La souveraineté numérique ne commence pas au logo d’une entreprise. Elle commence dans ses dépendances.

Mistral AI est devenu, en quelques années, le visage le plus visible de l’intelligence artificielle européenne. Levées de fonds records, valorisation spectaculaire, partenariats industriels majeurs, modèles performants, visibilité internationale : l’entreprise française incarne aujourd’hui l’espoir d’une Europe capable de revenir dans la course technologique mondiale. Dans un paysage dominé par les États-Unis et la Chine, Mistral montre que le continent peut encore produire des acteurs ambitieux, attirer des talents, construire des modèles compétitifs et proposer une alternative crédible aux grandes plateformes américaines.

Il faut le dire clairement : cet article n’a pas pour objet de dénigrer Mistral AI. L’entreprise est une réussite européenne majeure, et sans doute l’un des symboles les plus importants de la capacité du continent à reprendre pied dans un domaine stratégique. Mais c’est précisément parce que Mistral compte qu’elle mérite d’être observée avec exigence. Une entreprise devenue locomotive du récit européen de l’IA souveraine ne peut plus être regardée seulement à travers ses performances, ses levées de fonds ou sa croissance. Elle doit aussi être interrogée sur ce que recouvre concrètement le mot souveraineté.

La question n’est donc pas de savoir si Mistral serait une tromperie. Elle ne l’est pas. La question est plutôt de savoir si Mistral incarne déjà une souveraineté européenne complète, de bout en bout. Sur ce point, la réponse est nécessairement plus nuancée. Mistral est européen, stratégique, utile à l’autonomie technologique du continent, mais il ne représente pas encore une souveraineté européenne à 100 %. Cette nuance est essentielle, car elle permet d’éviter deux erreurs symétriques : la célébration naïve et la critique injuste.

Dans le débat public, la souveraineté numérique est encore trop souvent réduite à une question d’origine. Une entreprise serait souveraine parce qu’elle est française, européenne ou parce qu’elle n’est pas américaine. Cette lecture est rassurante, mais elle est insuffisante. La souveraineté numérique ne se décrète pas à partir d’un siège social, d’un logo ou d’un discours institutionnel. Elle se vérifie dans l’architecture réelle du service, dans les dépendances techniques, dans les contrats, dans les sous-traitants, dans les lieux de traitement, dans les juridictions applicables et dans la capacité à remplacer une brique critique sans perdre le contrôle de l’ensemble.

Une entreprise européenne peut parfaitement produire une technologie stratégique tout en s’appuyant, pour certaines fonctions, sur des briques extra-européennes. Cela ne la disqualifie pas. Cela ne l’empêche pas de contribuer à la souveraineté européenne. Mais cela interdit de parler trop vite de souveraineté complète. La souveraineté n’est pas un label global que l’on colle sur une marque ; c’est une propriété d’architecture, qui doit être examinée couche par couche.

Mistral peut donc être à la fois une réussite européenne majeure et une souveraineté encore incomplète. Ces deux affirmations ne sont pas contradictoires. Elles permettent au contraire d’éviter deux erreurs : la célébration naïve et la critique injuste.

Depuis plusieurs années, l’Europe investit massivement au nom de la souveraineté numérique. Elle finance des infrastructures, soutient des clouds de confiance, encourage l’émergence de champions technologiques, tente de renforcer ses capacités en cybersécurité, en semi-conducteurs, en données, en intelligence artificielle et en services numériques critiques. Cette stratégie est nécessaire, mais elle se heurte à une contradiction concrète : l’Europe finance des champions qui, pour croître rapidement, s’appuient encore souvent sur des briques qu’ils ne maîtrisent pas totalement.

Ce décalage n’est pas propre à Mistral. Il traverse tout l’écosystème numérique européen. On célèbre l’émergence d’acteurs européens, mais ces acteurs branchent parfois leur croissance sur les infrastructures dominantes du marché mondial, dont beaucoup sont américaines. On parle de souveraineté au niveau du discours, mais les arbitrages opérationnels continuent souvent de favoriser les solutions les plus commodes, les plus connues, les mieux documentées et les plus intégrées.

La vraie question est alors de savoir si nous voulons une souveraineté d’annonce ou une souveraineté de pile technique. La souveraineté d’annonce permet de présenter une entreprise comme européenne, innovante et stratégique. Elle est utile politiquement, médiatiquement et commercialement, mais elle ne suffit pas à réduire les dépendances profondes. La souveraineté de pile technique oblige, elle, à regarder les couches moins visibles : paiement, cloud, sécurité, support, logs, analytics, identité, API, monitoring, sauvegarde, distribution, outils développeurs, clauses contractuelles et juridictions.

C’est dans ces couches ordinaires, souvent invisibles, que se joue une grande partie de la souveraineté réelle.

