Where do my RFP files go once uploaded?

Storage and pseudonymisation run on French sovereign infrastructure, eligible for ANSSI SecNumCloud qualification. The inference step, the call to the language model, may involve a provider established outside the European Union. This is precisely why we pseudonymise RFPs locally (NER spaCy) before any call to the LLM: over 90% of names, company names and personal data are detected and substituted.

If a competitor also uses DécodAO, is my data isolated?

Yes. Strict database-level data partitioning. No cross-client exploitation. Even the cross-client benchmark only uses irreversibly anonymised data, that is the tenant isolation requirement.

Is DécodAO a 'high-risk' AI system under the AI Act?

No. DécodAO falls under 'limited risk': it produces no automated decision or executable operational recommendation. It interprets an alignment score and traces its sources, the final decision belongs to the expert. This classification is documented in our terms and DPIA.

What if the agent misses an important clause?

DécodAO is designed to prepare, not to decide. Every argument is traced back to its source, you can verify and supplement. The 6 anti-hallucination barriers reduce the risk, but human validation remains the final step. Permanent disclaimer: verify key points in the original RFP.

How long does onboarding take?

Initial setup takes under an hour: configuring your company profile, CPV sectors, geographies, thresholds, connecting to the BOAMP feed and running a first decoding. A qualified 7-day trial is available on request (form + manual validation, no automatic conversion).

How long are my RFPs retained?

By default: raw RFPs purged within 90 days, reports retained per your plan, anonymised calibration data beyond that. A DPIA is kept available for the CNIL, and the CNIL breach notification procedure is documented to run within 72h.

Can I export my data if I switch tools?

Yes. All reports are exportable as PDF, JSON and CSV. No proprietary lock-in, your analyses remain yours.

Does DécodAO write the technical proposal?

No, and this is a deliberate choice. DécodAO follows the mantra 'the agent prepares, the expert decides', it decodes, scores and traces, but does not write on your behalf.

Is the subscription commitment-free?

Monthly plans have no annual commitment. The annual plan offers a net saving (see pricing). You can change plan or cancel at the end of your current billing period.

Decodao 12 min · April 20, 2026

IA et marchés publics : ce que l'AI Act change pour les solutions d'analyse de DCE

Le règlement européen 2024/1689 redéfinit le cadre des IA appliquées à la commande publique. Analyse pour les directions achats et les équipes commande publique.

By DécodAO

IA et marchés publics : ce que l'AI Act change pour les solutions d'analyse de DCE

Sommaire

L'AI Act en bref pour la commande publique
Comment se classe l'analyse de DCE dans la grille de risque
Les obligations de transparence applicables
La position française : CNIL, ANSSI, ARCOM, DGCCRF
Souveraineté et infrastructure cloud
Implications concrètes pour les directions achats
En résumé
FAQ

L'AI Act marchés publics est devenu une question concrète pour toute direction achats qui utilise — ou envisage d'utiliser — une solution d'IA pour analyser des dossiers de consultation. Le règlement (UE) 2024/1689 du 13 juin 2024, entré en vigueur le 1er août 2024 et en application progressive jusqu'au 2 août 2026, structure les obligations selon une logique de risque. Toutes les IA ne sont pas logées à la même enseigne, et l'enjeu pour un acheteur public — comme pour une entreprise répondant à des marchés publics — est de savoir où se situe précisément la solution qu'il utilise. Cet article cartographie ce que l'AI Act change pour les solutions d'analyse de DCE, comment elles se classent, et quelles obligations en découlent pour les fournisseurs comme pour les déployeurs.

En bref — Le règlement européen 2024/1689, dit AI Act, classe les systèmes d'IA en quatre niveaux de risque : inacceptable, élevé, limité, minimal. Les solutions d'analyse de DCE relèvent du risque limité : pas de décision automatisée, l'humain tranche. Les obligations principales portent sur la transparence (article 50) : informer l'utilisateur qu'il interagit avec une IA, marquer les contenus générés. Le calendrier d'application complète arrive au 2 août 2026.

L'AI Act en bref pour la commande publique

Le règlement (UE) 2024/1689, premier cadre juridique horizontal de l'IA dans le monde, repose sur une logique simple : la régulation est proportionnée au risque que le système d'IA fait peser sur les droits fondamentaux. Quatre niveaux structurent l'édifice. Le risque inacceptable est interdit (notation sociale généralisée, manipulation comportementale subliminale, identification biométrique à distance en temps réel dans l'espace public, sauf exceptions). Le risque élevé est autorisé mais soumis à des obligations strictes (analyse d'impact, documentation, supervision humaine, gestion des risques). Le risque limité est soumis à des obligations de transparence. Le risque minimal n'est pas réglementé spécifiquement par le règlement.

