, EUPL) avec code public auditable. Note 5/5 = OSS publié + audits communautaires existants. 0/5 = propriétaire fermé, aucune visibilité technique.

3. Local-First

L'outil peut tourner offline / on-premise / air-gappé. Vos données restent chez vous, aucune dépendance réseau au runtime. Note 5/5 = exécution 100 % locale possible. 0/5 = SaaS pur, obligatoire en cloud.

4. Hébergement effectif EU

Le point de traitement effectif (datacenter, vector store, modèle) est physiquement en UE. Anti-greenwashing : vendor EU ≠ déploiement EU. Note 5/5 = data residency UE garantie + auditable. 0/5 = hébergement US ou autre juridiction tierce sans CCT.

5. Maturité produit

Releases stables, gouvernance claire, communauté active, supports MR / SLA documentés. Note 5/5 = OSS reconnu 5+ ans, releases trimestrielles, multi-mainteneurs. 0/5 = projet alpha, mainteneur unique, abandonné < 6 mois.

6. Transparence sur utilisation data utilisateur

L'outil documente clairement : quels logs sont collectés, combien de temps conservés, qui y accède, opt-out facile. Note 5/5 = politique data lisible + ZDR documenté. 0/5 = floute volontairement, opt-out impossible ou enterré.

Les 4 niveaux de recommandation

25-30 / 30

Pro avec données sensibles (Art. 9 RGPD inclus)

Adapté à tous usages professionnels EU, y compris traitement de données sensibles (santé, biométrie, RH, mineurs). Vous pouvez en faire un pilier de votre stack sans précaution juridique additionnelle.

18-24 / 30

Pro sans données sensibles

Adapté aux usages professionnels EU à condition que vous ne traitiez pas de données sensibles avec. Pour les traitements à risque élevé (Art. 35 AIPD), prévoyez un fallback EU souverain.

10-17 / 30

Usage personnel uniquement

Acceptable pour votre propre productivité (rédaction, recherche, brainstorm) sans données client. À ne PAS utiliser pour un produit ou service exposé à des utilisateurs européens.

0-9 / 30

À éviter

Non recommandé même pour usage personnel professionnel. Si vous l'utilisez quand même, documentez le risque + ayez un plan de migration. La conformité RGPD + AI Act devient hors d'atteinte.

Comment lire une fiche : lexique des scores

Chaque fiche affiche un score total sur 30 et le détail des 6 critères (notés de 0 à 5, illustrés par une jauge). Voici le sens des abréviations et le rappel de l'échelle de recommandation.

Les 6 critères (abréviation = critère)

Souv
1. Souveraineté juridique
OSS
2. Open Source
Local
3. Local-First
EU
4. Hébergement effectif EU
Mat
5. Maturité produit
Transp
6. Transparence sur utilisation data utilisateur

L'échelle de recommandation (score total /30)

25-30 / 30
Pro avec données sensibles (Art. 9 RGPD inclus)
18-24 / 30
Pro sans données sensibles
10-17 / 30
Usage personnel uniquement
0-9 / 30
À éviter

Notre sélection initiale : 12 outils notés

Liste évolutive. Les scores sont recalculés à chaque évolution significative de l'outil (nouvelle juridiction, changement licence, incident). Vous pouvez nous proposer un outil à scorer : email à `contact@eutrustedia.eu`.

11 outils affichés sur 11 référencés

Mistral (open-weight models)

LLM · 🇫🇷 France

28/30

  • Souv5/5
  • OSS5/5
  • Local5/5
  • EU4/5
  • Mat5/5
  • Transp4/5

Tier 1 : Pro data sensible (open-weight self-host)

Open-weight (Mistral Nemo, Mixtral) hébergé sur OVH AI Endpoints 🇫🇷 ou Scaleway 🇫🇷 = combinaison souveraine quasi-idéale. Nuance importante : Mistral Cloud Standard via GCP US ne tient pas la note (-7 points → 21/30 Tier 2). Mistral Compute (Essonne 🇫🇷, dispo H2 2026) = note conservée.

CNIL PIA (outil officiel)

AIPD generator · 🇫🇷 France

27/30

  • Souv5/5
  • OSS5/5
  • Local5/5
  • EU5/5
  • Mat5/5
  • Transp2/5

Tier 1 : Pro data sensible

Outil officiel CNIL, GPL-3.0, application Electron locale. Notre POSITRONIA-CORE exporte un format compatible pour finalisation utilisateur dans son client PIA local.

Infomaniak (kSuite + kMeet + Cloud)

Hosting + SaaS · 🇨🇭 Suisse

27/30

  • Souv5/5
  • OSS2/5
  • Local3/5
  • EU5/5
  • Mat5/5
  • Transp5/5

Tier 1 : Pro data sensible

🇨🇭 Suisse, écosystème complet (mail, drive, calendrier, visio, hosting). Hors UE mais sous Convention 108+ + équivalence RGPD reconnue. Pivot Phase C EuTrustedIA prévu vers Infomaniak.

OVHcloud (Public Cloud + AI Endpoints)

Hosting + AI · 🇫🇷 France

26/30

  • Souv5/5
  • OSS3/5
  • Local3/5
  • EU5/5
  • Mat5/5
  • Transp5/5

Tier 1 : Pro data sensible

🇫🇷 France, SecNumCloud disponible pour exigences haut niveau ANSSI. AI Endpoints expose des modèles open-weight (Mistral, LLaMA) hébergés UE.

