Where do my RFP files go once uploaded?

Storage and pseudonymisation run on French sovereign infrastructure, eligible for ANSSI SecNumCloud qualification. The inference step, the call to the language model, may involve a provider established outside the European Union. This is precisely why we pseudonymise RFPs locally (NER spaCy) before any call to the LLM: over 90% of names, company names and personal data are detected and substituted.

If a competitor also uses DécodAO, is my data isolated?

Yes. Strict database-level data partitioning. No cross-client exploitation. Even the cross-client benchmark only uses irreversibly anonymised data, that is the tenant isolation requirement.

Is DécodAO a 'high-risk' AI system under the AI Act?

No. DécodAO falls under 'limited risk': it produces no automated decision or executable operational recommendation. It interprets an alignment score and traces its sources, the final decision belongs to the expert. This classification is documented in our terms and DPIA.

What if the agent misses an important clause?

DécodAO is designed to prepare, not to decide. Every argument is traced back to its source, you can verify and supplement. The 6 anti-hallucination barriers reduce the risk, but human validation remains the final step. Permanent disclaimer: verify key points in the original RFP.

How long does onboarding take?

Initial setup takes under an hour: configuring your company profile, CPV sectors, geographies, thresholds, connecting to the BOAMP feed and running a first decoding. A qualified 7-day trial is available on request (form + manual validation, no automatic conversion).

How long are my RFPs retained?

By default: raw RFPs purged within 90 days, reports retained per your plan, anonymised calibration data beyond that. A DPIA is kept available for the CNIL, and the CNIL breach notification procedure is documented to run within 72h.

Can I export my data if I switch tools?

Yes. All reports are exportable as PDF, JSON and CSV. No proprietary lock-in, your analyses remain yours.

Does DécodAO write the technical proposal?

No, and this is a deliberate choice. DécodAO follows the mantra 'the agent prepares, the expert decides', it decodes, scores and traces, but does not write on your behalf.

Is the subscription commitment-free?

Monthly plans have no annual commitment. The annual plan offers a net saving (see pricing). You can change plan or cancel at the end of your current billing period.

Decodao 12 min · May 18, 2026

Souveraineté des données dans l'analyse de DCE : ce que SecNumCloud et le RGPD imposent vraiment

Hébergement France, transferts hors UE interdits, pseudonymisation avant tout passage en LLM : les exigences réelles d'une analyse de DCE conforme.

By DécodAO

Souveraineté des données dans l'analyse de DCE : ce que SecNumCloud et le RGPD imposent vraiment

Sommaire

Pourquoi la souveraineté des données est un sujet juridique avant d'être un sujet marketing
SecNumCloud : ce que le référentiel ANSSI exige réellement
RGPD appliqué à l'analyse de DCE : les bases légales à clarifier
AI Act et solutions d'analyse de DCE : risque limité, obligations concrètes
Transferts hors UE : la zone qui peut rendre une solution incompatible
Pseudonymisation locale avant LLM : la couche qui change l'exposition
Questions à poser à un éditeur avant signature
En résumé
FAQ
Sources

Le secteur public et les directions achats des grands comptes intègrent désormais la souveraineté des données dans les critères d'achat de solutions logicielles. Un DCE n'est pas une donnée banale : il contient des éléments stratégiques sur l'acheteur, sur le candidat, et parfois sur des tiers (sous-traitants pressentis, références citées, informations financières). Une solution d'analyse de DCE qui externalise ces flux vers un cloud non souverain expose l'entreprise à un double risque, juridique et concurrentiel. Le référentiel SecNumCloud de l'ANSSI et le RGPD posent un cadre précis. Cet article fait le tri entre les exigences réelles et les arguments commerciaux flous.

En bref — Une solution d'analyse de DCE qui touche à des données stratégiques d'entreprise doit pouvoir documenter trois points : hébergement sur infrastructure qualifiée SecNumCloud ou équivalent, conformité RGPD avec base légale claire et registre des traitements, et absence de transferts non encadrés vers des juridictions soumises au Cloud Act. La pseudonymisation locale avant tout appel à un LLM est la seule couche technique qui isole vraiment les données sensibles.

Pourquoi la souveraineté des données est un sujet juridique avant d'être un sujet marketing

La souveraineté numérique se définit par la capacité d'une organisation à conserver le contrôle effectif de ses données : où elles sont hébergées, qui peut y accéder, sous quelle loi, et selon quelles modalités techniques. Le terme est souvent galvaudé. Trois questions précises permettent de le ramener au concret :

Sous quelle juridiction tombe l'opérateur du cloud qui héberge les données ?
Quelles lois extra-européennes (Cloud Act américain, lois de surveillance) peuvent obliger cet opérateur à transmettre les données sans le consentement du client européen ?
Quelles mesures techniques (chiffrement, gestion des clés, pseudonymisation) garantissent que ces obligations légales ne se traduisent pas par un accès effectif aux données ?