L'entrée en vigueur s'est faite le 1er août 2024. L'application complète arrive le 2 août 2026, avec des paliers intermédiaires : interdictions au 2 février 2025, dispositions sur les modèles d'IA à usage général au 2 août 2025, obligations sur les systèmes à haut risque au 2 août 2026. Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour les manquements les plus graves, et 15 millions d'euros ou 3 % du chiffre d'affaires pour les manquements aux obligations de transparence de l'article 50.

Pour la commande publique, l'AI Act marchés publics est doublement structurant. D'un côté, les acheteurs publics qui utilisent des solutions d'IA pour leur propre travail (rédaction de DCE, analyse des offres) doivent vérifier la classe de risque de ces solutions. De l'autre, les entreprises qui répondent à des marchés publics avec l'appui d'une IA — analyse de DCE, aide à la rédaction du mémoire technique — doivent connaître le régime applicable à leurs outils.

Comment se classe l'analyse de DCE dans la grille de risque

Une solution d'analyse de DCE — qui décode un dossier de consultation, en extrait les éléments structurants, restitue une cartographie des risques contractuels et un score d'alignement — relève du risque limité. Trois éléments fondent cette classification.

D'abord, la solution n'opère pas de décision automatisée au sens du règlement. Elle prépare, elle ne décide pas. La décision Go ou No-Go, la stratégie de réponse, le contenu du mémoire technique, la signature de l'offre — tout cela reste exclusivement humain. L'agent extrait, structure, signale ; l'expert décide. Cette frontière est non seulement éthique, elle est juridiquement décisive pour la classification AI Act.

Ai Act Ia Marches Publics Analyse Dce - illustration 1

Ensuite, la solution ne porte pas sur des décisions affectant directement les droits fondamentaux au sens de l'annexe III du règlement. Les huit catégories à haut risque listées en annexe III concernent l'identification biométrique, les infrastructures critiques, l'éducation, l'emploi, l'accès aux services essentiels, la justice, l'application de la loi et la migration. Une solution d'aide à la décision pour des entreprises candidates à des marchés publics n'y figure pas.

Enfin, la solution interagit avec des professionnels avertis dans un cadre commercial. Les utilisateurs (équipes commande publique, directions achats) sont des experts du domaine, capables de vérifier les sorties et d'arbitrer.

Cette classification en risque limité a une conséquence simple : les obligations principales portent sur la transparence et l'information de l'utilisateur, pas sur l'analyse d'impact, la certification ex ante ou la supervision réglementaire continue qui s'imposent aux IA à haut risque.

Les obligations de transparence applicables

L'article 50 du règlement (UE) 2024/1689 fixe quatre obligations de transparence. Trois s'appliquent peu ou pas à une solution d'analyse de DCE : reconnaissance émotionnelle, deepfakes, marquage des contenus synthétiques. La quatrième est pleinement applicable : l'obligation d'informer l'utilisateur qu'il interagit avec un système d'IA.

Concrètement, une solution d'analyse de DCE doit indiquer clairement, dans son interface, qu'elle est un système d'intelligence artificielle. L'utilisateur ne doit jamais ignorer qu'il reçoit une analyse produite par une IA, et non par un humain. Cette information doit être donnée en temps utile et de manière compréhensible.

À cela s'ajoutent les obligations issues du RGPD lorsque le traitement implique des données personnelles. Les DCE contiennent parfois des données nominatives (noms d'agents de l'acheteur, contacts, signataires). Le règlement général sur la protection des données impose une base légale, une finalité explicite, une minimisation des données, des durées de conservation définies, et le respect des droits des personnes concernées. La CNIL a publié en 2024-2025 un corpus de 13 fiches pratiques sur le développement et le déploiement des systèmes d'IA conformes au RGPD, qui constitue la référence française la plus complète à ce jour.

L'application complète de l'article 50 est fixée au 2 août 2026. Les solutions déployées avant cette date doivent se mettre en conformité d'ici là. Le non-respect des obligations de transparence peut entraîner une amende allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.