Mistral est un bon cas d’école parce que l’entreprise est visible, stratégique et emblématique. Elle n’est pas observée à la loupe parce qu’elle aurait échoué, mais parce qu’elle est devenue l’exemple. Lorsqu’une entreprise devient la locomotive du récit européen de l’IA souveraine, ses choix d’infrastructure cessent d’être de simples détails techniques. Ils deviennent des signaux pour tout l’écosystème.

Mistral a déjà engagé des mouvements importants. L’entreprise investit dans sa propre infrastructure de calcul, développe des partenariats industriels européens, participe à des projets sensibles et cherche à construire une capacité européenne dans un domaine dominé par des acteurs américains et chinois. Ces efforts doivent être reconnus. Mais Mistral reste aussi un acteur pris dans un environnement numérique mondial, où les modèles, les API, les plateformes de distribution, les services cloud, les sous-traitants et les partenaires techniques s’insèrent dans des chaînes complexes. C’est précisément cette complexité qui oblige à dépasser les slogans.

Le paiement illustre bien cette tension. Il peut sembler secondaire dans un débat sur l’intelligence artificielle, puisqu’il ne concerne ni le modèle, ni l’inférence, ni l’entraînement, ni l’hébergement des prompts. Pourtant, il conditionne l’accès au service, la facturation, l’abonnement, les données de compte, la relation client, la conformité, parfois la lutte contre la fraude et la continuité économique. Ce n’est donc pas une simple commodité neutre, mais une dépendance commerciale, technique et juridique.

Il ne s’agit pas ici de critiquer Stripe, ni de promouvoir Mollie, Payplug ou un autre prestataire européen. Stripe est une solution puissante, mature, largement adoptée, dont le succès repose sur des qualités techniques réelles. De la même manière, aucune alternative européenne ne doit être idéalisée par principe. Toutes doivent être évaluées sur leur sécurité, leur robustesse, leur couverture fonctionnelle, leur conformité, leur coût, leur documentation et leur capacité à accompagner la croissance des entreprises. Mais dès lors qu’un acteur revendique, directement ou indirectement, une ambition euro-souveraine, ses choix techniques ne peuvent plus être considérés comme de simples arbitrages neutres.

Lorsque des alternatives européennes existent, comme Mollie aux Pays-Bas ou Payplug en France, il devient légitime de se demander si elles ont été évaluées sérieusement. Si elles sont écartées, il faut comprendre pourquoi : couverture internationale insuffisante, fonctionnalités manquantes, coût, stabilité, documentation, intégration, support ou exigences de scalabilité. Ces raisons peuvent être parfaitement valables, mais dans une véritable démarche euro-souveraine, elles devraient être explicitées. La souveraineté numérique ne devrait pas exiger une pureté impossible ; elle devrait au minimum exiger une préférence structurée, c’est-à-dire choisir européen quand c’est raisonnablement possible, expliquer quand ce ne l’est pas, et réduire progressivement ce qui reste dépendant de juridictions extra-européennes.

La souveraineté numérique n’est pas un état pur. C’est une trajectoire.

Le paiement n’est qu’un exemple parmi d’autres. Une grande partie de la dépendance numérique se loge dans des briques beaucoup plus ordinaires, souvent invisibles pour l’utilisateur final, et parfois même banalisées par les équipes techniques. On pense spontanément au cloud, aux modèles d’intelligence artificielle, aux centres de données, aux processeurs ou aux grands logiciels métiers, mais la souveraineté se joue aussi dans des couches plus discrètes : gestionnaires de consentement cookies, systèmes d’authentification, CDN, WAF, services d’email transactionnel, outils d’analyse d’audience, plateformes de support client, outils de ticketing, monitoring, CAPTCHA, scripts marketing, bibliothèques JavaScript externes, solutions de logs, services de notification ou plateformes de documentation.

Ces briques ne sont pas secondaires. Un gestionnaire de consentement cookies n’est pas seulement une bannière juridique ; il peut traiter des informations sur les choix de l’utilisateur, les finalités acceptées ou refusées, les partenaires déclarés, les horodatages de consentement et parfois des identifiants techniques. Un système d’authentification n’est pas une simple commodité ; il gère l’identité, les sessions, les mots de passe, les jetons, parfois le SSO, la double authentification, les connexions sociales, les permissions et les accès à des ressources sensibles. Un WAF ou un CDN comme Cloudflare peut améliorer fortement la sécurité, la disponibilité et la performance d’un site, mais il se place aussi à un endroit stratégique, entre l’utilisateur et le service, avec une visibilité potentielle sur une partie importante du trafic, des adresses IP, des en-têtes HTTP et des métadonnées de requêtes.