Selon une publication conjointe de l'ANSSI et du BSI allemand en mars 2026, la souveraineté repose sur trois piliers : juridique (siège social et capital européens), technique (clés de chiffrement détenues localement) et opérationnel (administration depuis le territoire européen).

La CNIL a rappelé que la qualification SecNumCloud est aujourd'hui le seul marqueur officiel matérialisant un cloud souverain en France. Tout autre claim, sans preuve documentaire, relève du discours commercial.

SecNumCloud : ce que le référentiel ANSSI exige réellement

SecNumCloud est un référentiel de qualification de prestataires de services cloud, élaboré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Sa version 3.2, en vigueur depuis 2022, comporte plus de 360 critères de conformité répartis en 14 thèmes : sécurité physique, sécurité logique, gestion des incidents, continuité d'activité, gouvernance, conformité juridique, et autres.

Quatre exigences structurantes :

Capital et siège social européens : l'opérateur ne doit pas être soumis à une législation extra-européenne qui imposerait l'accès aux données. Cela exclut de facto les filiales européennes d'entreprises américaines soumises au Cloud Act.
Hébergement physique en France ou dans l'Espace économique européen, avec administration depuis ce périmètre.
Chiffrement systématique des données au repos et en transit, avec clés détenues par le prestataire qualifié — et accessibles au client.
Audits annuels par un organisme tiers accrédité, avec maintien de la qualification.

La liste des prestataires qualifiés est publiée par l'ANSSI. Elle comprend en 2026 des opérateurs comme OVHcloud, Outscale (Dassault Systèmes), Bleu et S3NS (coentreprises Orange-Capgemini avec Microsoft et Google sur architecture isolée). EDF a annoncé en 2026 retenir S3NS et Bleu pour ses données critiques.

Souverainete Donnees Analyse Dce Secnumcloud - illustration 1

SecNumCloud n'est pas obligatoire pour tous les traitements. Il devient un standard de fait pour les données sensibles — définition désormais précisée par décret pour six GIP (groupements d'intérêt public) en 2026. Pour un DCE qui mêle informations stratégiques d'entreprise et données personnelles de personnes citées, c'est le niveau d'exigence qu'une direction achats responsable devrait poser.

RGPD appliqué à l'analyse de DCE : les bases légales à clarifier

Un DCE contient régulièrement des données personnelles : noms et coordonnées de contacts acheteurs, signataires, références de chantiers ou prestations passées citant des personnes physiques, parfois noms de sous-traitants pressentis. L'analyse automatisée de ces documents tombe sous le coup du règlement général sur la protection des données (RGPD).

Trois bases légales sont mobilisables selon le contexte :

Exécution d'un contrat (article 6.1.b) — quand l'analyse vise à répondre à un appel d'offres explicitement adressé au candidat.
Intérêt légitime (article 6.1.f) — quand le candidat effectue une veille amont sur des marchés publiés au BOAMP ou TED, avec un test de mise en balance documenté.
Consentement (article 6.1.a) — rare pour ce type de traitement, sauf cas particulier.

Les obligations qui en découlent :

Information des personnes dont les données sont traitées (en pratique, mention dans la politique de confidentialité du candidat et, pour les acheteurs, dans les avis de marché).
Registre des traitements tenu par le responsable de traitement.
Mesures techniques et organisationnelles proportionnées aux risques (article 32).
Sous-traitance encadrée : tout éditeur d'outil d'analyse de DCE est sous-traitant au sens RGPD. Un contrat de sous-traitance (DPA) doit être signé, conforme à l'article 28.
Durée de conservation définie et justifiée.

Une solution d'analyse de DCE qui ne fournit pas son DPA, n'indique pas ses sous-traitants ultérieurs (notamment les fournisseurs de LLM), ou ne précise pas la localisation des traitements, n'est pas mise en conformité — elle externalise simplement son risque vers le client.

AI Act et solutions d'analyse de DCE : risque limité, obligations concrètes

Le règlement européen 2024/1689, dit AI Act, est entré en application progressivement à partir d'août 2024. Une solution d'analyse de DCE relève de la catégorie « risque limité » : elle ne décide pas, elle prépare. La décision Go/No-Go, la signature de l'offre, le choix stratégique restent humains.