Scaleway (Generative APIs + Public Cloud)

Hosting + AI · 🇫🇷 France

26/30

  • Souv5/5
  • OSS3/5
  • Local3/5
  • EU5/5
  • Mat5/5
  • Transp5/5

Tier 1 : Pro data sensible

🇫🇷 France (Iliad). Generative APIs avec Mistral + LLaMA. Datacenter Paris. Alternative directe AWS / Azure / GCP en EU souverain.

Mollie (paiement)

Paiement SaaS · 🇳🇱 Pays-Bas

22/30

  • Souv5/5
  • OSS0/5
  • Local0/5
  • EU5/5
  • Mat5/5
  • Transp5/5

Tier 2 : Pro (paiement uniquement, pas data personnelles étendues)

🇳🇱 Pays-Bas, propriétaire mais souverain UE. DPA EU signée. Stack EuTrustedIA en utilise Mollie. Pas OSS donc plafond à 22/30 par construction.

Vercel (hosting Next.js)

Hosting frontend · 🇺🇸 USA

13/30

  • Souv1/5
  • OSS1/5
  • Local1/5
  • Mat5/5
  • Transp2/5

Tier 2 : Pro Phase A acceptable (DPA EU Frankfurt), à migrer Phase C

Société US, mais data region Frankfurt + DPA EU signables. Incident novembre 2025 Context.ai sur exposition variables non sensibles. Stack EuTrustedIA Phase A. Migration Phase C vers Infomaniak Public Cloud planifiée. Nuance plan : Vercel Hobby/Pro identiques côté souveraineté ; Vercel Enterprise ajoute audit logs + SOC 2 + DPA renforcée mais ne change pas la juridiction US.

Anthropic Claude

LLM SaaS · 🇺🇸 USA

13-22/30

  • Souv1/5
  • OSS0/5
  • Local0/5
  • EU3/5
  • Mat5/5

Tier 2-3, selon plan

Société US, soumise au CLOUD Act. Trois plans, trois scores : (1) Plan Consumer Pro = 13/30 Tier 3 usage personnel uniquement, retraining par défaut. (2) Plan Workspace API avec DPA EU = 16/30 Tier 3 acceptable Niveau 2 EUDAI. (3) Plan Enterprise (Zero Data Retention + audit logs + DPA stricte + EU data region) = 22/30 Tier 2 acceptable Pro sans data sensible. La méthodologie reste publique : le score dépend du contrat signé.

OpenAI / ChatGPT

LLM SaaS · 🇺🇸 USA

10-19/30

  • Souv1/5
  • OSS0/5
  • Local0/5
  • Mat5/5

Tier 3, selon plan

Société US, soumise CLOUD Act + plainte CNIL active. Plans différenciés : (1) ChatGPT Plus consumer = 10/30 Tier 3 retraining par défaut, opacité prompts. (2) ChatGPT Team = 14/30 Tier 3 opt-out training mais conservation 30j. (3) ChatGPT Enterprise + API avec Zero Data Retention + DPA EU = 19/30 Tier 3 frontière Tier 2. Acceptable Niveau 2 EUDAI Enterprise uniquement.

  • Souv1/5
  • OSS0/5
  • Local0/5
  • Mat5/5

Tier 3, selon configuration

Société US (Microsoft Corp), soumise au CLOUD Act + FISA 702 — l'EU Data Boundary (résidence Azure Frankfurt) n'efface pas la juridiction de la société-mère. Profil multi-casquette (Copilot, Azure OpenAI, Frontier Tuning) : (1) Copilot par défaut dans Windows / Office = IA subie non auditée, usage souvent non documenté ~10/30 Tier 3. (2) Azure OpenAI + EU Data Boundary + DPA + opt-out training = configuration acceptable ~19/30 Tier 3. Deux points de vigilance propres à Microsoft : le fine-tuning continu (Frontier Tuning) sans mécanisme d'effacement RGPD Art. 17 documenté, et l'absence d'outillage AI Act (Art. 9/11/72) pour le système évolutif. Acceptable si : EU Data Boundary activé + DPA signée + Copilot configuré (opt-out) + pas de fine-tuning sur données sensibles sans AIPD. Alternative souveraine : Mistral 🇫🇷, Aleph Alpha 🇩🇪. Évalué avec la même grille que tous les vendors : un déploiement Microsoft correctement configuré peut obtenir un rapport vert conditionnel.

Google Gemini / Workspace AI

LLM SaaS · 🇺🇸 USA

9-15/30

  • Souv1/5
  • OSS0/5
  • Local0/5
  • Mat4/5

Tier 3-4, selon plan

Google soumis CLOUD Act + Workspace AI activé par défaut 2025 sans consentement explicite (plaintes CNIL multiples). Plans : (1) Gemini consumer + Workspace AI activé par défaut = 9/30 Tier 4. (2) Gemini Enterprise avec DPA EU + data region UE + opt-out training = 15/30 Tier 3. Non-recommandé V0 pour data sensible utilisateurs européens même en Enterprise.

Voir nos plansLire nos analyses sur le blog