Là encore, il ne s’agit pas de dire que ces solutions seraient mauvaises. Beaucoup sont excellentes, robustes, efficaces et parfois difficiles à remplacer à court terme. Le problème n’est pas leur qualité, mais l’écart entre leur usage massif et un discours euro-souverain qui les ignore trop souvent. De nombreux sites, services SaaS, applications et plateformes qui s’orientent vers l’euro-souveraineté continuent d’utiliser ces piles extra-européennes parce qu’elles sont pratiques, connues, performantes ou intégrées par défaut. Cela peut se comprendre, mais cela doit être nommé.

La souveraineté numérique ne peut pas consister à européaniser la couche visible tout en laissant les couches transversales sous dépendance extra-européenne. Si l’on veut construire une culture euro-souveraine sérieuse, il faut aussi auditer ces piles oubliées : consentement, authentification, sécurité périmétrique, CDN, analytics, support, email, logs, monitoring, documentation, outils développeurs. C’est souvent là que la souveraineté se perd, non par idéologie, mais par habitude.

Le sujet des briques américaines n’est pas seulement économique ou symbolique. Il est aussi juridique. Le CLOUD Act rappelle que certains fournisseurs soumis à la juridiction américaine peuvent être contraints de produire des données placées sous leur contrôle, y compris lorsque ces données sont stockées hors des États-Unis. Il ne faut pas caricaturer ce mécanisme : toute utilisation d’un service américain ne signifie pas que les données seront automatiquement consultées par les autorités américaines, et toutes les briques américaines ne créent pas le même niveau de risque.

Un prestataire de paiement ne présente pas le même enjeu qu’un hébergeur de données sensibles, un outil de support client ne présente pas le même enjeu qu’un service d’inférence, et un CDN ne présente pas le même enjeu qu’une base documentaire confidentielle. Mais ce risque extraterritorial existe, et il fait précisément partie des raisons pour lesquelles l’Europe parle de souveraineté numérique.

Lorsqu’une offre européenne s’appuie sur des briques américaines, elle peut réduire certains risques par rapport à une solution entièrement américaine, mais elle ne les élimine pas nécessairement. Tout dépend de la brique concernée, des données traitées, du fournisseur, du contrat, du lieu de traitement, des garanties techniques, des options de désactivation et de la capacité de substitution. La souveraineté numérique européenne ne peut donc plus être une affirmation générale ; elle doit devenir une analyse de surface d’exposition.

Il serait irréaliste d’exiger d’un acteur européen qu’il soit 100 % européen immédiatement. Une telle exigence serait parfois impossible, notamment pour des entreprises qui doivent opérer à grande échelle, servir des clients internationaux, garantir une haute disponibilité, gérer des paiements mondiaux ou répondre à des contraintes de sécurité très fortes. Mais l’impossibilité du 100 % immédiat ne doit pas servir d’excuse à l’absence de trajectoire.

Être euro-souverain ne signifie pas être parfait. Cela signifie tendre vers le maximum européen possible. Cela signifie intégrer la souveraineté dans les arbitrages réels, choisir européen lorsque l’alternative est suffisamment crédible, tester les solutions européennes lorsqu’elles ne sont pas encore totalement équivalentes, et expliquer honnêtement pourquoi une brique extra-européenne reste nécessaire lorsque c’est le cas. Cette trajectoire suppose de cartographier ses dépendances, puis de les réduire progressivement, brique après brique. Elle suppose aussi de distinguer les dépendances critiques des dépendances périphériques, de proposer quand c’est possible des configurations plus européennes pour les clients publics, sensibles ou régulés, et de ne pas confondre conformité juridique et souveraineté stratégique.

Une solution peut être conforme au RGPD sans être pleinement souveraine. Une entreprise peut être européenne sans maîtriser toute sa pile. Un acteur peut contribuer à la souveraineté européenne tout en restant dépendant de certaines briques non européennes. La lucidité commence précisément dans cette distinction.

À ce jeu-là, il est possible que les petits acteurs soient parfois plus rapides que les grands. Les petites structures ont moins d’héritage technique, moins de dépendances installées, moins de contraintes d’échelle et parfois une culture plus artisanale de leurs outils. Elles peuvent choisir un hébergeur européen, un prestataire de paiement européen, des solutions open source, des briques locales ou des services plus frugaux, là où les grands acteurs privilégient souvent la vitesse, la standardisation et la compatibilité internationale. Ce n’est pas automatique, car les petits acteurs peuvent eux aussi utiliser par défaut les solutions américaines les plus connues. Mais lorsqu’ils prennent au sérieux leur souveraineté numérique, ils peuvent parfois auditer plus vite, remplacer plus vite, expérimenter plus vite et construire une culture technique plus sobre.

