40 000 licences Mistral à la Caisse des Dépôts : victoire souverainiste ou répétition générale des erreurs passées ?

# 40 000 licences Mistral à la Caisse des Dépôts : victoire souverainiste ou répétition générale des erreurs passées ?

Il faut résister à l'envie de crier victoire. Quand la Caisse des Dépôts et Consignations déploie 40 000 licences Mistral AI au sein de ses équipes, le réflexe pavlovien est de saluer, de partager, de se féliciter collectivement que « l'Europe avance ». Et effectivement, quelque chose se passe. Quelque chose d'inédit même, dans un paysage où les directions des systèmes d'information des grandes institutions publiques françaises ont passé deux décennies à signer des bons de commande en direction de Redmond ou de San Francisco sans se poser trop de questions.

Mais justement. C'est parce que quelque chose se passe vraiment que les questions qui dérangent méritent d'être posées maintenant — pas dans trois ans, quand l'irréversible sera installé.

Le symbole est réel. Le travail commence.

Soyons clairs sur ce que cet accord représente : une institution financière publique française, au cœur du financement de l'économie nationale, choisit un modèle de langage européen plutôt que de reproduire mécaniquement le schéma des décennies précédentes. C'est un signal. Un signal politique autant que technique. Et dans un secteur où la culture du « on prend ce que font les Américains » est profondément ancrée, ne pas minimiser ce signal serait une erreur symétrique.

Mais un signal n'est pas une garantie. Et c'est précisément là que mon rôle — et celui de quiconque couvre sérieusement la souveraineté numérique — est de ne pas confondre l'annonce avec la réalité opérationnelle.

La question que personne ne pose dans les communiqués de presse

Où tourne le modèle ? Sur quelle infrastructure les inférences sont-elles exécutées ? Qui opère les serveurs, qui en détient les clés de chiffrement, et sous quelle juridiction ces données transitent-elles réellement ?

Ce n'est pas une question rhétorique. C'est la question. Parce que déployer une IA « européenne » sur une infrastructure dont la chaîne de dépendance remonte à des acteurs soumis au Cloud Act américain, c'est exactement reproduire le schéma que nous critiquons. Le modèle peut être français, les données qu'il traite peuvent ne pas l'être fonctionnellement — si elles circulent dans des environnements où une injonction américaine suffit à ouvrir l'accès.

La Caisse des Dépôts gère des flux financiers sensibles, des données liées au financement des collectivités territoriales, à la retraite complémentaire, à des investissements d'intérêt national. Elle est, en d'autres termes, exactement le type d'entité que NIS2 classe en opérateur d'importance essentielle. Ses obligations de sécurité ne sont pas optionnelles. Elles sont structurantes.

Alors oui : Mistral AI peut proposer des options de déploiement sur site ou en cloud souverain. Mais « peut proposer » et « est effectivement déployé dans ces conditions pour 40 000 utilisateurs » sont deux phrases très différentes. Et aucun communiqué de presse ne répond à cette question avec la précision qu'elle mérite.

DORA n'attend pas les conférences de presse

La Caisse des Dépôts n'est pas seulement concernée par NIS2. Par son rôle systémique dans le financement de l'économie française, elle est directement dans le périmètre d'attention des régulateurs financiers qui ont transposé DORA. Le règlement sur la résilience opérationnelle numérique du secteur financier exige une traçabilité complète des dépendances technologiques critiques, une capacité de réversibilité documentée, et une gestion rigoureuse des risques liés aux tiers — y compris les fournisseurs d'IA.

Cela signifie concrètement : est-ce que la Caisse des Dépôts sait précisément ce que ses 40 000 utilisateurs soumettent comme données au modèle ? A-t-elle une cartographie des flux d'inférence ? Dispose-t-elle d'une stratégie de sortie documentée si Mistral AI — une startup, rappelons-le, dont le modèle économique reste en construction — venait à évoluer dans une direction défavorable, à être rachetée, ou à modifier ses conditions de service ?

Ces questions ne visent pas à disqualifier Mistral. Elles visent à rappeler que la souveraineté numérique ne se décrète pas par la nationalité du fondateur. Elle se construit dans les contrats, dans les architectures, dans les processus de contrôle, dans la capacité à auditer et à sortir.

L'erreur que nous avons déjà faite

Nous l'avons déjà vécu. Dans les années 2010, l'administration française a massivement adopté des suites collaboratives américaines au nom de la « modernisation », parfois avec l'approbation enthousiaste d'acteurs qui auraient dû regarder de plus près. Aujourd'hui, des pans entiers du secteur public sont dans une dépendance structurelle à des éditeurs soumis à des juridictions étrangères, avec des coûts de sortie astronomiques et des leviers de négociation quasi nuls.

L'IA est le prochain terrain de cette dépendance potentielle. Pas parce que les acteurs européens sont mauvais — Mistral a prouvé qu'une alternative de niveau mondial pouvait émerger ici. Mais parce que la dépendance ne naît pas de la malveillance : elle naît de la facilité, de la vitesse, du déploiement massif sans gouvernance suffisamment structurée en amont.

40 000 licences, c'est une adoption rapide. Peut-être trop rapide pour que la gouvernance ait eu le temps de suivre.

Ce que cet accord devrait déclencher — et ne déclenchera probablement pas

Si cet accord était véritablement traité comme un acte de souveraineté numérique et non comme une annonce de communication institutionnelle, il devrait s'accompagner de plusieurs engagements publics et vérifiables : la publication du schéma d'hébergement et des garanties d'isolation des données, un engagement contractuel de réversibilité avec délais et coûts plafonnés, un audit RGPD indépendant portant spécifiquement sur les flux d'inférence, et une clause de révision permettant d'intégrer d'autres acteurs européens si l'écosystème évolue.

Ce n'est pas de la méfiance vis-à-vis de Mistral. C'est de la rigueur vis-à-vis du concept même de souveraineté. Un État ou une institution publique qui adopte une technologie souveraine sans en vérifier les conditions réelles d'exercice de cette souveraineté fait de la communication, pas de la politique industrielle.

La vraie question pour notre lectorat

Si vous êtes DSI ou RSSI d'une PME ou ETI qui regarde cet accord avec envie — et c'est légitime — posez-vous la question suivante avant de suivre le mouvement : les conditions qui font de ce déploiement un acte de souveraineté réelle, et non symbolique, sont-elles réunies dans votre contexte ?

L'annonce d'aujourd'hui peut être un modèle à suivre. Elle peut aussi être un avertissement sur ce qu'il ne faut pas reproduire trop vite.

La souveraineté numérique ne se gagne pas dans les communiqués. Elle se construit dans les détails que personne ne lit.