Les obligations pour cette catégorie sont moins lourdes que pour les systèmes à haut risque, mais elles existent :

Transparence : l'utilisateur doit savoir qu'il interagit avec un système d'IA.
Information sur les capacités et limites du système.
Documentation technique maintenue par le fournisseur.
Suivi qualité et possibilité d'audit.

Une solution qui revendiquerait une décision automatisée d'éviction ou de sélection d'un marché basculerait dans une autre catégorie, avec des obligations renforcées. La frontière éthique recouvre la frontière juridique : l'agent prépare, l'expert décide. L'analyse de DCE par IA est complémentaire à l'expertise humaine, jamais substitutive — voir notre article sur ce que l'AI Act change pour les solutions d'analyse de DCE.

Transferts hors UE : la zone qui peut rendre une solution incompatible

C'est probablement le point le plus mal traité par les éditeurs. Une solution d'analyse de DCE qui appelle un LLM hébergé aux États-Unis (OpenAI, Anthropic, Google Cloud hors offre souveraine isolée) transfère par construction tout ou partie des contenus analysés sur ce territoire.

Le Cloud Act américain, adopté en 2018, permet aux autorités américaines d'exiger d'un fournisseur cloud américain la transmission de données stockées y compris hors des États-Unis. Le Data Privacy Framework signé en 2023 entre l'UE et les États-Unis encadre certains transferts, mais sa validité juridique est contestée et plusieurs experts anticipent une nouvelle invalidation par la CJUE.

Pour un DCE, deux conséquences pratiques :

Un acheteur public exigeant peut considérer qu'un transfert hors UE non encadré viole ses propres obligations de confidentialité contractuelle.
Un candidat qui analyse les DCE de son secteur via une solution non souveraine expose son fichier de marchés cibles (lui-même information concurrentielle) à un opérateur hors juridiction européenne.

La solution n'est pas toujours de bannir les LLM américains : leur capacité analytique reste, à date, supérieure sur certains usages. La solution est de n'envoyer aux LLM que des données pseudonymisées, et de conserver le traitement des données sensibles dans un périmètre souverain.

Pseudonymisation locale avant LLM : la couche qui change l'exposition

La pseudonymisation est définie par l'article 4.5 du RGPD comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans recours à des informations supplémentaires ». Concrètement, dans le cas d'un DCE, cela signifie :

détecter les noms de personnes, emails, numéros, raisons sociales sensibles ;
les remplacer par des jetons opaques (« PERSONNE_001 », « SOCIETE_032 ») ;
envoyer au LLM uniquement la version pseudonymisée ;
récupérer la sortie analytique du LLM et ré-identifier localement les jetons pour restituer un rapport lisible à l'expert.

L'opération doit se faire dans un environnement souverain, idéalement qualifié SecNumCloud. La table de correspondance entre jetons et données réelles ne quitte jamais ce périmètre. Le LLM, même hébergé hors UE, ne voit que des données pseudonymisées non rattachables à une personne ou à une entreprise identifiée.

Cette architecture transforme l'exposition : un transfert hors UE de données pseudonymisées sort du champ des transferts de données personnelles, sous réserve que la pseudonymisation soit techniquement robuste (taux de détection élevé, jetons non réversibles sans la table).

Nous opérons DécodAO sur infrastructure qualifiée SecNumCloud, avec une couche de pseudonymisation locale qui détecte plus de 90 % des entités nominatives avant tout appel à un modèle de langage. L'isolation tenant est stricte : les données d'un client ne sont jamais utilisées pour l'inférence ou l'entraînement d'un autre. La traçabilité source page-article-alinéa permet d'auditer chaque étape. L'agent prépare, l'expert décide. Pour aller plus loin sur la méthode technique, voir notre article dédié à la pseudonymisation locale avant LLM.

Souverainete Donnees Analyse Dce Secnumcloud - illustration 2

Questions à poser à un éditeur avant signature

Quatre questions tranchent vite la conformité réelle d'une solution.

Sur quelle infrastructure les données sont-elles hébergées ? Réponse attendue : nom du prestataire cloud, localisation géographique, qualification SecNumCloud ou équivalent, références ANSSI vérifiables.

Quels LLM sont appelés, et où sont-ils hébergés ? Réponse attendue : liste des modèles, opérateurs, juridictions, et description du flux de données envoyé (intégral ou pseudonymisé).

