Lifecycle stage — Build
Ceci n'est pas le Domain-Expert LLM Lab du secteur privé. C'est son adaptation au secteur public. Un ministère, une agence régionale de santé, une agence de défense, un opérateur ferroviaire national ou un programme smart city ne peut pas utiliser la mission standard parce que la mission standard suppose la flexibilité du cloud public et un data processing agreement commercial. La variante secteur public non. Chaque phase de la mission tourne sur une infrastructure souveraine — Scaleway, OVHcloud, Bleu, S3NS, ou les GPUs on-premise de l'acheteur. Aucune donnée ne quitte le sol UE. Aucun hyperscaler américain n'est dans le chemin critique. Les corpus d'entraînement restent dans le pays pendant et après la mission. Le calendrier passe à douze semaines parce que quatre de ces semaines sont l'audit de souveraineté, la négociation du data processing agreement, le travail de documentation Annexe IV, et le provisioning on-premise que la mission secteur privé saute. Le pack de livrables est construit pour être procurement-ready : le modèle, les poids, le harnais d'éval, le déploiement on-premise, et la documentation technique Annexe IV complète sont remis à l'acheteur comme un artefact unique compatible procurement. Le Lab secteur privé est plus rapide et moins cher ; si votre cas d'usage peut tolérer un déploiement cloud public et un DPA commercial, cette mission est le bon choix et celle-ci ne l'est pas.
Le gate procurement ne peut pas approuver un déploiement API de frontière. La réponse commerciale standard — envelopper une API de frontière, signer un DPA, déployer — ne passe pas le procurement secteur public dans la plupart des États membres UE. La résidence des données, la chaîne de sous-traitants, l'évaluation d'impact sur les transferts, et l'exposition Schrems II sur l'inférence hébergée aux US se combinent en un risque procurement que l'autorité acheteuse ne peut pas absorber. Le projet cale dans la revue de conformité, souvent pour des trimestres, et la réponse éventuelle est soit un carve-out de souveraineté que le vendor n'acceptera pas, soit un redesign complet sur infrastructure UE uniquement. Démarrer sur une infrastructure souveraine dès le premier jour est le chemin le plus court.
Les obligations de l'EU AI Act sont maintenant opérantes et la charge documentaire est réelle. Les systèmes IA à haut risque selon l'Act — qui couvrent la plupart des cas d'usage ministère, santé et infrastructure critique — exigent une documentation technique Annexe IV, une évaluation de conformité, une surveillance post-commercialisation, et un enregistrement dans la base de données UE. Produire cette documentation rétrospectivement, après qu'un modèle a été entraîné et déployé, est coûteux et souvent incomplet. L'intégrer dans la mission dès le premier jour est matériellement moins cher et produit une traçabilité documentaire qui survit à un audit régulateur. La plupart des missions secteur privé n'en ont pas besoin ; les missions secteur public presque toujours si.
Le corpus propriétaire est tout le sujet et ne peut pas quitter la juridiction. La raison pour laquelle un organisme public fait un modèle métier, c'est que le corpus — archives ministérielles classifiées, dossiers médicaux nationaux, manuels techniques de défense, jurisprudence en droit des marchés publics, télémétrie opérationnelle ferroviaire — est exactement l'actif qui ne peut pas être envoyé à un cloud américain pour entraînement. Un wrapper API générique n'allait jamais utiliser ce corpus ; un modèle fine-tuné sur infrastructure souveraine est la seule architecture qui rend le corpus déployable. Si le corpus peut quitter la juridiction, le projet n'est probablement pas assez grand ou sensible pour justifier la variante souveraine, et le Lab secteur privé est la bonne mission à la place.