La position française : CNIL, ANSSI, ARCOM, DGCCRF

Plusieurs autorités françaises ont vocation à intervenir sur les systèmes d'IA appliqués à la commande publique. La CNIL est en première ligne sur le volet données personnelles : ses recommandations 2024-2025 cadrent la base légale, la minimisation, l'information des personnes, et la sécurisation des traitements. Elle est en outre pressentie comme autorité de surveillance du marché au titre de l'AI Act sur certains périmètres, en lien avec la désignation finale par le gouvernement français.

L'ANSSI porte la dimension sécurité et souveraineté. Le référentiel SecNumCloud 3.2 est la qualification de référence pour les services cloud souverains français. La qualification, accordée pour trois ans après audit par un organisme PASSI agréé, couvre la gestion des accès, le chiffrement, la résilience et la réponse aux incidents. Neuf prestataires sont qualifiés au moment de la rédaction de cet article, et une douzaine sont en cours de qualification. En mars 2026, l'ANSSI et le BSI allemand ont publié une déclaration conjointe définissant des critères de souveraineté cloud harmonisés franco-allemands : localisation stricte des données, application exclusive du droit européen, absence d'accès par des tiers extra-européens.

L'ARCOM intervient principalement sur les contenus synthétiques et les deepfakes, peu concernés par l'analyse de DCE. La DGCCRF porte la protection du consommateur et la loyauté des pratiques commerciales, qui peuvent s'appliquer en cas de communication trompeuse sur les capacités d'une solution d'IA. Pour les directions achats, le triplet pertinent reste CNIL pour les données, ANSSI pour la souveraineté et la sécurité, et la conformité AI Act pour la transparence.

Autorité	Périmètre principal	Référentiel ou texte clé
CNIL	Données personnelles, IA et RGPD	Corpus de 13 fiches pratiques IA 2024-2025
ANSSI	Sécurité, souveraineté cloud	SecNumCloud 3.2
ARCOM	Contenus synthétiques, deepfakes	Loi SREN, AI Act article 50
Commission européenne	Mise en œuvre AI Act	Règlement (UE) 2024/1689

Souveraineté et infrastructure cloud

La souveraineté technique est un critère structurant pour les acheteurs publics et pour les entreprises qui répondent à des marchés publics dans des secteurs sensibles. Une IA souveraine, au sens des doctrines françaises et européennes émergentes, repose sur trois piliers : la localisation des données et des traitements sur le territoire européen, l'application exclusive du droit européen sans extraterritorialité tierce, et l'absence de dépendance technique critique à des acteurs hors UE.

Pour une solution d'analyse de DCE, cela implique en pratique plusieurs choix d'architecture. L'hébergement sur une infrastructure cloud qualifiée SecNumCloud (ou à défaut sur un cloud souverain européen équivalent). La pseudonymisation locale des données sensibles avant tout appel à un modèle de langage : noms d'agents, contacts, signatures, données nominatives détectées dans le DCE. L'isolation stricte par client (tenant), de sorte qu'aucun croisement de données n'est techniquement possible entre clients différents. La traçabilité complète des traitements, conservée pour la durée définie par la politique de conservation.

C'est précisément le cadre dans lequel s'inscrit DécodAO : classification en risque limité au sens de l'AI Act, pseudonymisation locale des données nominatives avant traitement par le modèle de langage, hébergement souverain et architecture isolée par client. L'agent prépare, l'expert décide — ce mantra n'est pas qu'un slogan, c'est une conséquence directe du choix de classification AI Act. Pour les entreprises qui répondent à des marchés publics dans la défense, la santé, l'énergie ou les administrations sensibles, ces choix d'architecture sont décisifs.

Implications concrètes pour les directions achats

Pour une direction achats grand compte, l'AI Act marchés publics se traduit par plusieurs actions concrètes. Cartographier les solutions d'IA utilisées par les équipes commande publique : qu'il s'agisse d'outils d'analyse de DCE, d'aide à la rédaction du mémoire technique, ou de veille sur le BOAMP. Identifier la classe de risque de chaque solution selon le règlement (UE) 2024/1689. Vérifier la conformité RGPD des traitements : base légale, durée de conservation, information des personnes concernées, registre des traitements. Documenter l'usage dans une politique interne : qui utilise quoi, pour quelle finalité, avec quelles données.

