Politique de confidentialité
Plateforme DécodAO, www.decodao.com. Version 1.0, en vigueur au 27 mai 2026.
La présente Politique de confidentialité décrit la manière dont la société SARL Valuans, éditrice de la plateforme DécodAO, collecte, utilise, protège et conserve les données à caractère personnel dans le cadre de la fourniture de ses services. Elle constitue le document de référence en matière de protection des données pour la Plateforme. Les Mentions légales et les Conditions générales d'utilisation y renvoient pour le détail des traitements.
Elle s'applique à toute personne dont les données sont traitées à l'occasion de l'utilisation de DécodAO : utilisateurs professionnels titulaires d'un compte, visiteurs du site, et personnes physiques tierces dont le nom figure dans les dossiers de consultation des entreprises (DCE) soumis à l'analyse.
1. Responsable du traitement
Le responsable du traitement est la société SARL Valuans, société à responsabilité limitée au capital de 4 000 euros, dont le siège social est situé 7 rue Ladureau, 45000 Orléans, immatriculée au RCS d'Orléans sous le numéro SIRET 807 500 566 00011, représentée par son gérant, Didier Thalmann.
Le délégué à la protection des données (DPO) peut être contacté à l'adresse : didier.thalmann@decodao.com.
2. Données collectées et bases légales
DécodAO traite quatre catégories de données à caractère personnel, chacune fondée sur une base légale propre au sens de l'article 6 du RGPD.
2.1 Données de compte
Nom, prénom, adresse email professionnelle, fonction et SIRET de l'entreprise. Ces données sont nécessaires à la création et à la gestion du compte utilisateur.
Base légale : exécution du contrat (article 6(1)(b) du RGPD).
2.2 Données de Profil Entreprise
Certifications, chiffre d'affaires, codes CPV, zones géographiques d'intervention et références. Ces données alimentent l'analyse d'alignement entre le profil de l'entreprise et les marchés étudiés.
Base légale : exécution du contrat (article 6(1)(b) du RGPD).
2.3 Données de tiers contenues dans les DCE
Les DCE soumis à l'analyse peuvent contenir des noms de personnes physiques : signataires, gestionnaires ou formateurs mentionnés dans les pièces du marché. Ces données sont traitées pour permettre l'analyse du DCE. Les DCE sont des documents publics, accessibles à tout opérateur économique.
Base légale : intérêt légitime de l'utilisateur à analyser un dossier de consultation auquel il a accès (article 6(1)(f) du RGPD).
2.4 Données DECP
Les données essentielles de la commande publique (DECP) comportent les SIRET des titulaires de marchés. Pour les auto-entrepreneurs et entreprises individuelles, ces identifiants sont rattachés à une personne physique identifiable. Les DECP sont des données publiques, publiées en application d'une obligation réglementaire.
Base légale : intérêt légitime (article 6(1)(f) du RGPD).
Aucune donnée sensible au sens de l'article 9 du RGPD n'est collectée. DécodAO ne s'adresse qu'à des professionnels et ne traite pas de données relatives à des consommateurs.
3. Finalités du traitement
Les données sont traitées pour les finalités suivantes :
- Création, authentification et gestion des comptes utilisateurs ;
- Fourniture du service d'analyse des DCE et production des rapports d'aide à la décision ;
- Pré-qualification des annonces issues du flux BOAMP et enrichissement par les données DECP ;
- Facturation, gestion de la relation contractuelle et support ;
- Notification des événements liés au compte et au service ;
- Amélioration de la Plateforme à partir de données agrégées et anonymisées de façon irréversible (voir article 6) ;
- Respect des obligations légales et réglementaires de l'Éditeur.
4. Mesures de protection des données
L'Éditeur met en œuvre des mesures techniques et organisationnelles destinées à protéger les données traitées.
4.1 Pseudonymisation avant analyse
Avant la transmission du texte extrait d'un DCE au fournisseur de modèle de langage (LLM), les noms de personnes physiques sont détectés automatiquement et remplacés par des identifiants neutres. Le tableau de correspondance entre identifiant et nom est conservé sur l'infrastructure souveraine et n'est jamais transmis au fournisseur LLM. Les noms d'origine sont rétablis dans le rapport final remis à l'utilisateur. Cette mesure réduit l'exposition des données personnelles de tiers, conformément au principe de minimisation (article 5(1)(c) du RGPD).
