Les enjeux au long cours de la souveraineté en matière d'IA

En matière de souveraineté numérique, l'intelligence artificielle tient une place singulière. La domination sino-américaine y est en effet particulièrement marquée mais à la différence de ce qui s'est passé pour l'informatique, l'Europe et la France ont (encore) quelques cartes en mains pour atteindre a minima "une autonomie stratégique", sous réserve d'actionner les bons leviers. S'y ajoute une réelle prise de conscience des décideurs, à l'image de la création toute récente d'un "indice de résilience numérique" pour mesurer les dépendances numériques des entreprises (lire encadré). C'est ce qu'il ressort d'un colloque organisé le 10 juillet 2025 par la commission supérieure du numérique et des postes (CSNP) sur la souveraineté de l'IA.

Agir sur toute la chaine de valeur

Guillaume Avrin, coordonnateur national pour l'intelligence artificielle qui vient de rejoindre le privé, a introduit les débats en insistant sur la nature "holistique" de la souveraineté appliquée à l'IA. C'est en effet sur l'ensemble de la chaine de valeur qu'il faut agir, de la production d'électricité décarbonée aux datacenters en passant par les puces de l'IA, les bases d'entrainement, les algorithmes et les compétences nécessaires pour créer des modèles de fondation souverains.

L'ancien haut fonctionnaire a souligné les acquis de la stratégie gouvernementale mise en œuvre depuis 2018. La France compte désormais des "hubs territoriaux" associant chercheurs et industriels et quelque 600 startups de l'IA dont Mistral (génération de texte) et Photoroom (génération d'images). Avec l'appui de l'Europe, l'Etat s'est engagé à créer des "communs" à la disposition de l'écosystème, à l'image d'Atlt-Edic pour entrainer des IA sur un corpus linguistique européen. Guillaume Avrin estime cependant qu'il manque encore un "airbus de l'IA", chaque pays européen ayant tendance à promouvoir ses leaders nationaux alors qu'"une interdépendance européenne est préférable à une indépendance totale". Dans les acquis, il y a aussi les 109 milliards d'investissement sur les datacenters annoncés lors du sommet de l'IA, dont "17 milliards ont été depuis confirmés". L'objectif de l'Etat est de réduire la dépendance de l'Europe aux capacités de calcul américaines en faisant grimper le parc de machines européennes équipées en GPU (puce indispensable à l'IA) de 3% à 20%.

Défis spécifiques à l'IA générative

La souveraineté en matière d'IA implique également que les systèmes soient auditables et leurs résultats explicables, garantie de leur sécurité. Or, ce défi est loin d'être simple pour les IA génératives car elles sont fondées sur une approche statistique et probabiliste. "Comme on n'arrive pas à décomposer mathématiquement ces systèmes, nous ne savons pas comment ils prennent leurs décisions", explique Alix Durand, cheffe d'état-major adjointe de l'Anssi.  Ces IA génèrent par ailleurs de nouvelles menaces avec les risques "d'empoisonnement" ou "d'extraction de données confidentielles" des bases d'entrainement. Des défis qui ont conduit l'Etat à créer en février 2025 l'Institut national pour l'évaluation et la sécurité de l'intelligence artificielle (lire notre article du 3 février 2025). Plus récemment, l'Anssi et la Cnil ont annoncé l'initiative Paname pour développer un outil évaluant la conformité des IA au RGPD. Si certains risques sont spécifiques aux IA, la représentante de l'Anssi insiste sur le fait que "les règles usuelles de sécurité informatique s'appliquent aux systèmes d'IA".

La commande publique comme levier

La commande publique émerge ensuite comme un instrument privilégié pour développer l'écosystème français d'IA et notamment une IA open source respectueuse des valeurs éthiques et environnementales européennes.

Dans ce domaine, l'Etat n'a pas toujours montré l'exemple, avec notamment l'affaire du Health data hub hébergé dans le cloud de Microsoft en 2019 du fait de l'absence supposée d'alternative. L'épisode est cependant en voie de se clore. "L'appel d'offres a été publié la semaine dernière pour trouver une solution souveraine intercalaire", a annoncé David Sainati en charge de la Délégation au numérique en santé. Avec au passage un énorme gâchis d'argent public puisque les serveurs du HDH n'ont finalement jamais hébergé les données de l'assurance maladie du fait des risques induits par le cloud act américain…

Les administrations, et particulièrement les collectivités, ont par ailleurs du mal à acheter européen, la législation ne permettant pas d'intégrer un critère local. Guillaume Avrin incite les administrations à insérer des critères environnementaux sur leurs achats de cloud et d'IA, les serveurs tournant aux USA étant "11 fois plus émetteurs de GES que les européens" du fait du recours massif à de l'électricité tournant aux énergies fossiles. La piste des centrales d'achat est également évoquée pour faciliter l'acquisition de solutions innovantes par les petites collectivités, sous réserve que les centrales comme l'Ugap offrent des conditions adaptées aux startups. Un sujet qui fait l'objet de propositions de la mission sénatoriale sur l'achat public (notre article du 9 juillet 2025).

Un cadre réglementaire à clarifier

La loi peut enfin contribuer à bâtir une IA souveraine mais force est de constater que ce cadre juridique est encore perfectible. "Tous les décrets de la loi SREN ne sont pas encore parus, notamment sur le cloud", a constaté la députée Anne Le Henanff.

Quant à l'IA Act européen, entré en vigueur il y a un an, les dispositions sur les IA génératives viennent tout juste d'être connues (notre article du 11 juin 2025) et celles sur les IA à haut niveau de risque ne le seront pas avant août 2026. "Aujourd'hui, on est dans le flou sur l'application de l'IA Act", reconnait Alexandra Iteanu. L'avocate spécialisée déplore également les nombreux renvois du texte à des "normes techniques" qui ne seront pas discutées par les instances politiques. Plus problématique encore, l'absence de régime de responsabilité. "Qui va être responsable quand on utilise un outil d'IA ? L'utilisateur ? Le fournisseur ? Le déployeur ?", s'interroge l'avocate. En attendant, cette carence réglementaire favorise de facto les acteurs dominant le marché, qui imposent leurs conditions contractuelles. "Dans les contrats sur les outils d'IA américains, la responsabilité est limitée, voire quasi exclue", dénonce Alexandra Iteanu. Enfin, l'articulation de l'IA Act avec d'autres réglementations comme NIS 2 ou le Cyber Resilience Act reste à définir.