L'Assistant de l'État utilise Brave : risque Cloud Act ?
La recherche web de « L'Assistant », l'IA déployée à plus d'un million d'agents de l'État, s'appuie sur Brave. Faut-il craindre le Cloud Act ? Les faits.
Par Jean Weber
Sommaire
Le 22 juin 2026, Bruno Retailleau publie un post critique sur « L'Assistant », l'IA déployée à plus d'un million d'agents de l'État, et relance la question de la souveraineté numérique du service. Anis Ayari (Defend Intelligence) y réagit pour nuancer. Voici ce que chacun affirme, et ce que disent les faits.
Ce qu'a affirmé Bruno Retailleau
Bruno Retailleau résume la critique en quelques lignes : l'État a annoncé une IA « souveraine et SecNumCloud » pour un million d'agents, mais sa recherche web serait sous-traitée à Brave, un moteur américain. Conséquence selon lui, chaque requête, « données de contribuables comprises », pourrait être lue par les autorités américaines via le Cloud Act. Il ajoute que cette faille serait « pointée du doigt par un rapport officiel de l'ANSSI ».
Voir le post de Bruno Retailleau
La réaction nuancée d'Anis Ayari
Anis Ayari (Defend Intelligence) réagit au post de Retailleau, non pour polémiquer mais pour le tempérer. Il confirme d'abord le fait technique, la recherche web s'appuie sur l'API Brave Search, puis rappelle que Brave propose une option Zero Data Retention (ZDR) : les requêtes ne sont ni journalisées ni stockées. Il qualifie donc le risque de « supposé » et juge difficile de conclure sans plus d'informations. Dans un erratum, il corrige un point clé : Brave est appelé au niveau de « L'Assistant » (côté DINUM), pas par Mistral. Le modèle de langage et la recherche web sont deux briques séparées.
Ce que disent les faits
Trois mises au point. Un : Brave Software est bien une société américaine, donc soumise au Cloud Act, le risque de principe existe. Mais le Cloud Act ne contraint un fournisseur qu'à livrer des données qu'il détient. Or Brave revendique une vraie ZDR (requêtes « jamais journalisées, jamais stockées ») : si elle est activée, il n'y a rien à saisir. Deux : Mistral fournit le modèle, pas la recherche web, lui imputer ce choix est inexact. Trois : aucun rapport de l'ANSSI ne cible spécifiquement Brave et L'Assistant. L'ANSSI alerte sur le Cloud Act en général (son directeur Vincent Strubel rappelle que « le chiffrement ne protège pas du Cloud Act »), ce qui n'équivaut pas à une faille documentée sur ce service précis.
La vraie question reste ouverte : la DINUM a-t-elle effectivement souscrit l'offre ZDR de Brave ? Sans confirmation publique, on parle d'un risque possible, pas d'une fuite avérée.
FAQ
L'Assistant envoie-t-il des données sensibles à Brave ?
D'après les éléments avancés côté DINUM et relayés par Anis Ayari, seules des requêtes de recherche générales transiteraient par Brave, pas les documents de travail. Ce point n'est pas vérifiable de façon indépendante à ce jour.
La ZDR protège-t-elle vraiment du Cloud Act ?
Le Cloud Act oblige à fournir des données détenues. Si Brave ne journalise ni ne stocke les requêtes (ZDR), il n'a rien à transmettre. La limite : encore faut-il que l'offre ZDR soit réellement souscrite.
Mistral est-il responsable de ce choix ?
Non. Le modèle de langage (Mistral) et la recherche web (Brave, branchée côté L'Assistant par la DINUM) sont deux composants distincts.
Sources
- Brave : la seule API search à offrir une vraie Zero Data Retention : source primaire sur le fonctionnement de la ZDR de Brave.
- L'ANSSI sur le Cloud Act et le chiffrement : déclarations de Vincent Strubel sur la portée réelle du Cloud Act.
- L'Assistant IA généralisé à plus d'un million d'agents : périmètre et cadre officiel du déploiement.
- L'Assistant (page officielle) : DINUM avec Mistral, hébergement SecNumCloud, fonction de recherche internet.