4.2 Isolation des données
Chaque utilisateur dispose d'un espace de données strictement cloisonné. Les DCE, rapports, profils et résultats d'un utilisateur sont inaccessibles aux autres utilisateurs. Aucune exploitation croisée n'est effectuée entre les comptes. Cette isolation répond à une exigence de confiance propre au secteur des marchés publics, où deux concurrents peuvent être clients de la Plateforme simultanément.
4.3 Chiffrement et traçabilité
Les données sont chiffrées au repos (AES-256) et en transit (TLS 1.3). Chaque accès aux données fait l'objet d'une journalisation horodatée, elle-même cloisonnée par utilisateur.
5. Sous-traitants
L'Éditeur fait appel à des sous-traitants au sens de l'article 28 du RGPD. Chacun est lié par un contrat de sous-traitance (Data Processing Agreement) intégrant les garanties exigées par cet article.
| Sous-traitant | Rôle | Garanties |
|---|---|---|
| Fournisseur de modèle de langage (LLM) | Analyse du texte pseudonymisé extrait des DCE | DPA conclu. Données pseudonymisées et chiffrées. Pas de conservation au-delà du traitement. SCC si le fournisseur est hors UE. |
| Hébergeur cloud | Stockage et traitement des données sur infrastructure qualifiée SecNumCloud | DPA conclu. Hébergement en France. |
| Service de notification email | Transmission des emails de notification du service | DPA conclu. |
| Prestataire de paiement | Encaissement des abonnements et packs (carte bancaire, prélèvement SEPA) | Les données de paiement sont traitées directement par le prestataire et ne sont pas conservées par l'Éditeur. |
La liste à jour des sous-traitants est communiquée à l'utilisateur sur simple demande adressée au DPO.
6. Données agrégées et amélioration de la Plateforme
L'Éditeur utilise des données issues des analyses afin d'améliorer la Plateforme, sous les conditions cumulatives suivantes :
- Les données sont anonymisées de façon irréversible : toute référence nominative (acheteur, candidat, objet du marché, montant identifiant) est supprimée. Seuls les indicateurs structurels sont conservés ;
- L'anonymisation ne permet pas de reconstituer ou d'identifier un DCE, un marché, un acheteur ou un utilisateur ;
- Les noms de personnes physiques contenus dans les DCE sont exclus des données agrégées et ne sont jamais utilisés à cette fin.
Ainsi anonymisées, ces données ne constituent plus des données à caractère personnel au sens du RGPD (considérant 26). L'Éditeur n'utilise pas les DCE des utilisateurs pour entraîner des modèles de langage.
7. Transferts hors de l'Union européenne
Le stockage et le traitement préalable (extraction, pseudonymisation, structuration) sont réalisés en France, sur infrastructure qualifiée SecNumCloud.
L'étape d'inférence, soit l'analyse réalisée par le modèle de langage, peut impliquer un transfert vers un fournisseur établi hors de l'Union européenne. Dans ce cas :
- Le texte transmis est pseudonymisé : les noms de personnes physiques sont remplacés par des identifiants neutres ;
- Le transfert est encadré par des clauses contractuelles types (SCC) adoptées par la Commission européenne ;
- Une analyse d'impact du transfert (Transfer Impact Assessment) a été réalisée ;
- Le fournisseur LLM utilisé est identifié dans les paramètres de la Plateforme accessibles à l'utilisateur.
Si l'Éditeur retient un fournisseur LLM hébergé dans l'Union européenne, les transferts hors UE sont éliminés et l'utilisateur en est informé.
