Pour un sous-traitant aéronautique qui manipule des données ITAR, CUI ou couvertes par le secret industriel, ChatGPT et les autres LLM cloud grand public ne sont pas une option : la donnée doit rester chez vous. C'est exactement ce que vient d'acter Airbus en officialisant, le 28 mai 2026, un accord pluriannuel avec Mistral AI pour héberger une IA souveraine dans sa propre infrastructure. Ce choix n'est pas anecdotique : il pose un standard que toute la chaîne de sous-traitance va devoir suivre.
Cet article n'est pas un match ChatGPT contre Mistral. C'est un guide de décision : pourquoi la donnée aéronautique ne peut pas transiter par un cloud non maîtrisé, ce que « IA souveraine » veut dire concrètement pour un sous-traitant (et non pour un groupe comme Airbus), dans quels cas le cloud public reste parfaitement légitime, et par où commencer si vous êtes rang 1, 2 ou 3 dans l'écosystème toulousain.
Ce que change l'accord Airbus-Mistral pour vos donneurs d'ordre
Le 28 mai 2026, Airbus a officialisé un accord pluriannuel avec Mistral AI pour déployer une IA générative souveraine hébergée directement dans l'infrastructure du groupe, avec l'ambition de transformer les méthodes de travail en usine, sur la maintenance et dans les bureaux d'études. L'information a été largement relayée localement, notamment par Le Journal Toulousain, et documentée côté filière par le GIFAS.
Pour un donneur d'ordre de cette taille, le choix a un sens évident : Airbus a les moyens d'héberger et de maîtriser sa propre IA de bout en bout. Ce qui compte pour vous, sous-traitant, ce n'est pas de copier le fournisseur choisi par Airbus. C'est le signal qu'il envoie à toute sa chaîne de sous-traitance : la maîtrise de la donnée devient un critère d'exigence, au même titre que la traçabilité qualité.
Une région déjà structurée autour de cet enjeu
L'aéronautique et le spatial représentent plus de 86 000 emplois en Occitanie et s'appuient sur plus de 800 sous-traitants et fournisseurs implantés dans la région, de rang 1 à rang 3. Cette masse critique de PME et d'ETI est directement concernée : elle doit suivre la cadence de ses donneurs d'ordre sans disposer des mêmes moyens d'infrastructure qu'un groupe intégré.
Concrètement, cela signifie que les prochains audits fournisseurs, les prochains cahiers des charges, vont de plus en plus intégrer des questions sur la manière dont vous traitez vos données avec l'IA. Pas seulement « utilisez-vous l'IA », mais « où vont vos données quand vous l'utilisez ».
À retenir
L'accord Airbus x Mistral AI n'impose aucun outil précis aux sous-traitants. Il fixe un standard implicite : la souveraineté sur la donnée entre dans les critères d'exigence de la filière aéronautique, au même titre que l'EN 9100.
Pourquoi la donnée aéro ne peut pas passer par un cloud non maîtrisé
La question n'est pas une posture ou un excès de prudence. C'est une contrainte réglementaire et contractuelle qui rend certains usages du cloud public tout simplement impossibles.
ITAR et CUI : un cadre qui dépasse la simple confidentialité
L'ITAR (International Traffic in Arms Regulations) est une réglementation américaine qui contrôle l'exportation de technologies et de données à usage militaire ou dual-use. Les données classées CUI (Controlled Unclassified Information) obéissent à une logique voisine, encadrée notamment par la norme NIST SP 800-171 et le référentiel CMMC 2.0 côté fournisseurs de défense américains.
Ce que cela implique concrètement : envoyer un extrait de plan, une note de calcul ou un chapitre de documentation technique classifiée vers un LLM cloud, via une simple requête, peut constituer un transfert de données réglementé. Comme le détaille cette analyse destinée aux CIO et RSSI, la sanction ne dépend pas de l'intention mais du fait générateur : la donnée est sortie du périmètre contrôlé.
Le secret industriel, une contrainte distincte de la réglementation export
Au-delà de l'ITAR, les plans, procédés de fabrication et notes de chiffrage constituent du secret industriel au sens contractuel. Les accords de confidentialité signés avec les donneurs d'ordre interdisent souvent explicitement la transmission de ces données à un tiers, y compris sous forme anonymisée ou fragmentée dans un prompt.
Les exigences qualité EN 9100, EN 9110 et EN 9120 ajoutent une couche de traçabilité documentaire : chaque flux de données doit pouvoir être audité. Un appel API vers un cloud dont vous ne maîtrisez pas la chaîne de sous-traitance technique casse cette traçabilité, même si le fournisseur affiche un hébergement européen en façade.
Ce que le cloud public fait très bien, sans risque
Il serait malhonnête de présenter le cloud public comme dangereux par nature. Pour de la rédaction générique, du brainstorming, de la recherche documentaire publique ou de l'aide à la formulation, un outil comme ChatGPT est rapide, performant et parfaitement légitime. Le risque n'existe que lorsque des données sensibles entrent dans le prompt.
