Convaincre votre DSI de passer à l'IA souveraine : le guide de l'architecte
Le conseil d'administration veut de l'IA. Vous proposez une solution on-premise souveraine. Votre DSI vous pose la question fatale : "Pourquoi pas ChatGPT Enterprise comme tout le monde ?" La mauvaise réponse parle d'embeddings et de latence. La bonne réponse parle d'amendes RGPD, d'amendes NIS2, et de TCO ajusté au risque. Voici comment construire ce dossier en 90 jours.
La salle de réunion que vous connaissez
Vous êtes architecte d'entreprise dans un groupe de 3 000 personnes. Depuis six mois, la direction générale répète que "l'IA va transformer nos opérations". Le comité de direction a approuvé un budget. Les équipes métier attendent. Et vous, vous avez fait vos devoirs : vous savez que pour votre secteur — services financiers, santé, industrie, ou tout autre environnement régulé — la seule architecture défendable est une IA souveraine, déployée sur votre infrastructure.
Vous présentez votre proposition. Elle est solide. Elle est prudente. Elle coûte plus cher à l'entrée que d'activer un abonnement SaaS.
Votre DSI vous regarde et pose la question que vous attendiez :
"Pourquoi pas ChatGPT Enterprise comme tout le monde ? On a l'accord commercial. On serait productifs dans trois semaines."
Comment vous répondez dans les deux prochaines minutes déterminera le sort de votre architecture pour les cinq prochaines années.
La mauvaise réponse (celle que donnent la plupart des architectes)
La réaction instinctive est technique. Vous ouvrez votre slide sur les embeddings. Vous expliquez que les vecteurs de vos documents internes traverseraient des serveurs hors de votre périmètre. Vous mentionnez la latence des API, les risques de confidentialité des prompts, les limitations du contexte RAG en cloud.
Votre DSI vous écoute poliment. Il a entendu "embeddings", "latence", "périmètre". Il a retenu : "L'architecte est contre la solution simple parce qu'il préfère les solutions compliquées."
Ce n'est pas une conversation que vous pouvez gagner sur le terrain technique avec un DSI non-technique. Ce n'est pas parce qu'il a tort de vous poser la question. C'est parce que vous répondez à la mauvaise question.
La vraie question qu'il pose n'est pas "pourquoi pas ChatGPT Enterprise techniquement ?" Elle est : "Quel est le risque financier et juridique si on se trompe ?"
La bonne réponse : le TCO ajusté au risque
Voici la réponse à préparer. Elle tient en deux minutes. Elle n'utilise pas le mot "embedding".
"Je comprends l'attractivité. Mais voici ce que le business case complet ressemble quand on intègre les coûts que l'abonnement ne montre pas.
ChatGPT Enterprise en France sur nos cas d'usage, avec la consommation estimée des équipes — c'est environ X€ par an en licences. On sait ça. Ce qu'on ne calcule pas, c'est que dès qu'on y connecte des données clients ou des documents contractuels, on crée trois expositions régulières :
Premièrement : RGPD. Chaque prompt qui contient des données personnelles est un transfert vers une infrastructure américaine. Si un contrôle CNIL intervient — et les contrôles augmentent depuis 2024 — l'amende peut atteindre 4 % du chiffre d'affaires mondial. Sur notre CA, c'est X à Y millions. Pas une hypothèse : c'est le barème légal.
Deuxièmement : NIS2, transposée en droit français depuis octobre 2024. Comme entité [essentielle/importante], on a des obligations sur la chaîne d'approvisionnement des outils critiques. Un audit qui révèle que notre IA opérationnelle traite des données métier sensibles via un sous-traitant hors périmètre NIS2 — c'est une mise en demeure, potentiellement une interruption de service imposée.
Troisièmement : si un incident survient chez OpenAI qui expose des prompts clients — ce qui est arrivé à d'autres fournisseurs cloud — notre délai de notification RGPD est 72 heures. Nos équipes juridiques gèrent la crise. Nos clients reçoivent une lettre. Notre réputation prend un coup quantifiable.
La solution on-premise coûte X en année 1 en plus. Elle supprime ces trois expositions. Le scénario adversarial où on a tort sur une seule de ces lignes efface l'économie de cinq ans d'abonnement."
Voilà ce qui change dans la salle. Vous n'avez pas dit que ChatGPT Enterprise est mauvais techniquement. Vous avez dit qu'il est cher — vraiment cher — quand on compte correctement.
Construire le cadre TCO : les quatre lignes que votre DSI reconnaîtra
Préparez un tableau à une page. Quatre lignes, deux colonnes. Pas de jargon technique.
