Mistral dans votre banque, IA américaine chez Doctolib : qui traite vos données ?

Votre banque parle déjà à Mistral. Votre médecin, peut-être à une autre IA.

Une vidéo circule avec une phrase simple, efficace, presque parfaite pour faire réagir :

« Mistral est dans votre banque, votre Doctolib, sans vous le dire. »

Le titre frappe parce qu’il mélange trois angoisses très actuelles : l’IA invisible, les données personnelles et la souveraineté numérique.

Et comme souvent avec les bonnes phrases virales, il y a une part de vrai, une part de raccourci, et une part de confusion.

Oui, Mistral AI, le champion français de l’intelligence artificielle, est déjà présent dans des services essentiels.

Oui, vous pouvez interagir avec des systèmes propulsés par Mistral sans forcément le savoir clairement.

Oui, la banque, l’État, l’armée et de grands groupes français utilisent déjà ses modèles.

Mais l’exemple Doctolib est plus compliqué que ce que suggère la vidéo. Microsoft a bien présenté un assistant de consultation Doctolib intégrant Azure OpenAI Service et Mistral Large sur Azure. Mais la polémique récente autour de Doctolib ne désigne pas Mistral comme acteur central. Elle vise surtout l’opacité des sous-traitants américains : Microsoft Azure, Anthropic et Google.

Et c’est justement là que le sujet devient intéressant.

Le vrai problème n’est pas seulement de savoir si Mistral est partout.

Le vrai problème est de savoir quelle IA se cache déjà derrière nos services essentiels, ce qu’elle traite, où partent les données, et pourquoi l’utilisateur final ne le sait presque jamais.

Mistral : petit pour le public, énorme dans les coulisses

Pour le grand public, Mistral reste relativement discret.

Son assistant Le Chat existe, ses modèles sont respectés, mais l’utilisateur moyen connaît surtout ChatGPT, Gemini ou Claude.

Ce serait pourtant une erreur de croire que Mistral est un petit acteur.

Fondée en 2023 à Paris par Arthur Mensch, Guillaume Lample et Timothée Lacroix, Mistral AI est devenue en deux ans l’un des symboles de l’IA européenne.

En septembre 2025, l’entreprise a levé 1,7 milliard d’euros. L’opération a porté sa valorisation à 11,7 milliards d’euros, soit environ 12 milliards selon les arrondis repris dans la presse économique française.

ASML, géant néerlandais des machines de lithographie utilisées dans la fabrication des semi-conducteurs, a investi 1,3 milliard d’euros dans ce tour de table et détient environ 11 % de Mistral. Il est devenu son premier actionnaire.

C’est déjà une première nuance à garder en tête : Mistral est française, mais son premier actionnaire est néerlandais. Et son développement dépend encore d’un écosystème matériel largement dominé par Nvidia, donc par les États-Unis.

La souveraineté existe, mais elle n’est jamais pure.

“Dans votre banque” : là, c’est vrai

Sur la banque, la vidéo touche juste.

Hello bank!, la banque en ligne de BNP Paribas, a lancé HelloïZ 2.0, un assistant bancaire propulsé par les modèles de Mistral AI.

Selon les informations publiées autour du lancement, HelloïZ 2.0 est déployé auprès de plus d’un million de clients. Il peut orienter les utilisateurs vers 25 types d’opérations, comme les virements, l’opposition de carte, la gestion de la clé digitale ou certaines actions courantes du compte.

La date est importante : le déploiement public de cette nouvelle version est annoncé autour du 19 janvier 2026.

D’ici fin 2026, Hello bank! prévoit que certaines opérations puissent être exécutées directement dans le fil de conversation. L’assistant ne se contenterait donc plus de répondre ou de guider : il pourrait agir.

C’est un basculement important.

Quand une IA bancaire commence à comprendre une demande, orienter vers une opération et bientôt l’exécuter, elle ne fait pas seulement du service client. Elle entre dans la relation bancaire.

Et ce n’est pas un test isolé.

BNP Paribas travaille avec Mistral depuis 2023 et a prolongé son partenariat en mai 2026. Le groupe explique vouloir accélérer le déploiement de l’IA générative dans plusieurs métiers : assistants, conformité, recherche documentaire, fonctions internes, banque d’investissement et cybersécurité.

