Quand une ETI industrielle choisit son IA : la souveraineté n'est pas qu'une clause du contrat

# Quand une ETI industrielle choisit son IA : la souveraineté n'est pas qu'une clause du contrat

Le contexte : une décision qui semblait technique

Nous sommes en 2026. Une ETI industrielle de 800 salariés, implantée en France et en Allemagne, fabrique des équipements pour le secteur de l'énergie. Elle traite quotidiennement des données techniques sensibles : plans de maintenance, cahiers des charges clients, correspondances avec des opérateurs d'infrastructures critiques.

Son DSI — Directeur des Systèmes d'Information — reçoit une mission claire de la direction générale : identifier un assistant IA pour les équipes d'ingénierie et les fonctions support. L'objectif affiché ? Gagner du temps sur la rédaction documentaire et l'analyse de données contractuelles.

La direction pense que le sujet est technique. Le DSI comprend rapidement que c'est surtout un sujet de souveraineté.

Deux candidats, deux postures très différentes

Dans ce secteur industriel en 2026, le marché des IA génératives — les systèmes capables de produire du texte, d'analyser des documents, de répondre à des questions complexes — est dominé par des acteurs américains. Deux d'entre eux se retrouvent systématiquement dans les shortlists européennes : **OpenAI**, adossé à Microsoft, et **Anthropic**, soutenu notamment par Google et Amazon.

Il est important de le poser clairement : ni l'un ni l'autre n'est européen. Tous deux sont soumis au droit américain, notamment au CLOUD Act — une loi américaine de 2018 qui permet aux autorités américaines d'exiger l'accès aux données hébergées par des entreprises américaines, même si ces données sont stockées en Europe.

Mais leurs stratégies commerciales face aux exigences de souveraineté européenne divergent de manière significative. C'est précisément ce que l'ETI va découvrir lors de son évaluation.

La première surprise : les contrats ne parlent pas le même langage

Le DSI commence par une lecture attentive des conditions contractuelles des deux fournisseurs. Première leçon : la souveraineté se joue dans les détails juridiques, pas dans les brochures commerciales.

Du côté d'OpenAI, l'intégration au sein de l'écosystème Microsoft Azure est fortement encouragée. Azure, c'est l'infrastructure cloud de Microsoft. Pour une entreprise européenne, cela signifie une dépendance en cascade : on ne s'engage pas seulement avec OpenAI, on entre dans un écosystème où Microsoft contrôle l'hébergement, la facturation, les conditions d'accès et les mises à jour du modèle. Le verrouillage propriétaire — c'est-à-dire la difficulté à changer de fournisseur une fois qu'on est intégré — est structurellement élevé.

Du côté d'Anthropic, la posture est différente. L'entreprise a développé une approche plus modulaire, compatible avec plusieurs fournisseurs d'infrastructure. Elle a également engagé des discussions avec des acteurs européens pour permettre un hébergement des données en dehors du périmètre direct des hyperscalers américains — les géants du cloud comme AWS, Azure ou Google Cloud. En 2026, ces discussions ont abouti à des offres partielles, encore incomplètes, mais qui signalent une volonté de répondre aux contraintes réglementaires européennes.

Le DSI note cependant une limite fondamentale : la transparence sur les modèles eux-mêmes. Les deux acteurs proposent des modèles fermés — c'est-à-dire dont le code source et les données d'entraînement ne sont pas accessibles. On utilise une boîte noire. On ne sait pas exactement sur quelles données le modèle a été entraîné, ni comment il prend ses décisions.

Le vrai test : que se passe-t-il avec les données de l'entreprise ?

L'ETI industrielle pose une question simple à ses interlocuteurs : *« Où vont nos données quand nos ingénieurs utilisent l'IA ? »*

La réponse devrait être simple. Elle ne l'est jamais.

Avec les deux solutions, les données saisies dans l'interface transitent par des serveurs. La question est de savoir lesquels, sous quelle juridiction, et avec quelles garanties contractuelles de non-réutilisation pour entraîner les modèles suivants.