Ligne 1 : Coût direct de déploiement (Année 1)
| Poste | Cloud SaaS | IA souveraine on-premise |
|---|---|---|
| Licences / Infrastructure | €€ (abonnement) | €€€ (hardware + intégration) |
| Délai de mise en production | 3-4 semaines | 60-90 jours |
| Compétences requises | Faibles | DevOps, MLOps |
Ligne 2 : Coût de conformité récurrent (par an)
- Revue juridique du DPA vendeur : 15 000–40 000 € (avocat spécialisé, à répéter à chaque mise à jour des CGU)
- Audit de risque NIS2 / prestataire tiers : 20 000–60 000 € selon périmètre
- Effort interne de monitoring : 0,3–0,5 ETP conformité
- Total estimé : 50 000–120 000 €/an
Ligne 3 : Exposition réglementaire ajustée au risque
C'est la ligne que personne ne met dans les business cases. Utilisez cette formule simple :
Exposition ajustée = Amende maximale × Probabilité d'occurrence
Sur un horizon 5 ans dans un environnement régulé :
- Probabilité d'un contrôle CNIL significatif sur l'IA : 15–25 % (source : volume de contrôles CNIL 2024-2025, en hausse de 40 %)
- Amende RGPD si violation caractérisée : 2–4 % du CA mondial
- Exposition ajustée sur 5 ans : calculer selon votre CA — typiquement 200 000 € à 2 M€ pour un groupe mid-cap
Sur la ligne on-premise : exposition ajustée = 0 sur ces trois vecteurs, car les données ne quittent pas votre périmètre.
Ligne 4 : Coût de sortie (lock-in)
Si vous déployez ChatGPT Enterprise, vos documents sont indexés dans les formats propriétaires OpenAI, vos workflows sont calés sur leurs APIs. Migrer vers une architecture souveraine dans 18 mois coûte 60–80 % du coût initial du projet — plus le retard concurrentiel. C'est le piège du lock-in vendeur en IA, documenté en détail sur ce blog.
TCO sur 5 ans — synthèse : dans la majorité des environnements régulés, la solution souveraine on-premise est moins chère totalement que la solution cloud quand on intègre les coûts de conformité, l'exposition réglementaire ajustée, et le coût de sortie. L'avantage "abonnement moins cher" disparaît en année 2 ou 3.
Le plan POC 90 jours : comment aller vite sans sacrifier la souveraineté
La deuxième objection que vous allez recevoir est la vitesse. "On ne peut pas attendre 18 mois pour voir si ça marche."
Vous n'avez pas besoin de 18 mois. Voici un plan de preuve de concept en 90 jours qui livre une valeur réelle tout en construisant l'architecture cible.
Phase 1 : Semaines 1–4 — Socle et périmètre
- Sélectionner un cas d'usage à valeur haute et risque de données moyen : revue documentaire interne, support niveau 2, recherche RH — éviter les données clients en phase 1
- Déployer l'infrastructure minimale : 1 serveur GPU dédié (ou VM isolée dans votre cloud privé), modèle open-weight (Llama 3 70B, Mistral Large ou équivalent), pipeline RAG local
- Indexer 500–2 000 documents représentatifs — pas l'ensemble du corpus, un périmètre maîtrisé
- Objectif semaine 4 : le système répond à des requêtes internes avec citations vérifiables, sans appel externe
Phase 2 : Semaines 5–8 — Validation métier
- Ouvrir l'accès à 10–20 utilisateurs pilotes dans deux équipes différentes
- Mesurer quatre métriques seulement : temps de recherche documentaire avant/après, taux de vérification manuelle des réponses, satisfaction utilisateur (NPS simplifié), nombre de requêtes par jour (signal d'adoption)
- Valider l'audit trail : chaque réponse doit être traçable jusqu'au document source avec numéro de version — c'est votre argument de conformité en action
- Objectif semaine 8 : données terrain qui quantifient la valeur. Pas des estimations — des mesures réelles.
Phase 3 : Semaines 9–12 — Dossier de passage à l'échelle
- Consolider les métriques en business case : gains de productivité mesurés × nombre d'utilisateurs cibles = valeur annualisée
- Documenter le profil de risque : confirmation que zero donnée n'a quitté le périmètre pendant les 8 semaines de pilote — c'est votre démonstration, pas votre promesse
- Présenter le plan de déploiement progressif : Quelle équipe passe en production d'abord ? Quel calendrier d'extension du corpus ?
- Objectif semaine 12 : décision de passage à l'échelle basée sur des données réelles, pas une foi en un vendeur
Ce plan coûte environ 30–50 K€ en infrastructure et temps interne pour le POC. Il produit une décision éclairée. L'alternative — signer un contrat pluriannuel avec un fournisseur cloud sans POC — coûte le même ordre de grandeur en frais d'onboarding, sans les données pour décider en connaissance de cause.