Reuters rapporte que BNP Paribas utilise Mistral dans plusieurs domaines, dont des assistants virtuels pour les clients en France et en Belgique, la conformité chez BNP Fortis, l’extraction documentaire et des outils pour la banque d’investissement.

Donc oui : Mistral est bien dans la banque.

Pas forcément sous forme visible.

Pas forcément avec un logo affiché.

Pas forcément avec un message clair disant “ce modèle est Mistral”.

Mais dans les systèmes, les assistants et les usages, il est déjà là.

Ce que ça change pour l’utilisateur

Le sujet n’est pas seulement technique.

Quand vous parlez à votre banque, vous pensez parler à une interface bancaire, à un conseiller ou à un service automatisé.

Mais derrière cette interface, il peut y avoir un modèle d’IA.

Ce modèle peut être français, américain, européen, hébergé localement, utilisé via un cloud, connecté à des outils internes, limité à certaines tâches, ou capable d’agir sur des opérations.

L’utilisateur ne voit presque jamais toute cette chaîne.

Il voit un bouton, une réponse, une recommandation.

Le reste est invisible.

Et c’est précisément le problème : l’IA entre dans les services de confiance avant que l’utilisateur ait vraiment appris à la reconnaître.

Pourquoi la banque adopte Mistral

La banque est un terrain presque idéal pour l’IA générative.

Un grand groupe bancaire traite en permanence :

• des documents ;
• des contrats ;
• des emails clients ;
• des demandes répétitives ;
• des alertes de conformité ;
• des procédures internes ;
• des reportings ;
• des résumés de dossiers ;
• des analyses de risques ;
• des informations de marché ;
• des incidents de cybersécurité.

Une IA bien intégrée peut aider à lire, classer, résumer, rechercher, extraire, assister et accélérer.

Mais la banque est aussi un secteur réglementé. Elle ne peut pas brancher n’importe quel outil sur n’importe quelle donnée. Elle a besoin de contrôle, de sécurité, de traçabilité, de conformité et de déploiements maîtrisés.

C’est exactement le créneau de Mistral : vendre une IA plus contrôlable, plus européenne, plus acceptable pour les secteurs sensibles.

Pas forcément plus connue du public.

Mais plus vendable aux grandes institutions.

“Dans l’État” : vrai aussi

Mistral ne s’installe pas seulement dans les banques.

Le 17 novembre 2025, la DINUM a annoncé une expérimentation de Mistral AI dans l’Assistant IA interministériel.

L’expérimentation concerne 10 000 agents publics, répartis dans 8 ministères, pendant 8 mois.

L’objectif est de tester une version enrichie d’un assistant conversationnel souverain : rédaction d’emails, résumé de documents, traduction, aide aux tâches répétitives.

Le détail important est l’hébergement : l’Assistant IA s’appuie sur le modèle Mistral Medium 3, hébergé en France chez Outscale, sous supervision publique. La DINUM met en avant un cadre fermé, sécurisé, avec des référents IA dans les administrations participantes.

Ici, l’argument souveraineté est plus solide.

On ne parle pas seulement d’un modèle français. On parle d’un cadre de déploiement : données en France, infrastructure contrôlée, supervision publique, périmètre fermé.

C’est exactement ce qui manque souvent dans les débats : la nationalité du modèle compte, mais l’architecture de déploiement compte autant.

“Dans la Caisse des Dépôts” : vrai aussi

Le 4 mai 2026, la Caisse des Dépôts a annoncé une collaboration avec Mistral AI.

L’objectif : mutualiser des solutions d’IA générative au sein du groupe, soutenir le numérique souverain, acquérir des licences d’IA générative et mettre en place une “IA Factory”.

Le partenariat concerne de nombreuses filiales : Bpifrance, CNP Assurances, La Banque Postale, Docaposte, CDC Habitat, Icade, Geopost et plusieurs autres structures.

Claude évoquait 40 000 licences et 19 filiales. Ce point doit rester rattaché à la source Caisse des Dépôts si tu le conserves dans l’article final. Ce qui est sûr, c’est que le groupe assume publiquement une stratégie d’industrialisation interne de l’IA générative avec Mistral.

