Un DCE est un document public, disponible sur n'importe quel profil acheteur. Ce n'est pas votre réponse. Votre mémoire technique, votre stratégie de prix et les CV de vos collaborateurs sont des informations sensibles : les charger dans un outil IA grand public sans vérifications expose votre entreprise à des risques réels — fuite concurrentielle, violation du RGPD, ou infraction à une clause de confidentialité du marché.
Ces risques sont concrets et souvent mal compris. Ils dépendent du type de données que vous soumettez, de l'outil utilisé et de la présence ou non d'un cadre contractuel (DPA, hébergement UE, politique de non-réutilisation). Cet article détaille chaque risque et donne la grille de vérification à appliquer avant d'utiliser une IA sur un dossier de réponse.
Pour une vue d'ensemble des usages de l'IA sur les marchés publics, voir notre guide IA marchés publics : comment l'utiliser, qui couvre également d'autres précautions (hallucinations, dépendance aux outils).
- Le DCE est public — votre réponse ne l'est pas. Mémoire technique, prix, CV de vos équipes : ce sont des données sensibles à protéger.
- Le RGPD s'applique dès que le DCE ou votre réponse contient des données à caractère personnel (noms, CV, données sur des usagers). Un outil sans DPA vous met en infraction.
- Les outils grand public (ChatGPT.com, Claude.ai sans plan entreprise) peuvent utiliser vos saisies pour l'entraînement du modèle. Votre stratégie de prix peut fuir.
- Trois vérifications suffisent pour évaluer un outil : hébergement UE, DPA disponible, engagement contractuel de non-réutilisation des données.
- Certains DCE contiennent des clauses de confidentialité explicites qui interdisent la communication à tout tiers, y compris un prestataire SaaS.
DCE public, réponse confidentielle : la distinction qui change tout
La confusion la plus fréquente : parce que le DCE est téléchargeable librement, on suppose que l'analyser avec une IA ne pose aucun problème. C'est vrai dans la majorité des cas — mais partiel.
Le DCE lui-même peut contenir des données sensibles. Un DCE de réhabilitation d'EHPAD décrit le nombre de résidents et leur organisation de vie. Un DCE de prestations informatiques pour une collectivité liste les agents concernés. Un DCE de gardiennage détaille les accès et les horaires de sécurité d'un site. Ces données sont accessibles à quiconque télécharge le dossier, mais leur traitement par un sous-traitant IA reste soumis au RGPD.
Votre réponse, elle, n'est jamais publique. Le mémoire technique, le BPU, la stratégie de prix, les références clients, les CV de vos collaborateurs, les marges sur sous-traitants — tout cela constitue votre propriété intellectuelle et votre avantage concurrentiel. Charger ces éléments dans un LLM grand public revient à les confier à un tiers sans garantie contractuelle.
Le RGPD dans les marchés publics : quand s'applique-t-il concrètement ?
Le Règlement Général sur la Protection des Données (RGPD, en vigueur depuis mai 2018) s'applique au traitement de données à caractère personnel — c'est-à-dire toute information permettant d'identifier directement ou indirectement une personne physique.
Dans le contexte des marchés publics, les données personnelles apparaissent à plusieurs endroits :
- Dans le DCE : noms d'agents référents, données sur les usagers d'un bâtiment (résidents d'EHPAD, élèves d'une école, personnels d'un site), adresses, contacts.
- Dans votre réponse : CV nominatifs des intervenants (chef de chantier, conducteur de travaux, référent qualité), références clients avec noms de contacts, données sur les sous-traitants.
- Dans vos documents internes : notes d'analyse interne sur un acheteur, échanges avec un référent, comptes-rendus de visite de site mentionnant des agents.