FAQ : les objections que vous allez recevoir
"Les modèles open-source sont moins bons que GPT-4."
C'était vrai en 2023. En 2026, Llama 3 70B, Mistral Large et leurs équivalents performent de manière compétitive sur la grande majorité des tâches d'entreprise — analyse documentaire, résumé, Q&A sur base de connaissances, rédaction structurée. La recherche récente montre que pour des tâches domaine-spécifiques avec un bon pipeline RAG, des modèles plus petits et spécialisés surpassent souvent des modèles frontière généralistes. La question n'est pas "est-ce aussi bon que GPT-4 en général ?" — c'est "est-ce suffisant pour nos cas d'usage ?" La réponse, pour 80–90 % des usages d'entreprise courants, est oui.
"On n'a pas les compétences MLOps en interne."
Le POC 90 jours est conçu pour être réalisé avec 1–2 ingénieurs et un partenaire intégrateur. Ce n'est pas un projet d'infrastructure de centre de données. Les modèles open-weight modernes se déploient en quelques heures sur du hardware standard. Les pipelines RAG matures (LangChain, LlamaIndex, Haystack) réduisent drastiquement le temps de développement. Si votre équipe peut déployer une application web, elle peut déployer une IA souveraine en POC.
"Et si le modèle hallucine ?"
C'est la question qui trahit une confusion entre le modèle et l'architecture. Une IA souveraine correctement construite répond avec des citations obligatoires liées aux documents sources — ce qui est architecturalement différent d'une IA générative sans contrainte de sourcing. Si le système ne peut pas sourcer une réponse dans votre base documentaire, il le dit. C'est précisément cette traçabilité qui répond aux exigences d'explicabilité réglementaire que ChatGPT Enterprise ne peut pas satisfaire par construction.
"Le vendeur cloud nous offre un BAA / DPA renforcé."
Un DPA (Data Processing Agreement) est un instrument contractuel. Il définit les obligations du vendeur — il ne change pas où l'inférence se produit. Si vos documents sont traités sur l'infrastructure OpenAI pour générer une réponse, ce traitement a eu lieu hors de votre périmètre, que le DPA soit signé ou non. En cas de contrôle CNIL, la question posée est architecturale, pas contractuelle : où les données ont-elles été traitées ? Un DPA ne répond pas à cette question. Votre infrastructure si.
"Le RSSI va bloquer de toute façon."
Probablement pas si vous présentez la solution dans le bon sens. Le RSSI est votre allié naturel dans ce dossier — parce que l'IA souveraine résout ses problèmes, pas les vôtres seulement. Zéro fuite de données par construction. Audit trail complet dans votre SIEM. Pas de surface d'attaque externe créée par une intégration API. Présentez votre projet au RSSI avant la DSI, pas après. Utilisez son périmètre comme argument de légitimité interne.
La conversation que vous devez avoir, pas celle que vous avez
La plupart des architectes défendent leur solution technique avec des arguments techniques. Leurs DSI entendent une résistance au changement ou une préférence pour la complexité.
Le cadre qui fonctionne est celui du risque financier quantifié. Votre DSI prend des décisions de risque toute la journée. Il comprend les amendes réglementaires. Il comprend le TCO. Il comprend la différence entre un coût visible sur une facture et un passif hors bilan.
Votre travail n'est pas de lui expliquer comment fonctionne l'IA souveraine. C'est de lui montrer que la solution apparemment simple cache des coûts réels et des expositions mesurables — et que la solution apparemment complexe est, sur cinq ans et en intégrant correctement les risques, la moins chère et la plus défendable.
Avec ce dossier en main, "Pourquoi pas ChatGPT Enterprise ?" n'est plus une objection à contrer. C'est une question à laquelle vous avez une réponse chiffrée, structurée, et traçable.
Prochaine étape : valider votre business case
Si vous êtes en train de construire ce dossier pour votre organisation, deux ressources complémentaires vous aideront :
- Le cadre ROI complet pour l'IA privée — comment structurer les quatre leviers de valeur pour le DAF
- Le dossier CFO pour l'IA air-gap — la décomposition complète des coûts cachés du cloud AI (en anglais)
Scabera est conçu précisément pour ce déploiement : une IA à citations obligatoires, déployée dans votre infrastructure, avec un audit trail complet qui répond aux exigences RGPD, NIS2, et sectorielles. Si vous construisez un POC 90 jours et souhaitez un cadre de déploiement éprouvé, discutons de votre contexte.