Il ne s'agit pas de séparer les responsabilités des entreprises de la responsabilité des États en matière de souveraineté. Pour le Cigref, lorsqu'une entreprise se pose la question de sa propre souveraineté, le premier point concerne la maîtrise de ses dépendances et le deuxième l'utilisation de solutions maîtrisables et auditées. C'est le cœur de la souveraineté vue d'une entreprise.
En revanche, lorsque les entreprises disent que la souveraineté est d'abord un attribut des États, elles pensent à celui qui dispose de la compétence de régulateur et doit assumer ses responsabilités. Il s'ensuit, bien entendu, pour les entreprises, des obligations réglementaires, légales. Il ne s'agit pas de contester leur responsabilité pour traduire dans leur fonctionnement les obligations réglementaires qui s'imposent à elles, notamment dans le domaine des données personnelles.