IA souveraine en santé : quand Docaposte pose les jalons d'un modèle européen reproductible

# IA souveraine en santé : quand Docaposte pose les jalons d'un modèle européen reproductible

*En 2026, Docaposte — filiale numérique du groupe La Poste — a déployé une infrastructure d'IA dédiée au secteur de la santé, hébergée sur sol européen, construite sur des briques open source et alignée sur les exigences du RGPD et du règlement européen sur l'IA. Pour RiffLab Media, un DSI de ETI industrielle ayant conduit un projet similaire dans son secteur décrypte ce que cette initiative révèle — et ce qu'elle exige concrètement des équipes IT.*

RiffLab : L'initiative de Docaposte en santé est souvent présentée comme une "première". Qu'est-ce qui la rend structurellement différente des offres d'IA que les acteurs américains proposent déjà aux établissements de santé ?

La différence n'est pas dans la performance brute du modèle. Elle est dans l'architecture de confiance qui l'entoure. Quand un hôpital ou une clinique utilise une solution IA d'un acteur américain, les données de santé — des données parmi les plus sensibles qui existent — transitent ou sont traitées dans des environnements soumis au droit américain. Le Cloud Act n'a pas disparu. Les accords de transfert de données continuent d'être fragilisés juridiquement. Ce que Docaposte propose, c'est une chaîne de traitement entièrement localisée, auditée selon des référentiels européens, avec une gouvernance des données qui reste sous contrôle de l'établissement client. Pour un DSI, ça change tout : je peux répondre à mon DPO, à mon conseil d'administration, à l'ARS si besoin, sans avoir à expliquer pourquoi mes données de patients passent par un datacenter dont je ne maîtrise ni la localisation exacte ni les conditions légales d'accès.

RiffLab : Concrètement, pour les équipes IT au quotidien, qu'est-ce que ça change d'opérer une IA souveraine plutôt que de s'appuyer sur un service cloud américain en mode SaaS ?

Ça change énormément, et pas toujours dans le sens confort à court terme. Avec un SaaS américain, vous avez une interface, une documentation en anglais, un support, et vous consommez. La charge opérationnelle côté IT est faible. Mais vous perdez la main sur presque tout : les mises à jour du modèle, les évolutions de politique d'utilisation, les conditions tarifaires. Avec une IA souveraine déployée on-premise ou sur un cloud qualifié SecNumCloud, votre équipe doit monter en compétence sur l'inférence, sur la gestion des modèles, sur les pipelines de données. C'est un investissement réel. Mais en contrepartie, vous savez exactement ce qui tourne, vous pouvez auditer, vous pouvez faire évoluer. Vous êtes exploitant, pas juste consommateur. Dans mon cas, ça a nécessité de former deux ingénieurs sur des outillages MLOps que nous ne maîtrisions pas du tout il y a dix-huit mois. Ce n'est pas anodin, mais c'est réversible et capitalisable.

RiffLab : Docaposte s'appuie sur des briques open source pour construire cette offre. Est-ce une garantie suffisante de souveraineté, ou un argument marketing ?

C'est une condition nécessaire, pas suffisante. L'open source vous donne la transparence sur le code, la capacité d'audit, l'absence de dépendance à une licence propriétaire. Mais la souveraineté réelle, c'est aussi : où tourne le modèle, qui a accès aux logs, qui peut modifier les conditions d'accès demain matin ? Un modèle open source qui tourne sur une infrastructure dont vous ne contrôlez pas la gouvernance, ce n'est pas souverain. Ce que Docaposte apporte, c'est la combinaison : modèle ouvert plus infrastructure qualifiée plus contrat de droit français plus engagement sur la localisation des données. C'est l'ensemble qui crée la souveraineté opérationnelle. Les équipes IT doivent apprendre à évaluer ces quatre dimensions ensemble, pas juste regarder si le code est sur GitHub.

RiffLab : Ce modèle est né dans la santé, secteur très réglementé. Est-il transposable à des ETI industrielles ou des PME de services, qui n'ont pas les mêmes contraintes réglementaires ?

Oui, et c'est précisément ce que je pense être le message le plus important de cette initiative. La santé a été le laboratoire parce que la pression réglementaire y était maximale — HDS, RGPD, règlement IA européen, tout s'y cumule. Mais les problématiques de fond sont les mêmes pour une ETI industrielle : propriété intellectuelle sur les données de production, risque de réidentification, dépendance à un tiers pour un outil critique. Dans mon secteur, nous avons des données de conception, des données de maintenance prédictive, des données clients B2B qui sont aussi sensibles commercialement que des données de santé le sont médicalement. La différence, c'est que personne ne m'y oblige encore réglementairement. Mais attendre l'obligation pour agir, c'est exactement le piège dans lequel les ETI sont tombées avec le cloud public il y a dix ans. On s'est retrouvés dépendants avant d'avoir eu le temps d'y réfléchir.

RiffLab : Quel est le principal frein que vous observez chez vos pairs DSI quand il s'agit de passer à une IA souveraine plutôt que d'utiliser ce que propose l'acteur dominant US ?

Le frein principal, c'est la comparaison de surface. Les outils IA des grands acteurs américains sont très bien packagés, très bien intégrés dans des suites que les métiers utilisent déjà. Quand un directeur commercial vous dit « les autres boîtes utilisent ça et ça marche », c'est difficile de tenir une position technique et stratégique face à une demande d'usage immédiat. Le deuxième frein, c'est la perception du risque inversée : les DSI pensent que déployer une IA souveraine est risqué parce que c'est moins connu, alors que le vrai risque non géré, c'est la dépendance à un acteur qui peut changer ses conditions unilatéralement, augmenter ses prix, ou se retrouver soumis à une injonction légale étrangère. Le travail de conviction interne est souvent plus lourd que le travail technique.

RiffLab : Ce que Docaposte construit en santé, est-ce que ça dessine une forme de mutualisation possible entre ETI européennes, ou chaque organisation doit-elle porter son infrastructure seule ?

La mutualisation est clairement la voie de maturité. Une ETI de taille moyenne ne peut pas, seule, entretenir une équipe data science, maintenir un modèle à jour, gérer les évolutions réglementaires et assurer la sécurité d'une infrastructure IA. C'est économiquement et humainement irréaliste. Ce que le modèle Docaposte illustre, c'est qu'un tiers de confiance européen peut porter cette infrastructure pour le compte de plusieurs organisations, à condition que les contrats, la gouvernance et les certifications soient au niveau. C'est exactement le rôle que des acteurs comme Atos — malgré ses difficultés récentes — ou des opérateurs cloud qualifiés SecNumCloud peuvent jouer pour les ETI. Le marché européen de l'IA souveraine mutualisée existe. Il est encore fragmenté. Mais des initiatives comme celle-ci montrent que le modèle est viable et reproductible. Pour un DSI d'ETI, la bonne question n'est plus « est-ce possible ? » mais « avec quel partenaire et selon quelle feuille de route ? »

*Propos recueillis par la rédaction de RiffLab Media. L'interlocuteur a requis l'anonymat.*