Dès que vous confiez ces données à un outil SaaS pour traitement (analyse, génération, résumé), cet outil devient votre sous-traitant de traitement au sens de l'article 28 du RGPD. Vous êtes responsable du traitement ; l'outil en est le sous-traitant. L'absence de DPA (Data Processing Agreement) signé avec ce sous-traitant constitue une violation formelle du RGPD — indépendamment de tout incident effectif.
Le DPA : ce que c'est et pourquoi il est obligatoire
Le Data Processing Agreement (accord de traitement des données, ou ATD) est le contrat qui encadre la relation responsable de traitement / sous-traitant. Il précise : les catégories de données traitées, la finalité du traitement, les mesures de sécurité, les conditions de suppression, et les obligations de l'outil en cas de violation.
Les interfaces grand public ne fournissent pas de DPA. ChatGPT.com, Claude.ai, Gemini — sans plan entreprise avec contractualisation explicite, il n'existe pas de DPA. Les conditions générales d'utilisation ne constituent pas un DPA au sens du RGPD. C'est le cas même si ces outils ont une politique de confidentialité affichée.
Les plans entreprise fournissent généralement un DPA. ChatGPT Enterprise, Claude for Work (Anthropic), Mistral API avec contrat — ces offres incluent un accord de traitement des données conforme. Ce n'est pas automatique : il faut le demander, le signer, et vérifier qu'il couvre bien le traitement que vous faites.
Hébergement hors UE : le transfert de données
Un hébergement hors Union européenne ne rend pas un outil illégal, mais il exige une base légale de transfert. Depuis l'arrêt Schrems II (Cour de justice de l'UE, juillet 2020), le transfert vers les États-Unis sans mécanisme complémentaire est problématique. L'accord UE-États-Unis sur la protection des données (Data Privacy Framework, adopté en juillet 2023) rétablit un cadre pour les entreprises certifiées — mais il peut être remis en question.
En pratique : un outil avec hébergement en France ou dans l'UE élimine cette complexité. C'est le choix le plus simple pour une PME qui veut être certaine de sa conformité sans gérer les subtilités des clauses contractuelles types (SCCs).
Le secret des affaires : un risque distinct du RGPD
Le RGPD protège les personnes physiques. Le secret des affaires protège votre entreprise. Ce sont deux cadres juridiques distincts, et les deux peuvent être violés simultanément.
La loi française du 30 juillet 2018 (transposant la directive UE 2016/943) protège les informations présentant une valeur commerciale, réelles ou potentielles, dès lors que des mesures raisonnables ont été prises pour les garder secrètes.
Dans le contexte des réponses à appels d'offres, relèvent typiquement du secret des affaires :
- Votre politique de prix et vos marges
- Vos méthodes d'organisation et de production (ce que vous décrivez dans le mémoire technique)
- Vos partenariats avec des sous-traitants spécifiques et les conditions négociées
- Vos références clients non publiques et les performances associées
- Votre stratégie de différenciation sur un marché ou un acheteur donné
Le risque concret avec un LLM grand public : si ces données sont utilisées pour améliorer le modèle, elles peuvent théoriquement réapparaître dans les réponses générées pour d'autres utilisateurs. En pratique, ce risque est difficile à mesurer — mais il est réel, et certaines CGU de services grand public l'autorisent explicitement jusqu'à opt-out.
Les clauses de confidentialité dans les DCE : attention aux marchés sensibles
Certains acheteurs publics insèrent des clauses de confidentialité explicites dans le règlement de consultation ou dans le CCAP. Ces clauses peuvent interdire la transmission à tout tiers non autorisé de tout ou partie des informations du marché.
Les marchés les plus souvent concernés :
- Marchés de défense et de sécurité nationale
- Marchés sur des infrastructures critiques (énergie, eau, télécoms)
- Marchés comportant des données sensibles sur des usagers (santé, social)
- Marchés d'études ou de conseil avec accès à des données internes de l'acheteur
Même si un outil SaaS est juridiquement un sous-traitant et non un "tiers" au sens large, une clause de confidentialité mal rédigée ou très large peut couvrir ce cas. Lisez systématiquement les clauses de confidentialité du RC et du CCAP avant de soumettre le moindre extrait du DCE à un service externe. En cas de doute, soumettez uniquement des extraits anonymisés ou génériques.
