REGALIA à Inria : « Les régulations algorithmiques européennes ne sont pas une contrainte, elles sont notre infrastructure de confiance »

# REGALIA à Inria : « Les régulations algorithmiques européennes ne sont pas une contrainte, elles sont notre infrastructure de confiance »

*En 2026, le programme REGALIA porté par Inria s'impose comme un repère de référence dans le paysage de la régulation des systèmes algorithmiques en Europe. Entre IA Act, NIS2, DORA et la question persistante du Cloud Act américain, ses travaux redesignent silencieusement ce que signifie piloter un système d'information souverain. Un DSI d'une ETI industrielle franco-allemande de taille intermédiaire, utilisatrice de solutions hybrides, accepte de faire le point — sans langue de bois.*

RiffLab Media — REGALIA, c'est un programme de recherche Inria sur la régulation des systèmes algorithmiques. Pour un DSI en 2026, ça reste de la recherche fondamentale ou ça entre déjà dans votre quotidien opérationnel ?

C'est une question que je me posais encore il y a dix-huit mois. La réponse courte : ça entre dans mon quotidien, mais par une porte que j'avais sous-estimée, celle de la conformité. L'IA Act est entré en phase d'application sur les systèmes à haut risque. NIS2 est transposée dans les deux pays où nous opérons. DORA nous concerne indirectement via nos partenaires financiers. Dans ce contexte, REGALIA n'est pas un programme de labo déconnecté — c'est une infrastructure intellectuelle qui pose les bases techniques et juridiques de ce que veut dire « algorithme auditable » en droit européen. Quand mes équipes doivent documenter un modèle de scoring fournisseur ou justifier une décision automatisée à un auditeur NIS2, les cadres que REGALIA contribue à formaliser deviennent des références concrètes. Ce n'est pas de la théorie.

Justement, sur NIS2 : beaucoup de DSI d'ETI nous disent qu'ils peinent encore à traduire les exigences de la directive en actions techniques précises, notamment sur les systèmes algorithmiques. REGALIA change quelque chose à ça ?

Oui et non. NIS2 impose une gestion des risques qui inclut explicitement les chaînes d'approvisionnement logicielles et les systèmes de traitement automatisé. Le problème, c'est que la directive dit *quoi* sécuriser, pas *comment* caractériser le risque d'un algorithme opaque. Et c'est là que le travail de REGALIA est utile : il développe des méthodes pour rendre un système algorithmique explicable, traçable, contestable — trois propriétés qui ne sont pas anecdotiques quand un auditeur vous demande de démontrer la maîtrise de vos processus critiques. Ce que j'aurais besoin de voir maintenant, c'est une convergence plus rapide entre ces travaux de recherche et les référentiels opérationnels de l'ANSSI ou du BSI allemand. Le pont existe, mais il est encore trop fragile pour que je puisse m'appuyer dessus sans effort d'interprétation important de mon côté.

Le Cloud Act américain reste une épée de Damoclès pour les DSI européens. Est-ce que la question de l'extraterritorialité américaine change concrètement vos arbitrages d'architecture en 2026 ?

Absolument, et de manière croissante. Je vais être direct : nous avons des contrats actifs avec des fournisseurs dont les maisons mères sont soumises au droit américain. Ce n'est pas une position confortable. Le Cloud Act crée une obligation légale pour ces entités de communiquer des données à la demande des autorités américaines, y compris quand les serveurs sont physiquement en Europe. Le Privacy Shield 2 — le Data Privacy Framework — a donné l'illusion d'une stabilisation, mais les contentieux en cours devant la CJUE et les positions du Parlement européen montrent que la situation reste structurellement instable. Ce que REGALIA apporte indirectement à ce débat, c'est une démonstration que la maîtrise algorithmique et la localisation des traitements sont deux conditions nécessaires mais non suffisantes : il faut aussi des mécanismes de gouvernance qui permettent d'auditer *qui décide quoi* dans un système automatisé, et selon quelle juridiction. Un algorithme européen hébergé sur une infrastructure soumise au Cloud Act n'est pas un algorithme souverain. C'est une évidence que beaucoup de directions générales n'ont pas encore pleinement intégrée.

DORA concerne le secteur financier, mais vous évoquiez un impact indirect sur votre ETI. Pouvez-vous développer ?

Nous travaillons avec des établissements financiers qui sont, eux, directement soumis à DORA. Résultat : leurs exigences de résilience opérationnelle et de traçabilité des tiers se répercutent contractuellement sur nous. On me demande désormais des attestations sur la robustesse de nos systèmes de traitement automatisé, sur notre capacité à tester des scénarios de défaillance, sur la chaîne de responsabilité en cas d'incident impliquant un algorithme de décision. Ce n'est pas anodin pour une ETI industrielle. Et là encore, les travaux sur la régulation algorithmique — ce que REGALIA formalise — deviennent des points de repère pour répondre à ces demandes. Le risque, si on ne se saisit pas de ces cadres européens, c'est de se retrouver à adopter par défaut les standards de conformité des acteurs américains dominants, qui eux ont les ressources pour imposer leurs propres frameworks. Ce serait une forme de capitulation douce.

Sur la cybersécurité à proprement parler : est-ce qu'un système algorithmique non auditable représente un vecteur d'attaque spécifique que vos équipes traitent différemment aujourd'hui ?

C'est une question que mes équipes sécurité ont mis du temps à formuler correctement. Un algorithme opaque, c'est une surface d'attaque invisible. Si vous ne pouvez pas expliquer comment un système prend ses décisions, vous ne pouvez pas non plus détecter facilement quand ses décisions ont été manipulées — par empoisonnement de données, par injection adversariale, par dérive progressive. C'est un problème de sécurité autant que de conformité. Les cadres que REGALIA développe — auditabilité, traçabilité des décisions, détection des comportements anormaux dans les sorties algorithmiques — rejoignent directement ce que NIS2 appelle la « gestion des risques liés aux technologies ». Ce n'est pas deux sujets parallèles, c'est le même sujet vu sous deux angles réglementaires différents. Le vrai danger serait de continuer à traiter l'IA Act comme un sujet RH ou éthique, et NIS2 comme un sujet purement infrastructure. Ce cloisonnement nous affaiblit.

Dernière question : est-ce que vous observez, en 2026, une dynamique réelle de préférence européenne dans les choix d'outils algorithmiques de vos pairs DSI, ou est-ce encore largement déclaratif ?

Honnêtement, c'est encore très inégal. Il y a une prise de conscience réelle, accélérée par la série de contentieux juridiques autour des transferts de données transatlantiques et par quelques incidents de sécurité médiatisés impliquant des dépendances à des tiers extra-européens. Mais la prise de conscience ne se traduit pas automatiquement en arbitrages budgétaires. Les acteurs américains dominants ont des années d'avance en termes d'intégration, d'ecosystème, de force commerciale. Ce qui change, c'est que les arguments souverainistes ne sont plus perçus comme idéologiques — ils sont devenus des arguments de gestion du risque légal et opérationnel. Un RSSI qui recommande aujourd'hui une alternative européenne auditée et localisée peut s'appuyer sur des arguments de compliance que son DAF comprend. Ce changement de registre est significatif. REGALIA, en produisant des cadres rigoureux et opposables, contribue à rendre ce discours crédible au-delà des cercles convaincus. C'est peut-être sa contribution la plus stratégique.

*Interview réalisée dans le cadre du dossier RiffLab Media « Souveraineté algorithmique : l'Europe se dote-t-elle enfin des bons outils ? »*