Gouvernance · 05.2026 · 6 min
Trois angles à retenir
- Les plateformes PLM cloud des principaux éditeurs aéronautiques hébergent les données de conception sous juridiction américaine, soumises au Cloud Act et, selon les programmes, aux contrôles d'exportation EAR. Le COMEX est rarement informé de ce transfert.
- 68 % des salariés de grandes entreprises françaises incluant Airbus utilisent l'IA sans en informer leur direction. Dans les bureaux d'études, ce chiffre dépasse 80 % chez les cadres techniques. Les données de conception propriétaires sortent par ce canal avant toute décision formelle.
- Le Comité d'éthique de la défense français a posé en janvier 2025 que la responsabilité ne peut pas être attribuée à un système d'IA. Elle revient aux décideurs qui ont engagé le déploiement - y compris par omission.
Un directeur de programme d'un équipementier de rang 1 utilise Dassault Systèmes 3DEXPERIENCE sur le cloud pour collaborer avec son client constructeur américain. La plateforme est puissante, l'intégration fluide, la productivité réelle. Ce qu'il n'a pas posé à son COMEX : les données de conception d'un sous-système stratégique - géométries, matériaux, performances simulées - transitent via des serveurs Microsoft Azure, sous juridiction américaine, soumis à la fois au Cloud Act et aux contrôles d'exportation EAR. La décision de mettre ces données sur ce cloud n'a jamais été formellement prise. Elle a été faite par défaut, lors du choix de l'outil.
Le constat : IA et gouvernance des données dans l'aéronautique
En 2026, l'adoption de l'IA dans l'aéronautique et la défense est concrète et documentée. Airbus a déployé plus de 600 cas d'usage GenAI en moins d'un an et opère Skywise sur environ 12 000 avions connectés. Safran a créé Safran.AI après l'acquisition de Preligens, déployé un outil GenAI à 5 000 à 6 000 employés et lancé avec Airbus le programme GenAir pour la maintenance prédictive des moteurs. Thales a structuré cortAIx avec 600 experts et un laboratoire opérationnel. En Suisse, RUAG a intégré un modèle de langage développé avec la start-up lausannoise Giotto.AI, fonctionnant en mode air-gappé - une réponse directe à la question de la dépendance cloud pour les données de défense.
Ce qui manque n'est pas l'usage. C'est la décision. McKinsey documente que seuls 27 % des boards ont formellement ajouté la gouvernance IA à leurs chartes de comités. Dans l'aéro-défense, ce chiffre est vraisemblablement inférieur : le secteur combine des usages opérationnels croissants avec des données dont la sensibilité - propriété intellectuelle, données duales, données de vol - est sans équivalent dans d'autres industries, et une gouvernance board encore incomplète.
Airbus l'a compris avant la plupart. Fin 2025, le groupe a lancé un appel d'offres cloud souverain européen de plus de 50 millions d'euros pour migrer ses systèmes critiques - ERP, MES, CRM, PLM. La décision de choisir un hébergeur souverain pour les données de conception est une décision de direction. Elle a été prise explicitement, avec un budget, une échéance et une responsabilité nommée. C'est précisément ce que la gouvernance IA rend possible.
Cloud Act et contrôles d'exportation : ce que les directions doivent comprendre sans être expertes en droit
Il n'est pas nécessaire de maîtriser les détails de l'EAR ou du Cloud Act pour en être responsable. Ce que le COMEX doit savoir tient en quelques faits documentés.
- PTC Windchill est une société américaine. Toutes ses infrastructures cloud sont soumises au Cloud Act. Il n'existe pas d'offre cloud souveraine française de PTC. Les données hébergées sont accessibles aux autorités américaines sur requête.
- Siemens Teamcenter X fonctionne sur AWS et Azure. Sa juridiction principale est américaine malgré le siège européen de Siemens. L'hébergement cloud des données de conception n'est pas neutre vis-à-vis des contrôles export.
- Dassault Systèmes offre Outscale, qualifié SecNumCloud 3.2, pour les organisations qui exigent un hébergement souverain. Cette option existe. Elle n'est pas la configuration par défaut. Elle ne s'active pas sans décision de direction.