OpenAI, via son intégration Azure, propose des garanties de résidence des données en Europe — techniquement, les données peuvent rester dans des datacenters situés sur le sol européen. Mais le CLOUD Act s'applique toujours, indépendamment de la localisation physique des serveurs. Une injonction américaine peut contraindre Microsoft à transmettre des données hébergées à Amsterdam ou à Dublin. Ce point est souvent mal compris par les équipes non juridiques.

Anthropic, dans ses offres entreprise en 2026, propose des options de traitement sans rétention — les données ne sont pas stockées après la requête. C'est une garantie partielle, mais réelle. Elle ne résout pas la question du CLOUD Act, mais elle réduit la surface d'exposition.

Le DSI retient une leçon fondamentale : aucune des deux solutions ne permet une souveraineté complète. La différence réside dans le niveau de risque résiduel et dans la capacité à auditer les pratiques du fournisseur.

Le verrouillage invisible : les intégrations métier

Au-delà des contrats, l'ETI découvre un deuxième niveau de dépendance : les intégrations techniques.

OpenAI, via l'écosystème Microsoft 365 Copilot, s'intègre nativement dans les outils bureautiques déjà déployés — messagerie, tableurs, gestion documentaire. C'est sa force commerciale principale. En quelques semaines, les équipes utilisent l'IA directement depuis leurs applications habituelles.

Mais cette fluidité a un coût invisible. Plus les équipes utilisent ces intégrations, plus elles produisent des données dans le format Microsoft. Plus elles dépendent de l'IA pour générer leurs documents, plus il devient difficile de changer d'outil sans perdre des fonctionnalités devenues habituelles. C'est ce qu'on appelle le lock-in — le verrouillage par l'usage, progressif et difficile à percevoir au moment où il s'installe.

Anthropic, sans écosystème bureautique propre, impose au contraire un effort d'intégration initial. Il faut connecter l'IA aux outils existants via des API — des interfaces de programmation, c'est-à-dire des ponts techniques entre deux logiciels. Cela demande des ressources techniques en interne ou chez un intégrateur. C'est une contrainte à court terme. Mais elle offre une architecture plus modulaire : si demain un acteur européen propose une alternative crédible, le changement est techniquement plus simple.

Le DSI formule cette tension ainsi dans son rapport interne : *« Le chemin le plus facile aujourd'hui est souvent le plus cher à quitter demain. »*

Ce que cette ETI a finalement décidé — et pourquoi ça nous regarde tous

L'ETI n'a pas tranché en faveur d'un acteur américain unique. Elle a fait un choix pragmatique : déployer une solution d'IA pour des cas d'usage à faible sensibilité — rédaction d'emails, synthèse de comptes-rendus internes — en utilisant une API Anthropic hébergée via un prestataire européen certifié SecNumCloud. SecNumCloud est la qualification de sécurité cloud délivrée par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, considérée comme le niveau de référence pour les données sensibles en France.

Pour les cas d'usage sensibles — analyse de documents contractuels avec des opérateurs d'infrastructures critiques — l'ETI a choisi de ne rien déployer pour l'instant. Elle attend qu'une solution souveraine européenne atteigne un niveau de maturité suffisant.

Ce n'est pas un refus de l'IA. C'est une gestion du risque.

Les conclusions transférables

Trois enseignements que tout DSI ou RSSI — Responsable de la Sécurité des Systèmes d'Information — peut extraire de ce retour terrain :

1. La souveraineté ne se lit pas dans les plaquettes commerciales. Elle se trouve dans les clauses contractuelles, les conditions de sous-traitance des données et la juridiction applicable au fournisseur. Un audit juridique préalable est indispensable.

2. La facilité d'intégration est un signal d'alarme autant qu'une promesse. Plus un outil américain s'intègre facilement à votre SI existant, plus la sortie sera coûteuse. Évaluez le coût de sortie avant le coût d'entrée.

3. Segmenter par sensibilité des données est une stratégie viable. Tous les cas d'usage IA ne se valent pas. Utiliser une solution non souveraine pour rédiger un email de relance, c'est différent de l'utiliser pour analyser un contrat avec un client dans le secteur de la défense. La cartographie des données précède le choix des outils.

En 2026, la question n'est plus de savoir si l'IA entre dans les ETI européennes. Elle y est déjà. La question est de savoir qui contrôle les conditions de cet accès — et si l'Europe se donne les moyens de peser dans cette négociation.