Ce paradoxe mérite d’être pris au sérieux. Si les petits acteurs peuvent aller plus loin dans la cohérence euro-souveraine que certaines grandes entreprises, alors la souveraineté numérique européenne ne doit pas seulement être pensée par le haut, à travers les grands plans, les milliards d’investissement et les licornes emblématiques. Elle doit aussi être pensée par le bas, à travers les choix quotidiens des PME, des éditeurs indépendants, des associations, des administrations locales, des hébergeurs régionaux, des développeurs et des collectifs techniques. La souveraineté européenne ne se construira pas uniquement avec quelques champions ; elle se construira aussi avec une culture d’usage.

Il ne faut donc pas demander aux entreprises européennes d’être parfaitement souveraines du jour au lendemain, mais on peut leur demander de la transparence, de la cohérence et une trajectoire. Un acteur qui revendique une place dans la souveraineté numérique européenne devrait pouvoir expliquer quels prestataires sont européens, lesquels sont extra-européens, lesquels sont soumis à une juridiction américaine, quelles données sont traitées par chaque brique, quelles fonctions relèvent du cœur du service, quelles couches transversales interviennent dans le consentement, l’authentification, le CDN, le WAF, l’email transactionnel, les logs, l’analytics, le support ou le monitoring, et quelles alternatives européennes ont été évaluées.

Ces questions ne sont pas hostiles. Elles devraient devenir normales. Une liste juridique de sous-traitants est utile, mais elle ne suffit pas toujours. Il faut comprendre la fonction de chaque prestataire, sa criticité, les données concernées, la juridiction applicable et les alternatives possibles. La souveraineté numérique ne doit pas être seulement conforme ; elle doit être compréhensible.

Le risque, sinon, est que la souveraineté numérique européenne devienne une esthétique de communication : une entreprise européenne, un discours européen, une levée de fonds européenne, un vocabulaire de confiance, de conformité et d’indépendance, mais sous cette couche visible, une pile technique encore largement structurée par des acteurs non européens. Ce serait une souveraineté de surface, alors que l’Europe n’a pas seulement besoin de vitrines. Elle a besoin d’écosystèmes complets : modèles d’IA, clouds, paiements, services d’identité, cybersécurité, composants logiciels, outils de développement, chaînes MLOps, solutions d’observabilité, support client, marketplaces et standards d’interopérabilité.

Une culture numérique européenne ne se construira pas si les acteurs européens choisissent systématiquement les solutions américaines dès qu’il faut passer de la théorie à l’intégration concrète. Le réflexe actuel est compréhensible, car les solutions américaines sont souvent plus visibles, plus simples à intégrer et plus présentes dans les habitudes des équipes techniques. Mais ce réflexe entretient la dépendance, empêche les alternatives européennes de grandir, limite les retours d’expérience exigeants et retarde l’émergence d’un écosystème complet.

Mistral AI reste une chance pour l’Europe. Elle est même l’une des meilleures preuves que le continent peut encore produire de la technologie stratégique dans un domaine dominé par les États-Unis et la Chine. Il ne faut pas minimiser cette réussite, mais il ne faut pas non plus en faire un alibi.

Reconnaître la valeur de Mistral ne signifie pas accepter sans nuance l’idée qu’elle incarnerait déjà une souveraineté européenne complète. On peut saluer la locomotive tout en regardant les rails sur lesquels elle circule. On peut défendre Mistral tout en demandant que la souveraineté projetée sur elle soit clarifiée, documentée et approfondie.

Le sujet dépasse d’ailleurs largement Mistral. Il concerne tous les acteurs qui se présentent comme euro-souverains tout en continuant à s’appuyer sur des briques extra-européennes dès que les choses deviennent concrètes. Il ne s’agit pas de condamner ces choix en bloc, ni d’opposer naïvement une Europe vertueuse à des solutions américaines qui seraient par nature suspectes. Certaines briques américaines sont excellentes, parfois meilleures que leurs équivalents européens actuels. Le problème n’est pas leur existence, mais le fait de revendiquer la souveraineté européenne sans l’intégrer comme critère réel d’arbitrage.

La souveraineté numérique ne commence pas au logo d’une entreprise. Elle commence dans ses dépendances, dans ses contrats, dans ses localisations, dans ses alternatives, dans ses garanties et dans sa trajectoire. L’Europe investit des milliards pour construire sa souveraineté numérique, mais cette souveraineté ne deviendra réelle que si les acteurs européens, surtout les plus visibles, acceptent de faire descendre cette ambition dans leurs décisions ordinaires : un prestataire de paiement, un cloud, un CDN, un WAF, un outil de support, un système d’authentification, une bannière de consentement, une API, un outil d’analytics, un service de logs, un contrat de sous-traitance.

C’est dans ces choix apparemment techniques que la souveraineté cesse d’être une apparence pour devenir une culture.

Et vous, qu'en pensez-vous ?
On en discute sur LinkedIn avant de se retrouver ici la semaine prochaine ?
Merci d'avoir lu cette édition jusqu'au bout.
— Fabrice | LinkedIn | Fabrice.Willot.eu