Pour apprendre à lire efficacement ces pièces contractuelles, voir notre guide sur l'analyse de DCE avec une IA.
Grille de vérification : évaluer un outil IA en 5 points
Avant d'utiliser un outil IA sur des documents de réponse à appel d'offres, posez-vous ces cinq questions :
1. Où sont hébergées les données ?
France ou UE : conformité immédiate pour les transferts. Hors UE : vérifiez si l'outil est certifié Data Privacy Framework (pour les États-Unis) et si un mécanisme complémentaire (SCCs) est en place.
2. L'outil propose-t-il un DPA signable ?
Sans DPA, vous ne pouvez pas légalement lui confier des données personnelles. Le DPA doit préciser : finalités du traitement, durée de conservation, obligations de sécurité, conditions de suppression. Un simple renvoi aux CGU ne suffit pas.
3. Les données sont-elles utilisées pour l'entraînement du modèle ?
C'est la question clé pour la confidentialité de votre stratégie. Un engagement contractuel explicite de non-réutilisation des données pour l'entraînement est la seule garantie réelle. L'opt-out par paramètre de compte est moins solide : il peut être oublié, modifié, ou ne pas couvrir toutes les modalités d'utilisation.
4. Quelle est la politique de conservation des données ?
Combien de temps vos documents sont-ils conservés ? Sont-ils supprimés automatiquement après traitement ou conservés indéfiniment ? La suppression sur demande est-elle prévue contractuellement ? Pour un mémoire technique contenant votre stratégie, une conservation longue durée est un risque supplémentaire.
5. L'outil est-il spécialisé marchés publics ou généraliste ?
Ce n'est pas directement une question de sécurité, mais un outil spécialisé a généralement un modèle de revenus B2B qui l'incite à des garanties contractuelles plus solides qu'un outil grand public. Un outil grand public monétise son modèle via les données ; un outil B2B se vend sur la confiance.
C'est précisément ce cadre que propose Olra : hébergement en France, engagement contractuel de non-réutilisation des données pour l'entraînement, DPA disponible, et suppression des documents après traitement. Voir le détail sur la page fonctionnalités de la plateforme.
Ce que vous pouvez faire sans risque avec un outil grand public
Tout n'est pas interdit. Avec un outil grand public (sans DPA), vous pouvez sans risque RGPD ou secret des affaires :
- Analyser des extraits anonymisés du CCTP : décrire les prestations demandées sans y inclure les noms des agents ou des usagers
- Générer des trames génériques de mémoire technique à partir d'un brief verbal, sans y coller le DCE
- Poser des questions méthodologiques sur un type de marché ou un type de prestation, sans inclure des données spécifiques à votre entreprise
- Reformuler ou améliorer un paragraphe de votre mémoire déjà rédigé, qui ne contient ni données personnelles ni information stratégique sensible
La règle : plus les données sont génériques et anonymisées, plus l'outil peut être généraliste. Dès que vous glissez vers des données spécifiques à votre entreprise ou à des personnes nommées, il faut un cadre contractuel.
Pour aller plus loin sur les limites concrètes des outils généralistes sur les AO, voir ChatGPT pour les appels d'offres : 7 limites à connaître.
Questions fréquentes sur le RGPD et la confidentialité IA marchés publics
Peut-on soumettre un DCE à ChatGPT sans enfreindre le RGPD ?
Cela dépend du contenu du DCE. S'il ne contient aucune donnée à caractère personnel (noms d'agents, données sur des usagers), l'analyse d'extraits du DCE via ChatGPT.com n'enfreint pas le RGPD. En revanche, dès que le DCE contient des données personnelles ou que votre réponse en inclut (CV nominatifs, références avec contacts), ChatGPT.com sans plan Enterprise ne dispose pas de DPA : vous êtes en infraction formelle. Vérifiez systématiquement le contenu du document avant de le soumettre.