Là encore, on voit le même mouvement : Mistral ne cherche pas seulement à convaincre des utilisateurs individuels. Il entre par les institutions, les groupes publics, les grands réseaux, les structures qui irriguent l’économie française.

C’est moins visible qu’une application grand public.

Mais potentiellement beaucoup plus profond.

“Dans l’armée” : vrai aussi

Autre point important : Mistral est aussi documenté dans la défense.

Le 8 janvier 2026, le ministère des Armées a officialisé un accord-cadre avec Mistral AI.

L’accord, signé le 16 décembre 2025, porte sur l’usage des modèles, logiciels et services de la startup au sein des entités du ministère et de certains établissements publics sous sa tutelle.

Le MagIT précise que l’accord permet à l’ensemble des armées, directions et services du ministère d’utiliser les modèles de Mistral, mais aussi à des établissements comme le CEA, l’ONERA ou le SHOM.

Point central : Mistral affirme que ses solutions seront déployées au sein d’infrastructures françaises, avec contrôle des données et des technologies critiques.

Le pilotage est assuré par l’Agence ministérielle pour l’intelligence artificielle de défense, l’AMIAD.

Dans la défense, ce détail n’est pas cosmétique.

L’enjeu n’est pas seulement d’avoir une IA performante. L’enjeu est de savoir où elle tourne, qui peut y accéder, qui contrôle les données et dans quelles conditions les modèles peuvent être personnalisés.

Là aussi, Mistral devient une brique d’infrastructure.

“Dans les grandes entreprises” : largement vrai

Mistral est aussi en train de s’installer dans les grands groupes.

Sur sa page clients, Mistral met en avant des références comme ASML, CMA CGM, HSBC, BMW, Stellantis, le European Patent Office ou encore l’Austrian Academy of Sciences.

CMA CGM a signé en avril 2025 un partenariat important avec Mistral autour de l’IA appliquée à ses activités logistiques, maritimes, médias et service client. Le chiffre de 100 millions d’euros est repris dans plusieurs communications autour de ce partenariat.

TotalEnergies a également annoncé en juin 2025 un partenariat avec Mistral pour créer un laboratoire commun d’innovation IA.

Le Monde et plusieurs sources économiques ont aussi cité des contrats ou partenariats avec des groupes comme Orange, BNP Paribas, Cisco, Stellantis ou Veolia.

Donc le mouvement est clair : Mistral n’a pas besoin d’être sur tous les téléphones pour être partout.

Il suffit qu’il soit dans les systèmes des entreprises qui structurent notre quotidien.

Transport, banque, énergie, industrie, administration, défense.

C’est moins visible qu’un chatbot viral.

Mais potentiellement plus important.

L’exemple Doctolib : le raccourci est trop simple

C’est le point le plus sensible.

La vidéo dit : “Mistral est dans votre Doctolib.”

Cette phrase est percutante. Mais elle demande d’être précise.

Microsoft a bien publié une étude de cas expliquant que Doctolib utilise les technologies Microsoft pour développer un assistant médical alimenté par l’IA, intégrant Azure OpenAI Service et Mistral Large sur Azure.

L’étude indique que les consultations peuvent être résumées en 15 secondes. Elle explique aussi que l’assistant repose notamment sur GPT-4o via Azure OpenAI Service et que Doctolib a travaillé avec une chaîne de modèles allant d’Azure OpenAI Service à Mistral Large sur Azure.

Donc oui, Mistral apparaît dans l’historique technique public de l’assistant Doctolib.

Mais ce n’est pas toute l’histoire.

La polémique récente de juin 2026, déclenchée par Le Canard enchaîné puis examinée par Next, Clubic et d’autres, porte surtout sur les sous-traitants américains listés dans les documents Doctolib : Microsoft Azure, Anthropic et Google Irlande.

Next indique que Microsoft, Google et Anthropic apparaissent dans les documents contractuels Doctolib comme sous-traitants ultérieurs, notamment pour la fourniture de modèles LLM et des tâches d’automatisation.

Doctolib répond que ces entreprises interviennent comme prestataires techniques, sur instructions, sans droit de conserver ou d’exploiter les données pour leur propre compte ni d’entraîner leurs modèles.

