Le marché des prestataires IA explose. Cabinets de conseil, ESN reconverties, startups IA, freelances spécialisés : tout le monde se positionne sur la transformation IA des entreprises françaises. Résultat : il est devenu très difficile de distinguer ceux qui livrent vraiment de ceux qui vendent des slides et des POC sans suite. Si vous êtes DG ou DSI et que vous cherchez un prestataire IA souverain en France, voici les 5 critères qui comptent vraiment — pas les certifications sur le site, les engagements contractuels concrets.
— Critère 1 — L'hébergement des données est contractuellement en France
La souveraineté des données ne se décrète pas dans une plaquette commerciale. Elle s'engage dans un contrat. La première question à poser à tout prestataire IA en France : où sont physiquement hébergées vos données pendant le projet, et où seront-elles après la livraison ?
Un prestataire qui utilise AWS us-east-1, Azure East US, ou les API d'OpenAI sans instance européenne dédiée héberge vos données aux États-Unis. Le Cloud Act américain autorise les autorités américaines à y accéder sans vous en informer. Ce n'est pas une théorie juridique abstraite : c'est un risque opérationnel documenté, surtout si vos données touchent à des clients, des salariés, ou des processus industriels sensibles.
- ›Les données de projet sont-elles hébergées sur un datacenter en France ou dans l'UE ?
- ›Le prestataire utilise-t-il des modèles IA déployés sur infrastructure souveraine (OVH, Scaleway, Outscale, Clever Cloud) ?
- ›L'engagement d'hébergement français est-il dans le contrat, pas seulement sur le site ?
- ›Quelle est la politique de sous-traitance : quels outils tiers sont utilisés et où tournent-ils ?
Un prestataire sérieux répond à ces questions sans hésiter. S'il botte en touche ou vous renvoie vers les CGU d'un cloud américain, vous avez votre réponse.
— Critère 2 — Vous avez la pleine maîtrise du code livré
L'IA souveraine n'est pas que géographique. Elle est aussi technique. Un système IA dont vous ne comprenez pas le fonctionnement, dont vous ne possédez pas le code source, et que seul le prestataire sait maintenir, c'est une dépendance déguisée en transformation digitale.
La question n'est pas de savoir si vous serez capable de réécrire le code vous-même. C'est de savoir si vous pouvez changer de prestataire sans tout reconstruire, si vous pouvez comprendre ce qui tourne dans votre système, et si vos équipes peuvent intervenir en cas d'incident sans décrocher le téléphone.
Tout système IA livré sans documentation opérationnelle lisible est, par design, une boîte noire. La boîte noire génère de la dépendance. La dépendance génère des coûts récurrents non maîtrisés.
- ›Le code source vous est-il livré intégralement, sans restriction de licence ?
- ›La documentation est-elle écrite pour vos équipes techniques, pas pour le prestataire ?
- ›Pouvez-vous héberger et faire tourner le système de façon autonome après livraison ?
- ›Le contrat prévoit-il une clause de réversibilité explicite ?
— Critère 3 — Les délais de livraison sont réalistes et engagés
18 mois pour un projet IA, c'est le calendrier standard des grandes ESN. Ce délai tue la valeur avant même la mise en production : le marché bouge, les équipes tournent, et on livre souvent une solution pensée pour un problème qui a déjà évolué.
Un projet IA bien dimensionné — un cas d'usage précis, un périmètre de données clair, une équipe côté client disponible — se livre en 6 à 12 semaines en production. Pas en POC de présentation : en production, avec des utilisateurs réels et des métriques mesurables. Si votre prestataire ne peut pas vous citer un premier livrable concret en moins de 8 semaines, interrogez-vous sur le dimensionnement du projet.
- ›Quelle est la durée de la phase de cadrage ? (réponse raisonnable : 2-3 semaines, pas 3 mois)
- ›Y a-t-il une date de mise en production contractuelle, avec pénalités de retard ?
- ›Le prestataire a-t-il des références de livraison en moins de 12 semaines ?
- ›Comment gère-t-il les imprévus : scope creep, accès aux données retardé, changement d'équipe côté client ?
— Critère 4 — La conformité RGPD est native, pas rajoutée après coup
Le RGPD n'est pas une case à cocher en fin de projet. C'est une contrainte de conception qui doit être intégrée dès le départ dans l'architecture du système IA. Un prestataire qui vous parle de conformité RGPD seulement lors de la phase de recette a une dette technique à régler — à vos frais.
Concrètement, cela se traduit par : minimisation des données collectées et traitées, pseudonymisation ou chiffrement des données personnelles dès le pipeline, journalisation des accès et des traitements, et capacité à répondre à une demande d'accès ou d'effacement sans retravailler l'architecture.
- ›Le prestataire propose-t-il un DPA (Data Processing Agreement) dès la signature ?
- ›L'architecture proposée intègre-t-elle la minimisation des données par défaut ?
- ›Le prestataire a-t-il une position claire sur les modèles tiers qu'il utilise et leur conformité ?
- ›Peut-il vous fournir une cartographie des flux de données personnelles dans le système livré ?
Un prestataire RGPD-natif vous pose ces questions avant vous. Il anticipe les contraintes réglementaires sans que vous ayez à les imposer. S'il découvre le RGPD en même temps que vous, c'est un signal d'alerte fort.
— Critère 5 — Il vous rend autonome, il ne vous retient pas
Le signe distinctif d'un bon prestataire IA n'est pas qu'il soit indispensable à long terme. C'est que ses clients puissent continuer sans lui. Ce critère est rarement évalué lors de la sélection, et c'est souvent le plus important pour la durabilité d'un projet.
Concrètement, le transfert de compétences prend deux formes : la formation des équipes internes sur les outils livrés (pas une formation générique sur "l'IA", mais une formation sur votre système spécifique), et la documentation opérationnelle rédigée pour vos équipes, pas pour les équipes du prestataire. Un prestataire qui forme mal ou ne documente pas crée mécaniquement de la dépendance — parfois délibérément.
- ›Le contrat prévoit-il explicitement des sessions de formation pour vos équipes ?
- ›La documentation est-elle rédigée pour un ingénieur interne qui n'a pas suivi le projet ?
- ›Vos équipes peuvent-elles faire évoluer le système après livraison sans revenir au prestataire ?
- ›Existe-t-il un plan de sortie formalisé si vous changez de prestataire ?
Choisir un prestataire IA souverain en France, ce n'est pas choisir celui qui a le meilleur pitch sur la souveraineté. C'est choisir celui qui met ces 5 critères dans le contrat : hébergement français contractuel, code source livré intégralement, dates de production engagées, RGPD intégré dès la conception, et formation réelle de vos équipes. Ces critères ne sont pas exigeants — ils sont normaux. Si un prestataire ne peut pas s'y engager, il vous vend quelque chose d'autre. Chez Fulgur, ces cinq points sont dans nos contrats par défaut. Si vous voulez évaluer votre projet à l'aune de ces critères — sans engagement — notre audit IA gratuit de 30 minutes est fait pour ça.
Votre projet IA : où en êtes-vous vraiment ?
30 minutes. Gratuit. Sans engagement. Un diagnostic honnête sur votre situation, vos risques RGPD, et ce qui peut réellement être mis en production.
Demander un audit IA gratuit →