Qu'est-ce qu'un DPA et pourquoi est-il obligatoire ?
Un DPA (Data Processing Agreement, ou accord de traitement des données) est le contrat obligatoire entre un responsable de traitement et son sous-traitant au sens de l'article 28 du RGPD. Il précise les catégories de données traitées, les finalités, les mesures de sécurité, les conditions de suppression et les obligations en cas de violation. Sans DPA signé avec l'outil IA que vous utilisez pour traiter des données personnelles, vous êtes en infraction — indépendamment de tout incident. Les CGU d'un service grand public ne constituent pas un DPA.
Une IA peut-elle réutiliser ma stratégie de prix pour en informer d'autres utilisateurs ?
Avec un outil grand public sans engagement contractuel de non-réutilisation, vos saisies peuvent être utilisées pour améliorer le modèle — ce qui signifie théoriquement que des informations issues de votre stratégie pourraient influencer les réponses générées pour d'autres. En pratique, ce risque est difficile à mesurer, mais réel. Avec un outil B2B disposant d'un engagement contractuel explicite de non-entraînement sur vos données, ce risque est éliminé. C'est l'un des critères clés pour évaluer un outil IA dans un contexte professionnel sensible.
Faut-il un hébergement en France ou l'UE suffit-elle ?
L'UE suffit au regard du RGPD : toute donnée hébergée dans un pays membre de l'Union européenne bénéficie du même niveau de protection. Un hébergement en France est simplement le choix le plus simple à documenter. Ce qui est à éviter sans mécanisme complémentaire, c'est l'hébergement aux États-Unis ou dans des pays sans décision d'adéquation de la Commission européenne. L'accord UE-États-Unis Data Privacy Framework (2023) rétablit un cadre pour les entreprises certifiées, mais son avenir juridique reste incertain.
Les CV soumis dans une réponse à appel d'offres sont-ils des données personnelles ?
Oui. Un CV contient des données à caractère personnel au sens du RGPD : nom, prénom, parcours professionnel, parfois adresse ou date de naissance. Charger ces CV dans un outil IA sans DPA constitue un traitement de données personnelles sans base légale appropriée. Les collaborateurs dont vous soumettez les CV doivent avoir été informés de ce traitement (obligation d'information de l'article 13 du RGPD). Avec un outil disposant d'un DPA, la base légale est l'exécution du contrat de travail (ou l'intérêt légitime, selon la situation).
Comment savoir si un DCE contient une clause de confidentialité ?
Cherchez dans le règlement de consultation (RC) et le CCAP les termes "confidentiel", "confidentialité", "ne pas divulguer", "tiers non autorisé", "discrétion". Ces clauses se trouvent généralement dans un article dédié ou dans les dispositions générales du CCAP. Si vous utilisez une IA pour analyser le DCE avant de l'avoir lu, vous risquez de l'enfreindre. La bonne pratique : lire d'abord les pièces contractuelles (RC, CCAP) pour repérer les contraintes, puis décider du niveau de caution à appliquer pour le reste du dossier.
L'anonymisation des données résout-elle le problème RGPD ?
Oui, à condition que l'anonymisation soit réelle et irréversible. Une donnée véritablement anonymisée n'est plus une donnée à caractère personnel au sens du RGPD — son traitement n'est plus soumis au règlement. En pratique, la pseudonymisation (remplacer un nom par un code) n'est pas une anonymisation : la réidentification reste possible. Pour les CV, supprimer le nom et le prénom ne suffit pas si d'autres éléments (parcours très spécifique, formation, ville) permettent la réidentification. Une anonymisation sérieuse supprime ou généralise tous les éléments identifiants.
