Ce que le Plan Sirius britannique révèle de nos angles morts souverains
Date Published

# Ce que le Plan Sirius britannique révèle de nos angles morts souverains
*En 2026, le Royaume-Uni a formalisé une stratégie nationale d'indépendance vis-à-vis des fournisseurs d'IA dominants. Elle s'appelle le Plan Sirius. Elle ne concerne pas l'Europe au sens institutionnel. Mais elle interpelle directement chaque DSI, CTO et RSSI européen qui se pose la même question : comment ne pas devenir dépendant d'une infrastructure décidée à des milliers de kilomètres ?*
Ce qu'est le Plan Sirius — et ce qu'il n'est pas
Le Plan Sirius est une initiative gouvernementale britannique. Son objectif : réduire la dépendance du secteur public et des infrastructures critiques du Royaume-Uni vis-à-vis des grands fournisseurs américains de services d'intelligence artificielle (IA) et de cloud.
Pour comprendre le contexte, il faut remonter à 2023-2024. À cette période, plusieurs ministères britanniques avaient déployé massivement des outils d'IA proposés par des acteurs américains dominants. Des données sensibles circulaient dans des environnements dont les conditions de traitement, de stockage et d'accès n'étaient pas entièrement maîtrisées par l'administration. Le Plan Sirius est né de ce constat d'échec.
Concrètement, il s'articule autour de trois axes :
- La cartographie des dépendances : identifier précisément quels services, quelles données, quels processus reposent sur un fournisseur unique extérieur au Royaume-Uni.
- La qualification de fournisseurs alternatifs : établir une liste de solutions éligibles aux marchés publics, soumises à des critères de réversibilité, de localisation des données et d'auditabilité.
- Le développement de compétences internes : former des équipes capables de comprendre, d'évaluer et de maintenir des solutions d'IA sans dépendre intégralement d'un intégrateur extérieur.
Ce que le Plan Sirius n'est pas : une solution miracle. Ce n'est pas non plus un modèle directement transposable en Europe, ne serait-ce que parce que le cadre réglementaire britannique post-Brexit diffère du cadre européen. Mais c'est un signal. Et les signaux, en matière de souveraineté numérique, méritent d'être lus attentivement.
Pourquoi ce signal arrive au bon moment pour les organisations européennes
En 2026, la situation des PME et ETI européennes face aux acteurs américains de l'IA n'est pas fondamentalement différente de celle des ministères britanniques en 2024. Elle est peut-être même plus fragile.
Voici pourquoi.
Les grandes entreprises, elles, ont des directions juridiques capables de négocier des clauses contractuelles spécifiques. Elles ont des équipes dédiées à la gestion des risques fournisseurs. Elles ont les moyens d'entretenir plusieurs relations simultanées avec différents prestataires, ce qui leur confère un levier de négociation.
Les PME et ETI, elles, ont souvent adopté des outils d'IA dans l'urgence, sous la pression de la concurrence ou de collaborateurs qui avaient commencé à les utiliser à titre personnel. Elles n'ont pas toujours réalisé d'analyse de risque préalable. Et elles se retrouvent aujourd'hui dans une situation de dépendance qu'elles ont du mal à nommer, et encore plus à quantifier.
Cette dépendance a un nom technique : le vendor lock-in. En français : l'enfermement propriétaire. C'est la situation dans laquelle une organisation ne peut plus changer de fournisseur sans coûts prohibitifs — techniques, humains, financiers.
Le Plan Sirius, en forçant une cartographie systématique des dépendances, offre une méthode. Pas une technologie. Une méthode. Et c'est précisément ce dont les DSI européens ont besoin en priorité.
Les trois angles morts organisationnels que Sirius expose
1. On ne sait pas ce qu'on délègue
Le premier angle mort est cognitif. Dans beaucoup d'organisations européennes, les outils d'IA ont été adoptés de manière décentralisée. Un département marketing a pris un abonnement ici. Une équipe commerciale utilise un assistant là. Le service RH a intégré un outil de tri de candidatures sans que la DSI en soit informée.
Résultat : personne n'a une vision consolidée de ce qui tourne sur quoi, avec quelles données, sous quelle juridiction.
Cette absence de cartographie n'est pas une négligence. C'est une conséquence logique de la vitesse à laquelle ces outils se sont diffusés. Mais elle crée un risque réel. En cas de modification unilatérale des conditions d'utilisation par un acteur américain — hausse de prix, changement de politique de traitement des données, retrait d'un service — l'organisation ne sait pas mesurer l'impact.
La première leçon de Sirius pour un DSI européen est donc simple : commencez par l'inventaire. Pas l'inventaire technique. L'inventaire des usages. Qui utilise quoi ? Pour quel processus métier ? Avec quelles données ?
2. On a externalisé la compétence, pas seulement l'outil
Le deuxième angle mort est plus profond. Il touche aux compétences.
Quand une organisation adopte un outil d'IA clé en main proposé par un acteur dominant américain, elle n'externalise pas seulement une fonction technique. Elle externalise souvent la capacité à comprendre ce que fait cet outil. Elle externalise le jugement.
Concrètement : si demain cet acteur modifie son modèle, change son interface, ou cesse son service, qui dans l'organisation est capable d'évaluer l'alternative ? Qui peut comprendre pourquoi un résultat produit par le système est correct ou incorrect ? Qui peut définir les critères d'une solution de remplacement ?
Dans beaucoup d'ETI européennes, la réponse honnête est : personne. Parce que ces compétences n'ont pas été développées en interne. Elles ont été jugées inutiles du moment que le prestataire fonctionnait.
