Astrée, l'IA de l'État français : les PME européennes peuvent-elles tirer les leçons du modèle souverain sans en hériter les angles morts ?

# Astrée, l'IA de l'État français : les PME européennes peuvent-elles tirer les leçons du modèle souverain sans en hériter les angles morts ?

En 2026, le ministère de l'Intérieur déploie Astrée, son assistant IA à usage interne, conçu pour rester hors des griffes des fournisseurs américains. C'est une première symbolique. Mais pour un DSI de PME ou d'ETI qui regarde ça de loin, la vraie question n'est pas « bravo l'État » — c'est : qu'est-ce que j'en fais, moi, concrètement, lundi matin ?

Soyons clairs d'emblée : Astrée n'est pas un produit que vous allez déployer dans votre SI. C'est une infrastructure construite pour les contraintes spécifiques d'un ministère régalien, avec des budgets, des équipes et des exigences réglementaires que 99 % des PME européennes ne partagent pas. Ce serait une erreur de lecture que de traiter cette initiative comme un modèle à copier à l'identique.

Mais ce serait une erreur encore plus grave de l'ignorer. Parce que ce que l'État français est en train de faire — maladroitement, lentement, à coups de marteaux là où il faudrait parfois des scalpels — il le fait avec une boussole que beaucoup d'équipes IT ont perdue : la question du contrôle réel sur ses propres données et sur ses propres outils.

Ce guide n'est pas un tutoriel sur Astrée. C'est un outil de diagnostic pour que votre équipe IT se pose, enfin, les bonnes questions.

Étape 1 — Arrêtez de vous demander « quelle IA choisir » et demandez-vous d'abord « qui la contrôle »

La première leçon qu'on peut tirer d'Astrée, c'est que l'État a commencé par refuser de poser la question dans les termes du marché. Il n'a pas fait un appel d'offres pour « le meilleur LLM du moment ». Il a d'abord posé la question de la souveraineté opérationnelle : qui héberge ? Qui peut auditer ? Qui peut couper l'accès si quelque chose se passe mal ?

Pour votre équipe IT, l'exercice concret est le suivant :

Checklist de contrôle réel — à faire avant tout déploiement IA :

• [ ] Savez-vous précisément où sont traitées vos données quand vos équipes utilisent l'outil au quotidien ?
• [ ] Avez-vous un contrat qui garantit que vos données ne servent pas à ré-entraîner un modèle tiers ?
• [ ] Pouvez-vous auditer les logs d'utilisation sans dépendre du bon vouloir du fournisseur ?
• [ ] En cas de rupture contractuelle ou de hausse tarifaire unilatérale, combien de temps vous faut-il pour migrer ?
• [ ] Le fournisseur est-il soumis à une législation extraterritoriale (CLOUD Act, FISA) susceptible de compromettre la confidentialité de vos données métier ?

Si vous répondez « je ne sais pas » à plus de deux de ces questions, vous n'avez pas un outil IA : vous avez une dépendance non documentée.

Étape 2 — Mesurez honnêtement l'écart entre votre maturité IT et celle d'un ministère régalien

Voici la question qui dérange : l'État a mis des années, des dizaines d'ingénieurs et un budget que la plupart des PME ne verront jamais pour construire Astrée. Et pourtant, les premières remontées terrain indiquent que l'adoption interne reste laborieuse, que la qualité des réponses est inégale sur les cas d'usage complexes, et que la maintenance du modèle est un chantier permanent.

Si un ministère avec ces ressources galère, qu'est-ce que ça dit de votre roadmap à vous ?

Cela ne signifie pas qu'il faut abandonner toute ambition souveraine. Cela signifie qu'il faut être honnête sur ce que vous pouvez absorber.

Grille d'auto-évaluation pour votre équipe IT :

1. Ressources humaines : Avez-vous dans votre équipe (ou en prestataire de confiance) quelqu'un capable de maintenir un modèle hébergé en propre — pas juste de l'installer, mais de le faire évoluer ?

2. Infrastructure : Votre environnement d'hébergement actuel (on-premise ou cloud européen certifié) est-il dimensionné pour faire tourner un modèle de langage, même léger ?

3. Gouvernance des données : Avez-vous un catalogue de données internes suffisamment structuré pour qu'une IA puisse s'y greffer utilement sans produire des réponses incontrôlables ?

4. Culture utilisateur : Vos équipes métier sont-elles formées à interagir avec un outil IA sans lui confier des informations sensibles par réflexe ?

Si vous êtes honnêtes, la plupart des PME et ETI européennes répondront « non » à au moins deux de ces points. Et c'est normal. Ce diagnostic est le point de départ, pas un aveu d'échec.

Étape 3 — Identifiez vos cas d'usage à faible risque avant de vous lancer dans le grand soir souverain

L'erreur classique que font les équipes IT en regardant Astrée, c'est de vouloir reproduire le périmètre complet : IA généraliste, connectée aux bases documentaires internes, capable de répondre à toutes les requêtes des agents. C'est une fuite en avant.