Pour les marchés où les données traitées sont sensibles (défense, santé, recherche, données économiques stratégiques), la souveraineté de l'hébergement et la qualification SecNumCloud deviennent des critères de sélection. Les entreprises candidates qui démontrent leur conformité AI Act, RGPD et SecNumCloud à travers leurs sous-traitants techniques gagnent en lisibilité. Pour aller plus loin sur le cadre légal global, voir notre analyse de la réforme 2026 du Code de la commande publique.

En résumé

Ai Act Ia Marches Publics Analyse Dce - illustration 2

Le règlement (UE) 2024/1689 (AI Act) classe les IA en quatre niveaux de risque ; application complète au 2 août 2026.
Les solutions d'analyse de DCE relèvent du risque limité : pas de décision automatisée, l'humain tranche.
L'obligation principale est la transparence (article 50) : informer l'utilisateur qu'il interagit avec une IA.
La position française est portée par la CNIL (RGPD), l'ANSSI (SecNumCloud), l'ARCOM et la DGCCRF.
La souveraineté repose sur l'hébergement européen, la pseudonymisation locale, l'isolation par client et la traçabilité.

Voir l'architecture souveraine de DécodAO — pseudonymisation locale, hébergement SecNumCloud, risque limité AI Act.

FAQ

L'AI Act s'applique-t-il aux entreprises qui répondent à des marchés publics ?

Indirectement. Le règlement (UE) 2024/1689 s'applique aux fournisseurs et déployeurs de systèmes d'IA. Une entreprise qui répond à un marché public n'est pas elle-même soumise à l'AI Act du fait de cette activité. En revanche, si elle utilise une solution d'IA pour analyser des DCE ou produire des contenus, elle devient déployeur au sens du règlement, avec les obligations de transparence et de bonne foi qui s'attachent à ce statut.

Une analyse de DCE par IA est-elle à haut risque ?

Non, sauf cas particulier. L'analyse de DCE relève du risque limité : la solution prépare, l'humain décide. Les huit catégories à haut risque listées en annexe III du règlement ne couvrent pas cet usage. La classification peut évoluer si la solution prétend automatiser la décision Go ou No-Go sans intervention humaine — ce qui n'est ni la posture de DécodAO, ni la conformité éthique défendue par les acteurs sérieux du secteur.

Quelles sanctions en cas de non-respect de l'AI Act ?

Le non-respect des interdictions du règlement peut entraîner une amende allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Pour les manquements aux obligations applicables aux systèmes d'IA, le plafond est de 15 millions d'euros ou 3 % du chiffre d'affaires mondial. Pour les manquements à l'article 50 (transparence), la sanction maximale est également de 15 millions d'euros ou 3 %.

La CNIL est-elle l'autorité de contrôle de l'AI Act en France ?

Pas exclusivement. La CNIL est pressentie pour intervenir sur certains périmètres, notamment ceux qui croisent données personnelles et IA. La désignation finale des autorités de surveillance du marché au titre du règlement (UE) 2024/1689 relève d'une coordination interministérielle française en cours de finalisation. Plusieurs autorités sectorielles (ANSSI, ARCOM, DGCCRF) interviendront chacune sur son périmètre.

SecNumCloud est-il obligatoire pour les solutions d'IA dans les marchés publics ?

Non, ce n'est pas une obligation générale. C'est un critère de souveraineté que les acheteurs publics peuvent exiger pour des marchés sensibles, et que les fournisseurs de solutions d'IA peuvent revendiquer comme un standard de confiance. Pour les marchés portant sur des données classifiées ou sensibles, la qualification SecNumCloud devient de facto une condition pratique.

Sources

Règlement (UE) 2024/1689 du 13 juin 2024 — AI Act — Journal officiel de l'Union européenne
AI Act — Commission européenne — DG CONNECT
Recommandations CNIL sur le développement des systèmes d'IA — CNIL
Bac à sable « IA et services publics » — Recommandations CNIL — CNIL
Prestataires SecNumCloud — ANSSI — ANSSI
Le règlement européen sur l'IA — DGE — Direction générale des Entreprises

DécodAO : décoder un DCE avant de décider d'y répondre

DécodAO est un système d'IA souverain, opéré par la SARL Valuans, qui décode les dossiers de consultation des entreprises (DCE) en quelques minutes. Score d'alignement, cartographie des risques contractuels, signaux faibles, traçabilité source page-article-alinéa. L'agent prépare, l'expert décide.

Réserver une démonstration DécodAO — ou tester avec le pack 5 analyses à 149 € HT.