Le Plan Sirius a fait de la formation interne un axe structurant, non pas pour former des ingénieurs capables de développer leurs propres modèles d'IA — c'est hors de portée pour la plupart des organisations — mais pour former des équipes capables d'évaluer, de questionner et de superviser ces systèmes. La nuance est importante.
3. La gouvernance des données est traitée comme une contrainte, pas comme un actif
Le troisième angle mort est stratégique. Il concerne la manière dont les organisations européennes pensent leurs données.
Dans beaucoup de PME et ETI, la gouvernance des données — c'est-à-dire l'ensemble des règles, processus et responsabilités qui encadrent la gestion des données — est vécue comme une contrainte réglementaire. On s'y conforme parce que le RGPD (Règlement Général sur la Protection des Données) l'exige. On coche des cases. On produit des registres de traitement.
Mais on ne pense pas les données comme un actif stratégique. Or, si l'IA est le moteur, les données sont le carburant. Et confier son carburant à un acteur dont on ne maîtrise ni l'infrastructure ni les conditions d'accès, c'est prendre un risque de dépendance structurelle.
Sirius a obligé les administrations britanniques à reposer une question simple : si ce fournisseur disparaît demain, où sont nos données ? Sous quelle forme ? Sommes-nous capables de les récupérer et de les utiliser ailleurs ?
Ce que cela implique concrètement pour les équipes internes
Repenser les profils à recruter — ou à faire évoluer
La première implication organisationnelle concerne les ressources humaines (RH).
Beaucoup de DSI européens ont structuré leurs équipes autour de la gestion d'outils existants. Des administrateurs. Des intégrateurs. Des chefs de projet habitués à travailler avec des éditeurs de logiciels bien établis.
La souveraineté numérique exige de nouveaux profils. Ou plus précisément, elle exige que des profils existants développent de nouvelles compétences :
- La capacité à évaluer un modèle d'IA sans être data scientist. Comprendre ses biais potentiels, ses limites, ses conditions d'entraînement.
- La capacité à négocier des contrats technologiques avec une réelle compréhension des enjeux de réversibilité, de portabilité des données et d'auditabilité.
- La capacité à cartographier les risques de dépendance de manière continue, pas seulement lors d'un audit annuel.
Ces compétences ne s'acquièrent pas en deux jours de formation. Elles impliquent une montée en puissance progressive. Et elles impliquent que la direction générale comprenne pourquoi ces investissements sont nécessaires — même quand ils ne génèrent pas de ROI (retour sur investissement) immédiat et visible.
Créer une fonction de veille souveraine
Le Plan Sirius a institutionnalisé une fonction de veille sur les fournisseurs. Pas seulement une veille technique. Une veille stratégique : que se passe-t-il dans la politique commerciale de nos principaux fournisseurs ? Quels signaux indiquent un changement de stratégie qui pourrait affecter notre dépendance ?
Dans une PME ou ETI européenne, cette fonction n'a pas besoin d'être une équipe dédiée. Elle peut être portée par une personne dont c'est l'une des responsabilités. Mais elle doit exister formellement. Elle doit avoir un mandat clair. Et ses conclusions doivent remonter jusqu'au COMEX (Comité Exécutif).
Intégrer la souveraineté dans les critères d'achat
Enfin, la leçon la plus opérationnelle de Sirius concerne les processus d'achat.
Dans la plupart des organisations, les outils numériques sont achetés sur des critères fonctionnels et financiers. Est-ce que ça fait ce qu'on veut ? Est-ce que c'est dans le budget ?
La souveraineté numérique exige d'ajouter une troisième dimension systématique : est-ce que nous sommes capables de sortir de cette solution si nécessaire ? Cela couvre la portabilité des données, la durée des engagements contractuels, la disponibilité d'alternatives qualifiées, et la capacité interne à gérer une migration.
Cette question n'est pas un obstacle à l'achat. C'est une condition de l'achat responsable.
Ce que l'Europe peut faire que le Royaume-Uni ne peut pas
Il serait tentant de conclure que le Plan Sirius est un modèle à copier. Ce serait une erreur d'analyse.
Le Royaume-Uni agit seul. Il négocie seul avec les grands acteurs américains. Il construit seul ses critères de qualification. Sa puissance de marché est réelle, mais limitée.
L'Europe, elle, dispose d'un levier que le Royaume-Uni n'a plus depuis le Brexit : la masse critique réglementaire et économique. L'IA Act (le règlement européen sur l'intelligence artificielle, entré en vigueur progressivement depuis 2024) crée un cadre commun. Le marché unique représente une force de négociation collective sans équivalent.
Mais ce levier ne se matérialise que si les organisations européennes — PME, ETI, administrations — le demandent. Si elles exigent de leurs prestataires une conformité à ces standards. Si elles font du critère souverain un critère réel dans leurs appels d'offres et non un critère cosmétique.
Le Plan Sirius nous rappelle qu'une stratégie d'indépendance ne commence pas dans les couloirs des institutions. Elle commence dans les comités de direction des organisations qui décident, chaque jour, chez qui elles placent leur confiance numérique.
Et ça, c'est une décision que chaque DSI européen peut prendre dès maintenant.
*Cet article fait partie de la série RiffLab « Reprise en main », consacrée aux stratégies concrètes de souveraineté numérique pour les organisations européennes.*
Cet article vous a été utile ?
Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.
Pas de spam. Désinscription en un clic. Données hébergées en Europe.