L'équipe interne est forte sur le domaine mais fine sur le ML de production. Les équipes techniques du secteur public sont généralement profondes sur le domaine — épidémiologistes au ministère de la santé, ingénieurs trafic ferroviaire chez l'opérateur, juristes au ministère de la justice. Elles sont rarement profondes sur le ML de production : pipelines de fine-tuning, construction de harnais d'éval, quantization pour inférence on-premise, documentation Annexe IV au niveau que l'Act exige maintenant. La mission est structurée pour respecter l'expertise métier — l'équipe de l'acheteur détient le corpus et les critères d'acceptation — tout en fournissant la couche ML de production que l'Act et le gate procurement exigent tous les deux.
La mission est la phase ENGINEER de la Hyperion Lifecycle, étendue à douze semaines par l'audit de souveraineté, le cadre de traitement des données, le provisioning on-premise, et le track de documentation Annexe IV qui tourne en parallèle du travail technique. La mission opère sous un data processing agreement qui spécifie une infrastructure souveraine UE pour chaque phase et interdit tout transfert de données vers une juridiction hors UE à tout moment. Les équipes procurement et juridique de l'acheteur sont impliquées dès la semaine une, pas à la fin.
Posture de souveraineté écrite : quelles charges tournent où, quel fournisseur (Scaleway, OVHcloud, Bleu, S3NS, ou on-premise), quelles juridictions les données toucheront et ne toucheront pas, quels sous-traitants sont dans le périmètre et lesquels sont spécifiquement exclus. Le data processing agreement est rédigé et négocié avec l'équipe juridique de l'acheteur, et l'environnement d'entraînement sovereign-cloud ou on-premise est provisionné sous celui-ci. La documentation Annexe IV démarre en parallèle — le dossier technique, le cadre de gestion des risques, la section gouvernance des données. À la fin de la semaine trois, la mission a une posture légale et infrastructurelle approuvée derrière laquelle le procurement peut se tenir.
Le corpus propriétaire est audité pour la couverture, la qualité, la provenance et la base légale pour usage sous la régulation sectorielle pertinente — RGPD, loi sur les archives publiques, classification de défense, gouvernance des données de santé. Le harnais d'évaluation est construit contre la définition de tâche que les experts métier de l'acheteur ont validée, et une baseline est lancée — là où légalement permis — contre une API de frontière hébergée UE pour comparaison. Les critères d'évaluation deviennent partie de la documentation Annexe IV, pas un artefact séparé.
Sélection du base model à travers Llama 3, Mistral et Qwen — tous open-weight, tous légalement déployables sur infrastructure souveraine sans relation vendor qui réintroduit le problème de résidence des données. L'entraînement tourne sur les GPUs souverains provisionnés. Nous menons des expériences structurées — LoRA contre full fine-tune, ablations de data mix — et évaluons chaque run contre la baseline de la semaine cinq. Le dossier technique Annexe IV est mis à jour à chaque décision matérielle : choix de base model, data mix, hyperparamètres d'entraînement, résultats d'évaluation. La documentation n'est pas une reconstruction post-hoc ; c'est le registre de la mission au fur et à mesure qu'elle se déroule.
L'inférence est déployée sur l'infrastructure désignée par l'acheteur — GPUs on-premise, tenant sovereign-cloud dédié, ou environnement air-gapped pour charges classifiées. La documentation technique Annexe IV est finalisée, les preuves d'évaluation de conformité assemblées, le plan de surveillance post-commercialisation écrit, et l'enregistrement dans la base de données EU AI Act préparé. L'équipe interne de l'acheteur est formée au harnais d'éval, au pipeline d'entraînement et au framework de documentation pour qu'elle puisse opérer le système et étendre la documentation quand le modèle est réentraîné. Le modèle, les poids, l'éval, le déploiement, et le pack complet de conformité sont remis comme un artefact unique procurement-ready.