8. Durées de conservation
Les données sont conservées pendant les durées suivantes, puis purgées.
| Catégorie de donnée | Durée de conservation |
|---|---|
| DCE bruts (fichiers déposés) | 90 jours après l'analyse. Conservation prolongée sur demande (12 mois maximum). Suppression immédiate possible sur demande. |
| Rapports d'analyse | Selon le plan souscrit : 3 mois (Essentiel), 12 mois (Pro), illimité (Business / Enterprise). Export proposé 15 jours avant purge. |
| Profil Entreprise | Durée de vie du compte, puis 30 jours après la résiliation. |
| Index de dialogue (RAG) | 30 jours après l'analyse. |
| Logs d'appels au modèle de langage | 30 jours. Logs pseudonymisés, sans donnée personnelle en clair. |
| Cache DECP | 30 jours. |
| Annonces BOAMP | 90 jours. |
| Journal d'accès (audit trail) | 24 mois. |
| Données de benchmark | Conservation illimitée. Données anonymisées de façon irréversible, sans donnée personnelle. |
L'utilisateur est notifié 15 jours avant chaque purge automatique de ses rapports. Une demande de suppression immédiate prime sur les durées indiquées ci-dessus.
9. Vos droits
Conformément au RGPD, toute personne dont les données sont traitées dispose des droits suivants :
- Droit d'accès (article 15) ;
- Droit de rectification (article 16) ;
- Droit à l'effacement (article 17) ;
- Droit à la limitation du traitement (article 18) ;
- Droit à la portabilité des données (article 20) ;
- Droit d'opposition (article 21).
Ces droits s'exercent par email auprès du DPO, à l'adresse didier.thalmann@decodao.com. L'Éditeur répond dans un délai de 30 jours. L'utilisateur peut en outre exporter ses données à tout moment depuis son espace client (profils, historique des analyses, rapports, métriques).
Si une personne estime que ses droits ne sont pas respectés, elle peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris, www.cnil.fr.
10. Cookies
Le site DécodAO utilise un nombre limité de cookies.
Cookies strictement nécessaires : ils assurent l'authentification et la gestion de session. Indispensables au fonctionnement du service, ils ne requièrent pas de consentement.
Cookies de mesure d'audience : le site utilise Matomo, hébergé en France, qui produit des statistiques anonymes de fréquentation. Ces cookies sont soumis à votre consentement via le bandeau d'information. Leur refus n'a aucun effet sur le fonctionnement du service.
DécodAO n'utilise aucun cookie publicitaire ni aucun traceur tiers.
11. Traitement par un système d'intelligence artificielle
DécodAO met en œuvre un système d'intelligence artificielle au sens du Règlement (UE) 2024/1689 (AI Act), classifié « risque limité ». Ce système n'entre dans aucune catégorie de systèmes à haut risque.
Le système d'IA ne prend aucune décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD. L'utilisateur conserve le contrôle final sur toute décision : l'agent prépare, l'expert décide. Le raisonnement est tracé, chaque assertion renvoie à sa source et son niveau de certitude est affiché. Les rapports portent la mention « analyse produite par un système d'intelligence artificielle ».
12. Violation de données personnelles
En cas de violation de données personnelles, l'Éditeur :
- Notifie la CNIL dans les 72 heures suivant la prise de connaissance de la violation, si celle-ci présente un risque pour les droits et libertés des personnes (article 33 du RGPD) ;
- Informe les utilisateurs concernés dans les meilleurs délais lorsque la violation présente un risque élevé, en décrivant sa nature, ses conséquences probables et les mesures prises (article 34 du RGPD) ;
- Met en œuvre les mesures correctives nécessaires (isolation, correction, analyse de cause).
13. Analyse d'impact
Une analyse d'impact relative à la protection des données (AIPD, article 35 du RGPD) a été réalisée préalablement à la mise en œuvre du traitement. Elle couvre l'ensemble du pipeline : dépôt du DCE, pseudonymisation, transmission au modèle de langage, stockage, enrichissement DECP et agrégation. Elle est tenue à la disposition de la CNIL.
14. Modification de la présente Politique
L'Éditeur peut modifier la présente Politique de confidentialité afin de l'adapter aux évolutions légales, techniques ou organisationnelles. Toute modification substantielle est portée à la connaissance des utilisateurs par email. La version applicable est celle publiée sur le site à la date de consultation.
15. Contact
Pour toute question relative à la présente Politique ou à l'exercice de vos droits :
- Délégué à la protection des données : didier.thalmann@decodao.com
- Contact général : contact@decodao.com
SARL Valuans, 7 rue Ladureau, 45000 Orléans, SIRET 807 500 566 00011, RCS Orléans.