Clubic formule le problème de façon utile : utiliser une IA pour traiter une demande n’est pas la même chose que l’entraîner avec les données. Mais les contrats ne sont pas publics, donc l’utilisateur doit faire confiance à Doctolib et à ses prestataires.

Le raccourci “Mistral est dans votre Doctolib” est donc à la fois partiellement vrai et trompeur.

Partiellement vrai, parce que Mistral Large sur Azure apparaît bien dans l’étude de cas Microsoft.

Trompeur, parce que la polémique actuelle sur les données de santé concerne surtout des géants américains de l’IA et du cloud, ainsi que la lisibilité des documents Doctolib.

Et surtout : si Mistral est utilisé via Azure, ce n’est pas exactement l’image rassurante d’une IA française entièrement souveraine et isolée des infrastructures américaines.

Doctolib : le vrai problème n’a pas besoin d’un slogan

Même sans réduire le sujet à Mistral, le dossier Doctolib reste majeur.

Un assistant de consultation IA peut être utile. Il peut faire gagner du temps aux médecins, réduire la charge administrative, structurer les comptes rendus, éviter de passer la consultation les yeux dans un clavier.

Microsoft indique que l’assistant Doctolib transcrit la consultation en temps réel et produit une synthèse structurée en 15 secondes. L’étude de cas affirme aussi que l’audio et la transcription sont détruits peu après la vérification de la synthèse médicale par le médecin.

Sur le papier, le bénéfice est clair : moins de paperasse, plus de temps pour le patient.

Mais les questions restent lourdes :

• le patient comprend-il vraiment qu’une IA intervient ?
• sait-il quel modèle traite l’information ?
• sait-il si l’IA passe par Microsoft, Google, Anthropic, Mistral ou un autre prestataire ?
• sait-il où les données transitent ?
• sait-il si les données sont utilisées pour améliorer un modèle ?
• sait-il qui peut techniquement y accéder ?
• sait-il combien de temps les logs existent ?
• sait-il comment refuser ?
• sait-il qui est responsable si la synthèse oublie ou reformule mal une information ?

C’est ça, le vrai sujet.

Pas seulement “Mistral ou pas Mistral”.

Le vrai sujet est : qui écoute la consultation ?

Ce que Doctolib répond

Doctolib rejette l’idée selon laquelle les données de santé de ses utilisateurs seraient livrées aux géants de l’IA pour entraîner leurs modèles.

Selon Next, Doctolib affirme que Microsoft, Google et Anthropic interviennent comme prestataires techniques, uniquement sur ses instructions, dans un cadre contractuel strict, sans droit de conserver ni exploiter les données pour leur propre compte, et surtout sans droit de les utiliser pour entraîner leurs propres modèles.

Doctolib affirme aussi que les données médicales sont hébergées exclusivement en France et en Allemagne, chiffrées au repos et en transit, avec des clés stockées chez Eviden, groupe Atos.

C’est une défense importante. Il faut la citer.

Mais il faut aussi rappeler la limite : les contrats ne sont pas publics. L’utilisateur, lui, ne peut pas vérifier.

Et dans la santé, la confiance ne devrait pas reposer uniquement sur une promesse contractuelle invisible.

Pseudonymisé ne veut pas dire anonyme

Dans ce type de débat, un mot revient souvent : anonymisation.

Il faut être précis.

Une donnée anonymisée ne permet plus d’identifier une personne. Une donnée pseudonymisée masque certains identifiants, mais peut parfois être rattachée à une personne si l’on croise suffisamment d’informations.

Dans le domaine de la santé, le risque est plus élevé.

Un âge, une pathologie rare, une ville, une spécialité médicale, une date de consultation, un traitement ou un historique peuvent parfois suffire à réidentifier quelqu’un dans certaines conditions.

Donc quand une plateforme parle de données anonymisées, pseudonymisées, chiffrées ou traitées par des prestataires, il faut demander exactement ce que cela veut dire.

Qui peut lire ?

Quand ?

Pendant combien de temps ?

Dans quel pays ?

Avec quelle finalité ?

Et sous quel contrôle ?

“Sans vous le dire” : c’est le cœur du problème

La phrase virale tient surtout ici : “sans vous le dire”.

Aujourd’hui, l’utilisateur final sait rarement quelle IA travaille derrière un service.