Ministères, gouvernements régionaux, autorités nationales de santé, agences de défense, opérateurs ferroviaires et de transport, opérateurs de réseaux d'énergie, et programmes smart city avec un cas d'usage métier qui exige un modèle entraîné sur un corpus que l'acheteur est légalement ou opérationnellement incapable d'envoyer hors juridiction UE. Autorités acheteuses dont le processus procurement a déjà identifié une dépendance cloud public ou API de frontière comme un risque disqualifiant. Programmes où la classification haut risque de l'EU AI Act s'applique et où une documentation technique Annexe IV doit être produite à un standard qu'un régulateur peut auditer. Ceci n'est pas pour les acheteurs publics dont le cas d'usage peut tolérer un déploiement cloud public et un DPA commercial — le Domain-Expert LLM Lab secteur privé est le bon point d'entrée à cette posture de risque, avec un calendrier plus court et un coût moindre. Ce n'est pas non plus pour les programmes sans corpus propriétaire ; sans l'actif données, la mission souveraine n'a aucun avantage qu'une API de frontière ne puisse égaler à une fraction du coût.
L'un ou l'autre, selon la posture opérationnelle de l'acheteur. On-premise est la bonne réponse pour les charges classifiées, les environnements air-gapped, et les programmes où l'acheteur opère déjà un cluster GPU. Sovereign-cloud — Scaleway, OVHcloud, Bleu, S3NS — est la bonne réponse pour les acheteurs qui veulent un traitement juridictionnel UE sans le CapEx et le fardeau opérationnel de posséder des GPUs. Le périmètre de la mission ne change pas ; seul le travail de provisioning des semaines un à trois change. Le document de posture de souveraineté enregistre quel choix a été fait et pourquoi, pour le procurement et la traçabilité d'audit.
Le dossier Annexe IV est la couche spécifique IA ; votre régulateur sectoriel — santé, finance, transport, défense — aura généralement des exigences documentaires et de gouvernance supplémentaires qui se placent à côté. La mission construit le dossier Annexe IV au standard de l'Act et les sections gouvernance des données, gestion des risques et évaluation sont structurées pour être réutilisées dans votre soumission sectorielle plutôt que réécrites. Je ne fournis pas de conseil juridique sectoriel — votre conseil conformité interne en est propriétaire — mais j'ai construit la documentation technique qui se trouve sous suffisamment de soumissions face à des régulateurs pour savoir quelles preuves les régulateurs veulent réellement, qui est généralement différent de ce que suggèrent les documents d'orientation.
La mission tourne sous quel que soit le véhicule procurement que l'acheteur exige — contrat direct, accord DPS, UGAP en France, accords-cadres à l'échelle UE. La structure commerciale ne change pas le périmètre technique ni le calendrier de douze semaines, bien que le processus procurement lui-même puisse étendre le délai avant le démarrage de la mission. Là où l'équipe procurement de l'acheteur n'a pas de véhicule existant qui convient, je peux travailler avec elle pour en structurer un ; c'est en partie pour cela que le credential Ambassadeur IA France Num a spécifiquement été construit.
Le DPA le couvre explicitement. L'entraînement se fait sur une infrastructure souveraine UE sous un data processing agreement qui spécifie la base légale, la rétention et les contrôles d'accès pour les données personnelles pendant la mission. Une AIPD est produite dans le cadre du pack de documentation Annexe IV et revue avec votre DPO. Là où le corpus exige une pseudonymisation ou une rédaction avant entraînement — ce qui est souvent le cas — ce travail fait partie de la phase de curation des données de la semaine quatre, pas une pensée après coup. La mission est conçue pour produire un processus d'entraînement conforme RGPD, pas juste un modèle déployé conforme RGPD.
Non. Le pack de livrables est délibérément complet : les poids, le harnais d'éval, le pipeline d'entraînement, le runbook de déploiement, et le framework de documentation Annexe IV sont tous à vous à opérer. Votre équipe interne est formée à chacun d'eux en semaines onze et douze pour que le handoff ne soit pas théorique. Certains acheteurs publics choisissent une mission de refresh cadrée quand un base model matériellement meilleur sort — Llama 5, une release Mistral plus forte — mais c'est optionnel et facturé séparément. La mission sort proprement ; elle ne se convertit pas en un retainer indéfini.
30 minutes. Je diagnostique votre situation, je vous dis honnêtement si ce service convient — et sinon, lequel conviendrait.