Principe de base
Ce n'est pas l'outil qui est en cause, c'est la donnée qui y entre. Un cloud public est acceptable pour une tâche sans donnée sensible. Il devient inadapté dès qu'un document ITAR, CUI ou couvert par un accord de confidentialité entre dans le prompt.
IA souveraine : ce que ça veut dire concrètement pour un sous-traitant
Pour un groupe comme Airbus, « IA souveraine » veut dire une infrastructure dédiée à l'échelle du groupe. Pour un sous-traitant de rang 1, 2 ou 3, la traduction concrète est différente, et beaucoup plus accessible qu'on ne le pense.
Un modèle de base ouvert, pas un géant propriétaire fermé
La souveraineté ne demande pas de construire un modèle depuis zéro. Elle repose sur un petit modèle de langage (SLM) de 3 à 8 milliards de paramètres, issu d'une base ouverte comme Ministral, Mistral Small, ou d'autres familles ouvertes (Llama, Phi, Gemma). Ce modèle est ensuite fine-tuné sur vos propres données métier : rapports qualité, documentation technique, historiques de non-conformités. Notre article entraîner une IA sur des données aéronautiques confidentielles détaille comment mener ce fine-tuning sans jamais exposer un dataset couvert par l'ITAR ou un secret industriel.
Un SLM de cette taille se fine-tune sur un seul GPU et coûte, une fois en production, 10 à 30 fois moins cher à opérer qu'un grand LLM généraliste facturé à l'usage. La souveraineté n'est donc pas qu'une contrainte réglementaire : c'est aussi un modèle économique différent, moins dépendant d'une facturation API variable.
Le déploiement : chez vous, ou chez un hébergeur maîtrisé
« Souverain » signifie que le modèle tourne dans une infrastructure que vous contrôlez : un serveur on-premise dans vos locaux, ou un hébergeur français dont vous maîtrisez contractuellement et techniquement la chaîne de sous-traitance. Aucune donnée ne transite vers un serveur étranger, aucun prompt ne quitte votre périmètre.
Ce n'est pas nécessairement un projet lourd. Un mini-serveur avec une carte GPU dédiée suffit pour un modèle de 7 à 8 milliards de paramètres servant une dizaine d'utilisateurs simultanés. L'ampleur du projet dépend du volume documentaire et du nombre d'usages à couvrir, pas d'un seuil d'entrée obligatoire. Notre guide déployer un SLM on-premise et sécurisé dans l'aéronautique détaille le choix du GPU, les habilitations d'accès et le MLOps nécessaires pour opérer ce type d'installation dans la durée.
Ce que la souveraineté ne résout pas automatiquement
Un SLM souverain n'est pas magique. Il reste sujet aux mêmes limites qu'un modèle cloud sur la précision d'un jargon très spécifique ou d'une procédure inhabituelle, s'il n'a pas été spécialisé sur vos documents. La différence n'est pas la qualité de la réponse au premier jour, c'est la maîtrise totale du flux de données et la possibilité d'améliorer le modèle en continu sans jamais l'exposer.
Cloud ou souverain : dans quels cas chacun est acceptable
Le choix ne se fait pas une fois pour toutes pour l'ensemble de l'entreprise. Il se fait usage par usage, selon la sensibilité de la donnée manipulée.
| Usage | Donnée concernée | Cloud public acceptable ? | Recommandation |
|---|---|---|---|
| Rédaction générique, brainstorming | Aucune donnée client ou technique | Oui | Cloud public (ChatGPT, etc.) |
| Recherche documentaire publique | Normes, veille technique ouverte | Oui | Cloud public |
| Documentation technique AMM, IPC, ATA | Confidentielle contractuellement (OEM) | Non | SLM souverain on-premise |
| Rapports qualité 8D, QRQC, FAI | Secret industriel, traçabilité EN 9100 | Non | SLM souverain on-premise |
| Chiffrage, réponse à appel d'offres | Données ITAR ou CUI selon le programme | Non, si ITAR/CUI | Vérifier la classification, puis souverain si concerné |
| Plans, procédés de fabrication | Secret industriel | Non | SLM souverain on-premise |
Cette lecture par usage, plutôt que par outil unique, évite deux écueils : sur-investir dans une infrastructure souveraine pour des tâches qui n'en ont pas besoin, ou exposer une donnée sensible par simplicité d'usage. Notre article sur SLM ou LLM, quel modèle choisir pour une PME détaille les critères de choix quand la contrainte n'est pas réglementaire mais budgétaire ou de performance. Pour la documentation technique AMM, IPC et ATA justement, notre article RAG ou fine-tuning pour la documentation aéronautique détaille comment répartir RAG et fine-tuning selon le type de document, une fois l'architecture souveraine actée.