Dans une banque, vous voyez un assistant, une réponse automatisée, un résumé, un outil interne qui aide un conseiller. Vous ne voyez pas forcément le modèle.

Dans un service public, vous voyez une interface, un formulaire, une réponse administrative. Vous ne savez pas toujours si Mistral, OpenAI, Google, Anthropic ou un autre modèle a aidé à produire ou traiter l’information.

Dans la santé, le sujet devient encore plus sensible, car le patient ne confie pas seulement une demande. Il confie des symptômes, des antécédents, des documents, des inquiétudes, parfois des données très intimes.

Le problème n’est pas forcément que l’IA soit utilisée.

Le problème est que l’IA devient invisible.

Et quand l’IA devient invisible, le consentement devient fragile.

Banque, santé, services publics : l’IA s’installe dans les services essentiels, souvent sans que l’utilisateur sache clairement quel modèle traite ses données.

L’AI Act va changer une partie du jeu

Le règlement européen sur l’IA impose progressivement des obligations de transparence.

L’article 50 prévoit notamment que les utilisateurs doivent être informés lorsqu’ils interagissent avec un système d’IA, sauf exceptions. Il prévoit aussi des règles de marquage pour certains contenus générés ou manipulés par IA.

La date à retenir est le 2 août 2026 : c’est le moment où les obligations de transparence de l’article 50 commencent à devenir un sujet concret pour les fournisseurs et déployeurs concernés.

Mais il faut rester lucide.

Savoir que l’on parle à une IA n’est pas la même chose que savoir :

• quel modèle est utilisé ;
• quel pays contrôle l’entreprise ;
• où les données sont traitées ;
• si les données servent à l’entraînement ;
• si un prestataire étranger intervient ;
• si la réponse est vérifiée par un humain ;
• combien de temps les données restent accessibles ;
• si l’on peut refuser sans perdre le service.

La transparence réglementaire arrive.

Mais elle ne suffira pas forcément à rendre compréhensible ce qui se passe réellement.

La souveraineté IA : utile, mais souvent survendue

Mistral est devenu le symbole de la souveraineté IA européenne.

C’est compréhensible.

L’entreprise est française. Elle développe ses propres modèles. Elle propose des modèles ouverts et propriétaires. Elle peut être déployée sur des infrastructures contrôlées. Elle travaille avec des secteurs sensibles comme la banque, l’administration et la défense.

C’est mieux, du point de vue souveraineté, que de dépendre totalement d’un modèle américain opéré depuis une infrastructure étrangère.

Mais il faut éviter le slogan.

Mistral dépend encore de puces Nvidia.

Mistral a ASML comme premier actionnaire, donc un acteur européen puissant, mais non français.

Mistral peut être utilisé via des environnements cloud comme Azure selon les cas.

Et surtout : “souverain” ne veut pas dire “automatiquement transparent”.

Une IA française peut être utilisée de façon opaque.

Une IA européenne peut traiter des données sensibles sans que l’utilisateur comprenne ce qu’elle fait.

Une IA française utilisée via une infrastructure américaine n’a pas le même sens qu’une IA française hébergée en France, sous supervision publique, avec des données contrôlées.

La souveraineté réduit certains risques.

Elle n’efface pas le besoin d’information claire.

Le piège du débat : français contre américain

On pourrait résumer trop vite :

Mistral = bien.

OpenAI, Google, Anthropic = danger.

Ce serait trop simple.

Le vrai critère n’est pas seulement la nationalité du modèle.

Il faut regarder :

• la donnée traitée ;
• le niveau de sensibilité ;
• l’hébergement ;
• les prestataires ;
• le chiffrement ;
• le droit applicable ;
• l’accès humain aux données ;
• l’entraînement des modèles ;
• les logs ;
• l’information donnée à l’utilisateur ;
• la possibilité de refuser ;
• la présence ou non d’un humain responsable.

Une IA américaine dans un usage anodin peut être moins problématique qu’une IA française mal expliquée dans un usage sensible.

Et inversement, une IA française déployée sur infrastructure maîtrisée peut être un meilleur choix dans la banque, la défense ou l’administration.

La vraie question est moins “de quel pays vient l’IA ?” que “qui contrôle l’usage ?”