Quel DPA est signé, et quels sous-traitants ultérieurs sont déclarés ? Réponse attendue : contrat de sous-traitance article 28 RGPD, liste exhaustive des sous-traitants, procédure de notification des changements.

Quelles sont les durées de conservation et procédures de suppression ? Réponse attendue : durées précises par type de donnée, procédure d'effacement vérifiable, certificat de destruction si demandé.

Une solution qui ne répond pas précisément à ces quatre questions ne devrait pas franchir une procédure d'achat sérieuse. C'est aussi l'un des points clés d'une évaluation rigoureuse d'un outil d'analyse de DCE.

En résumé

SecNumCloud est le seul marqueur officiel reconnu par la CNIL pour qualifier un cloud souverain en France.
Le RGPD s'applique à toute analyse de DCE contenant des données personnelles : base légale, DPA, registre, durées de conservation.
L'AI Act classe l'analyse de DCE en risque limité tant qu'aucune décision n'est automatisée.
Les transferts hors UE non encadrés exposent à des conflits avec le Cloud Act américain.
La pseudonymisation locale avant LLM isole les données sensibles et change l'exposition juridique.
Quatre questions précises tranchent la conformité réelle d'un éditeur.

Réserver une démonstration DécodAO pour décoder vos DCE sur infrastructure souveraine SecNumCloud — ou tester avec le pack 5 analyses à 149 € HT.

FAQ

Une solution non qualifiée SecNumCloud peut-elle être RGPD-conforme ? Oui. SecNumCloud et RGPD sont deux référentiels distincts. Une solution peut être RGPD-conforme sans être SecNumCloud, mais elle ne pourra pas être qualifiée de « souveraine » au sens où la CNIL et l'ANSSI l'entendent. Pour des données stratégiques d'entreprise, SecNumCloud apporte une garantie supplémentaire.

Le Data Privacy Framework UE-USA autorise-t-il les transferts vers les LLM américains ? Le Data Privacy Framework de 2023 encadre certains transferts, mais sa validité juridique est contestée. Plusieurs experts anticipent une invalidation, comme pour ses deux prédécesseurs. Pour des données stratégiques de DCE, mieux vaut ne pas dépendre exclusivement de ce cadre.

La pseudonymisation suffit-elle pour traiter un DCE confidentiel ? La pseudonymisation traite la dimension « données personnelles » du RGPD. Elle ne traite pas la confidentialité commerciale stricte (informations stratégiques d'entreprise non rattachables à une personne). Pour ces données, l'hébergement souverain reste indispensable.

Combien coûte la qualification SecNumCloud pour un éditeur ? La qualification est un processus long et coûteux (12 à 24 mois, plusieurs centaines de milliers d'euros selon le périmètre). C'est l'une des raisons pour lesquelles peu d'éditeurs SaaS européens sont qualifiés. Travailler avec un éditeur opérant sur infrastructure qualifiée (sans l'être lui-même) est une voie intermédiaire admise.

Le Health Data Hub a-t-il vraiment basculé sur SecNumCloud ? Une procédure a été lancée en février 2026 pour sélectionner un nouvel hébergeur SecNumCloud du Health Data Hub. La bascule complète est annoncée pour fin 2026. Ce mouvement, validé au plus haut niveau de l'État, conforte SecNumCloud comme standard pour les données sensibles.

Sources

ANSSI, Référentiel SecNumCloud version 3.2 — exigences applicables aux prestataires de services d'informatique en nuage, ssi.gouv.fr
CNIL, Recommandation sur le recours aux services cloud — qualification SecNumCloud, cnil.fr
Légifrance, Règlement (UE) 2016/679 du 27 avril 2016 — RGPD, article 4 et article 28, legifrance.gouv.fr
Légifrance, Règlement (UE) 2024/1689 du 13 juin 2024 — AI Act, eur-lex.europa.eu
Banque des Territoires, SecNumCloud : six GIP assujettis, les données sensibles enfin définies, 2026, banquedesterritoires.fr
Le Journal des Entreprises, « Le seul marqueur reconnu par la CNIL pour matérialiser un cloud souverain c'est SecNumCloud », 2025, lejournaldesentreprises.com

DécodAO : décoder un DCE avant de décider d'y répondre

DécodAO est un système d'IA souverain, opéré par la SARL Valuans, qui décode les dossiers de consultation des entreprises (DCE) en quelques minutes. Score d'alignement, cartographie des risques contractuels, signaux faibles, traçabilité source page-article-alinéa. L'agent prépare, l'expert décide.

Réserver une démonstration DécodAO — ou tester avec le pack 5 analyses à 149 € HT.