La ligne « Chiffrage, réponse à appel d'offres » du tableau ci-dessus mérite un développement à part : au-delà de la question ITAR/CUI, c'est souvent le délai de réponse aux appels d'offres qui pousse les sous-traitants à chercher une architecture IA fiable. Notre article réduire le délai de réponse aux appels d'offres aéronautiques grâce à l'IA détaille cet enjeu, sur une donnée CCTP qui exige la même vigilance que la documentation technique.
Par où un sous-traitant commence
Face à ce signal Airbus-Mistral, la tentation est de vouloir tout basculer d'un coup. La méthode qui fonctionne est plus progressive.
Étape 1 : cartographier vos usages IA actuels et futurs
Listez qui utilise déjà l'IA dans votre entreprise, y compris les usages informels d'un collaborateur avec ChatGPT sur son poste personnel. Pour chaque usage, identifiez la nature de la donnée manipulée : générique, technique confidentielle, ITAR, CUI. Cette cartographie révèle souvent des usages à risque déjà en cours, sans que la direction en soit informée.
Étape 2 : classer vos données selon leur sensibilité réglementaire
Toutes les données aéronautiques ne sont pas ITAR. Une partie de votre documentation, de vos process qualité ou de votre veille technique est parfaitement partageable avec un outil cloud. Cette classification évite de traiter tout comme sensible par excès de prudence, ce qui ralentirait inutilement l'adoption de l'IA sur les usages sans risque.
Étape 3 : cadrer un premier cas d'usage souverain, sur un périmètre limité
Plutôt qu'un projet global, commencez par un cas d'usage précis où l'enjeu de confidentialité est le plus fort : documentation technique classifiée, rapports de non-conformité récurrents, ou données de chiffrage sur un programme sous secret industriel. Un premier déploiement circonscrit permet de valider l'architecture, le modèle et le retour utilisateur avant d'étendre.
C'est précisément l'objet d'un audit IA de cadrage : identifier les usages prioritaires, la classification des données, et l'architecture la plus adaptée (SLM souverain, hybride, ou cloud) avant tout investissement en fine-tuning ou en infrastructure.
Point de vue terrain
« La question n'est jamais ChatGPT ou souverain en bloc. Elle est : quelles données de votre entreprise ne peuvent objectivement pas sortir, et pour celles-là, quel modèle spécialisé et quelle infrastructure vous permettent d'en tirer parti sans jamais les exposer. » Anas Rabhi, ingénieur IA et fondateur de Tensoria.
Pour approfondir la brique technique du déploiement, notre guide sur le SLM embarqué pour la documentation technique aéronautique détaille une architecture RAG locale déjà en usage sur ce type de contrainte, et notre panorama du SLM en entreprise couvre les modèles et coûts associés. Sur la gamme française spécifiquement, Ministral et Mistral Small, le guide des SLM français détaille les modèles utilisés dans ce type de projet.
Sous-traitant aéronautique
Vous voulez savoir quelles données peuvent rester sur du cloud public et lesquelles exigent une IA souveraine ? Cadrons-le ensemble.
Questions fréquentes
Conclusion
L'accord Airbus-Mistral AI n'oblige aucun sous-traitant à changer d'outil du jour au lendemain. Il confirme une tendance de fond : la maîtrise de la donnée devient un critère structurant de la filière aéronautique, au même titre que la qualité ou les délais. Le cloud public garde toute sa place sur les usages sans donnée sensible. La souveraineté s'impose là où l'ITAR, le CUI ou le secret industriel l'exigent, avec un SLM fine-tuné et déployé chez vous.
La bonne nouvelle : cette architecture n'est plus réservée aux groupes intégrés. Un sous-traitant de taille moyenne peut aujourd'hui déployer un modèle spécialisé, souverain, sur un périmètre ciblé, sans les moyens d'un Airbus.
Pour aller plus loin
- IA pour les sous-traitants aéronautiques à Toulouse : panorama des cas d'usage prioritaires pour rang 1, 2 et 3.
- IA et supply chain aéronautique pour PME : prévision, planification et pilotage des flux fournisseurs.
- IA et MRO en aéronautique à Toulouse : usages IA en maintenance et réparation Part 145.
- SLM embarqué pour la documentation technique aéronautique : architecture RAG locale sur AMM, IPC et ATA sans cloud.
- SLM ou LLM, quel modèle choisir pour une PME : critères de choix quand la contrainte n'est pas seulement réglementaire.
- SLM en entreprise : le guide complet : définition, panorama des modèles, comparatif des coûts.
- Ministral et Mistral Small : guide des SLM français : focus sur la gamme Mistral AI pour l'entreprise.
- Audit IA de cadrage : identifier vos usages prioritaires et l'architecture adaptée à vos contraintes de confidentialité.
- Airbus a choisi Mistral AI : ce que l'IA souveraine va changer dans les usines toulousaines (Le Journal Toulousain).
- Pour une IA souveraine et maîtrisée : les petits modèles de langage (Crossdata).