La logique souveraine ne signifie pas « tout faire en interne dès demain ». Elle signifie commencer par protéger ce qui compte vraiment.

Exercice pratique — cartographiez vos flux IA par niveau de sensibilité :

• Niveau rouge (données critiques) : contrats clients, données RH, propriété intellectuelle, données financières. Ici, aucun outil dont vous ne maîtrisez pas l'hébergement ne devrait toucher ces données. Point.
• Niveau orange (données internes structurées) : procédures internes, documentation technique, communications inter-équipes. Ici, un modèle hébergé sur une infrastructure européenne certifiée, avec des garanties contractuelles solides, peut être acceptable si votre équipe n'a pas encore la maturité pour du full on-premise.
• Niveau vert (données publiques ou non sensibles) : veille sectorielle, reformulation de textes génériques, aide à la rédaction de contenus non confidentiels. Ici, la contrainte souveraine est moins absolue — mais elle reste une préférence légitime.

Ce découpage vous permet de prioriser vos efforts et d'éviter le piège symétrique : le tout-GAFAM inconscient d'un côté, le tout-souverain irréaliste de l'autre.

Étape 4 — Exigez de vos fournisseurs ce que l'État a exigé pour lui-même

Voilà ce qu'Astrée a changé dans le rapport de force : l'État français a montré qu'il était possible de poser des exigences non négociables à ses fournisseurs technologiques. Il a refusé certains acteurs. Il a imposé des conditions d'hébergement. Il a réclamé des capacités d'audit.

En tant que DSI ou CTO de PME, vous avez moins de levier qu'un ministère. Mais vous en avez plus que vous ne le croyez, surtout si vous coordonnez vos exigences avec d'autres acteurs de votre secteur ou de votre filière.

Ce que vous pouvez exiger concrètement dès aujourd'hui :

• [ ] Une clause de portabilité des données explicite dans tout contrat SaaS incluant des fonctionnalités IA — avec un délai de restitution défini contractuellement.
• [ ] Une attestation d'hébergement indiquant précisément la localisation des serveurs et la juridiction applicable — pas un texte marketing, un document contractuel opposable.
• [ ] Un droit d'audit ou, a minima, l'accès à des rapports de sécurité certifiés (SOC 2 Type II, ISO 27001 sous juridiction européenne).
• [ ] Une clause de notification en cas de modification unilatérale des conditions de traitement des données.

Ces exigences ne sont pas utopiques. Des acteurs européens — dans l'édition logicielle professionnelle comme dans l'hébergement — acceptent de les signer. Si votre fournisseur actuel refuse, c'est une information décisionnelle en soi.

Étape 5 — Ne laissez pas le « modèle État » vous dispenser de construire votre propre doctrine

Dernière mise en garde, et pas des moindres : il serait tentant de regarder Astrée et de se dire « l'État s'en occupe, on verra ce que ça donne, on attendra qu'il y ait un référentiel ». C'est le réflexe le plus dangereux.

L'État construit Astrée pour ses usages, avec ses contraintes, selon son calendrier. Il ne construit pas votre politique IA souveraine à votre place. Et pendant que vous attendez, vos équipes ont déjà adopté des dizaines d'outils en mode shadow IT — souvent des outils américains, souvent sans aucun contrôle de votre part.

Les trois décisions que votre équipe IT doit prendre cette année, sans attendre :

1. Adopter une politique d'usage IA écrite — pas un document RH vague, mais un référentiel IT opérationnel qui liste ce qui est autorisé, ce qui est interdit, et ce qui nécessite une validation explicite selon la nature des données impliquées.

2. Désigner un référent souveraineté numérique dans votre équipe — quelqu'un dont c'est explicitement le rôle de suivre les évolutions réglementaires (AI Act, Data Act, RGPD), d'évaluer les offres selon un prisme non commercial, et d'alerter quand une décision d'achat crée une dépendance non maîtrisée.

3. Intégrer la question de la souveraineté dans vos critères d'achat IT au même titre que le prix et les fonctionnalités — pas comme un bonus, pas comme une case à cocher pour la direction, mais comme un critère éliminatoire sur les données sensibles.

Ce que l'État a fait, et que vous devez faire différemment

Astrée est un signal politique autant que technologique. Il dit que la dépendance aux acteurs américains n'est pas une fatalité — même pour des usages complexes, même en 2026. C'est utile à entendre.

Mais il dit aussi, en creux, que construire une vraie souveraineté numérique prend du temps, coûte des ressources, et génère des frictions internes. L'État peut se permettre certaines lenteurs. Vous, non.

La bonne lecture d'Astrée pour une PME ou une ETI européenne n'est donc pas « imitons l'État ». C'est : l'État a posé les bonnes questions. Posez-les vous-mêmes, maintenant, avec vos propres contraintes — et ne laissez personne y répondre à votre place.