Ce que la vidéo a raison de pointer

Même si elle simplifie l’exemple Doctolib, la vidéo met le doigt sur une vérité importante : les IA entrent dans nos services sans que l’utilisateur final voie le basculement.

Ce n’est pas spectaculaire.

Il n’y a pas toujours de grande annonce.

Pas toujours de pop-up.

Pas toujours de nom de modèle affiché.

Pas toujours de consentement clair.

L’IA arrive par petites touches : un assistant bancaire, une synthèse médicale, un outil de conformité, un moteur de recherche interne, une réponse automatisée, une aide à la décision, un résumé de dossier.

Et un jour, elle est partout.

Pas parce que vous avez choisi “Mistral”.

Mais parce que les organisations qui vous entourent l’ont choisi pour vous.

Ce que la vidéo rate

La vidéo rate un point important : il ne faut pas confondre présence technique, souveraineté réelle et responsabilité des données.

Si Mistral est dans la banque, on peut le documenter.

Si Mistral est dans l’administration, on peut le documenter.

Si Mistral est dans la défense, on peut le documenter.

Si Mistral apparaît dans l’architecture technique Doctolib via Azure, on peut aussi le dire.

Mais cela ne prouve pas que Doctolib serait un exemple simple de “Mistral souverain dans la santé”.

Au contraire, le cas Doctolib montre une chaîne plus floue : Azure OpenAI, Mistral Large sur Azure, Google, Anthropic, Microsoft, sous-traitants, contrats non publics, hébergement européen, chiffrement, clés Eviden, données en transit, consentement, entraînement éventuel des modèles internes.

Le danger n’est pas un seul nom.

Le danger est la complexité invisible.

La lecture du Recul

Mistral est en train de réussir là où beaucoup regardent trop peu : l’infrastructure invisible.

Pendant que le public compare ChatGPT, Claude, Gemini et Le Chat, les vraies batailles se déroulent dans les contrats avec les banques, les ministères, les industriels, les assureurs, les transporteurs, les énergéticiens et les services publics.

C’est moins spectaculaire qu’un chatbot viral.

Mais c’est peut-être plus important.

Une IA dans une application bancaire peut influencer la relation client.

Une IA dans un ministère peut structurer du travail administratif.

Une IA dans l’armée peut toucher à des données critiques.

Une IA dans la santé peut écouter ou résumer une consultation.

À chaque fois, la question n’est pas seulement “est-ce pratique ?”

La question est : qui contrôle l’IA, qui contrôle la donnée, et qui informe l’utilisateur ?

Ce qu’il faut retenir

Mistral est bien documenté dans la banque, notamment chez Hello bank! et BNP Paribas.

Mistral est aussi documenté dans l’État, avec une expérimentation interministérielle annoncée le 17 novembre 2025 auprès de 10 000 agents publics dans 8 ministères.

Mistral est documenté dans la défense française, via un accord-cadre signé le 16 décembre 2025 et officialisé en janvier 2026, avec déploiement prévu sur infrastructures françaises.

Mistral est présent dans de grands groupes ou institutions, notamment ASML, CMA CGM, HSBC, Stellantis, TotalEnergies, la Caisse des Dépôts et d’autres acteurs.

Sur Doctolib, l’affirmation doit être nuancée : Microsoft indique bien que l’assistant de consultation utilise Azure OpenAI Service et Mistral Large sur Azure, mais la polémique récente porte surtout sur les prestataires américains Google, Microsoft et Anthropic, ainsi que sur la clarté des documents contractuels.

Le vrai enjeu n’est pas “Mistral nous espionne”.

Le vrai enjeu est plus large : l’IA devient invisible dans nos services essentiels.

Et quand une technologie devient invisible, l’utilisateur perd la chose la plus simple : savoir à qui il parle, et ce qu’il confie.

Le chiffre à retenir

11,7 milliards d’euros : la valorisation atteinte par Mistral AI après sa levée de fonds menée par ASML.

Ce chiffre dit quelque chose de simple : Mistral n’est plus seulement une startup française prometteuse.

C’est une pièce stratégique de l’IA européenne.

Mais le chiffre ne règle pas la vraie question.

La prochaine bataille ne sera pas seulement celle du meilleur modèle.

Ce sera celle de la transparence : quelle IA utilisez-vous déjà sans le savoir ?