- IBM Maximo Application Suite intègre désormais Watsonx. Son infrastructure est américaine. Les données de maintenance des flottes - y compris pour les opérateurs d'appareils à double usage - transitent dans cet environnement.
En juin 2025, Microsoft a admis devant un tribunal français ne pouvoir garantir l'immunité au Cloud Act pour les données hébergées dans ses datacenters, y compris en France. Ce n'est pas un détail juridique ésotérique. C'est une limite structurelle que le conseil habituel - lorsqu'il est partenaire de ces éditeurs - n'a pas intérêt à mettre en premier plan.
« La souveraineté technique totale est hors d'atteinte dans l'environnement industriel actuel. La souveraineté décisionnelle, elle, est à construire - par chaque direction, pour chaque programme, avec une lecture stratégique des dépendances et plan B documenté. - Doctrine VEIA.AI »
Shadow IA dans les bureaux d'études
Une étude INRIA-Datacraft de juin 2025 sur 14 grandes entreprises françaises, incluant Airbus et le Ministère des Armées, documente que 68 % des salariés utilisent l'IA sans en informer leur direction. Dans les bureaux d'études, ce chiffre dépasse 80 % chez les cadres techniques.
Ce phénomène a une traduction concrète dans l'aéronautique. Un ingénieur de bureau d'études utilise ChatGPT ou un outil tiers pour analyser un jeu de données de simulation, résumer un rapport de test ou générer du code de post-traitement. Les données d'entrée incluent des paramètres de performance, des géométries partielles, des matériaux propriétaires. Aucune de ces données ne devait sortir de l'environnement contrôlé. Elles viennent de sortir, via un modèle hébergé aux États-Unis, entraîné potentiellement sur les données transmises.
IBM évalue la prime moyenne sur le coût total d'une violation de données à 670 000 dollars lorsque la Shadow IA est fortement impliquée. Dans le secteur aéronautique, le coût de la compromission d'une donnée de conception propriétaire - perte de position concurrentielle, invalidation d'un brevet, rupture de contrat avec un client défense - dépasse très largement ce chiffre.
La réponse n'est pas l'interdiction. Interdire ChatGPT sans offrir d'alternative approuvée pousse l'usage dans l'ombre sans le supprimer. Safran l'a compris en déployant son outil SecuredChatGPT à 5 000 à 6 000 employés - une réponse organisationnelle, pas seulement réglementaire.
Ce que la gouvernance doit couvrir
Une gouvernance IA adaptée à un acteur aéronautique ou de défense repose sur quatre décisions de direction que les équipes techniques ne peuvent pas prendre seules.
- Lecture stratégique des dépendances par programme. Quelles données de conception, de simulation et de performance sont hébergées dans quel environnement cloud, sous quelle juridiction, avec quelle politique de réversibilité. Cette cartographie est un préalable à toute décision de gouvernance - et elle n'existe que rarement sous forme consolidée.
- Politique Shadow IA pour les bureaux d'études et les équipes R&D. Quels outils sont approuvés, pour quelles catégories de données, avec quelles limites. Une politique adaptée réduit l'exposition sans bloquer la productivité.
- Décision documentée pour chaque déploiement IA sur données sensibles. Qui a décidé, sur quelles bases, avec quels garde-fous. Le Comité d'éthique de la défense français a rappelé en janvier 2025 que la responsabilité appartient aux décideurs, pas aux systèmes.
- Lecture stratégique des arbitrages que l'EASA et l'AI Act imposent à la direction. L'EASA a publié sa première proposition réglementaire sur l'IA embarquée en novembre 2025 (NPA 2025-07), avec une finalisation visée pour 2028. L'AI Act classe les systèmes IA intégrés dans des produits de sécurité aéronautique en systèmes à haut risque. La direction qui pose sa doctrine maintenant garde la main sur les arbitrages avant que les échéances ne les ferment.
La gouvernance des données de conception aéronautiques commence par un diagnostic indépendant.
