RGPD et IA dans les marchés publics : ce que dit la réglementation

Le RGPD (règlement UE 2016/679) impose 6 principes lors d'un traitement IA : licéité, finalité limitée, minimisation des données, exactitude, conservation limitée et sécurité. Pour les marchés publics, il faut signer un DPA avec l'éditeur IA, vérifier la localisation des serveurs (UE obligatoire pour les données sensibles) et documenter le traitement au registre RGPD.

Le RGPD (Règlement général sur la protection des données) gouverne tout traitement de données personnelles en Europe. Même les données « commerciales » qui semblent impersonnelles (votre structure de coûts, vos références clients, vos capacités) peuvent contenir indirectement des données personnelles. Le RGPD s'applique. Voyons comment.

Ce que le RGPD dit de l'utilisation d'IA

Le RGPD ne dit pas « l'IA est interdite » ou « l'IA est autorisée ». Il dit : tout traitement de données personnelles doit satisfaire à certains principes. L'utilisation d'une IA pour traiter ces données doit respecter ces principes.

Les principes clés du RGPD relevant pour l'IA dans les appels d'offres :

Licéité. Vous ne pouvez traiter les données que si vous avez une base légale. Pour les appels d'offres, la base est généralement le contrat (vous répondez à un appel d'offres public) ou l'intérêt légitime (améliorer votre processus de candidature).

Transparence et information. Si vous donner les données de vos candidatures à une IA, vous devez être transparent sur ce qui se passe à ces données. Votre politique de confidentialité et vos documents de traitement de données doivent le préciser.

Limitation des finalités. Les données ne peuvent être traitées que pour la finalité prévue. Si vous utilisez une IA pour structurer vos réponses, c'est OK. Si la même IA utilise vos données pour entraîner un modèle qui sera alors vendu à vos concurrents, ce n'est pas OK.

Minimisation des données. Vous ne devez transmettre à l'IA que les données vraiment nécessaires. Transmettre une liste des clients et leurs contacts personnels à une IA généraliste n'est probablement pas nécessaire.

Exactitude et conservation. Les données doivent être à jour et ne pas être conservées plus longtemps que nécessaire.

Intégrité et confidentialité. Les données doivent être traitées de manière sécurisée et ne pas être divulguées à des tiers sans raison valide.

Ces principes s'appliquent qu'que vous utilisiez ChatGPT ou une IA spécialisée. Ce qui change, c'est le risque et la simplicité d'être conforme.

Les données à risque dans les appels d'offres

Pas toutes les données dans une réponse d'appel d'offres sont « données personnelles » au sens du RGPD. Mais beaucoup le sont, directement ou indirectement.

Données personnelles clairement présentes : le nom de votre directeur général, les prénom et nom des personnes qui travailleront sur le marché, les emails des contacts, les numéros de téléphone.

Données pseudonymes ou indirectes : le nom d'une entreprise cliente (c'est une donnée personnelle si c'est un nom de personne physique) ou une PME souvent identifiée par son dirigeant.

Données sensibles : les données de santé (si vous répondez à un marché hospitalier et mentionnez des informations de patients), les données biométriques (moins courant dans ce contexte), les données relatives aux infractions (moins courant aussi).

La plupart du temps, ce sont les données pseudonymes et le simple fait de nommer les entreprises partenaires qui crée l'obligation RGPD.

L'obligation du contrat de traitement de données

Vous ne pouvez pas simplement donner vos données à une IA et croiser les doigts. Si la IA traite des données personnelles (même indirectement), vous devez avoir un contrat de traitement de données (techniquement, un contrat de « sous-traitance » au sens du RGPD).

Ce contrat doit spécifier :

Quelles sont les données traitées.

Quelles sont les instructions : pourquoi on traite ces données, comment on les traite.

Quelles sont les garanties de sécurité.

Où sont stockées les données.

Pendant combien de temps elles sont conservées.

Quels tiers y ont accès.

Comment elles seront supprimées à la fin.

C'est un document légal. Vous ne pouvez pas utiliser une IA sérieuse sans un tel contrat en place.

Concrètement, cela signifie :

Si vous utilisez ChatGPT Enterprise, vous avez un contrat de traitement de données. Vous êtes partiellement couvert.

Si vous utilisez ChatGPT grand public gratuit, vous n'avez probablement pas un tel contrat. C'est un risque légal.

Si vous utilisez une IA spécialisée comme Nextend.ai, l'éditeur a un modèle de contrat et le propose à tous les utilisateurs professionnels. C'est standard et attendu.

L'autorité de certification : la CNIL en France

En France, c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui supervise l'application du RGPD. Ils ne certifient pas les IA. Mais ils publient des recommandations sur ce que le RGPD exige pour l'utilisation de l'IA.

Les principes clés selon la CNIL pour l'IA et les données personnelles :

Respecter les droits des personnes (droit d'accès, droit à l'oubli, droit à la portabilité). Si une personne dont les données sont dans votre réponse d'appel d'offres vous demande l'accès à ces données, vous devez pouvoir les fournir. Si elle vous demande de les supprimer, vous devez pouvoir le faire (sauf si vous avez une obligation légale de les conserver).

Évaluer les risques de l'utilisation de l'IA : elle peut biaiser les décisions, elle peut mal interpréter les données, elle peut les reproduire incorrectement. Vous devez évaluer ces risques pour votre utilisation spécifique.

Mettre en place une transparence : les personnes concernées doivent savoir que leurs données sont traitées par une IA, à quelles fins, et comment.

En pratique, pour une PME répondant aux appels d'offres, cela signifie :

Vous devez pouvoir expliquer pourquoi vous avez besoin d'utiliser une IA pour structurer votre réponse (l'intérêt légitime).

Vous devez avoir choisi une IA qui minimise les risques (qu'elle ne reproduise pas vos données ailleurs, qu'elle ne les entraîne pas sur d'autres modèles).

Vous devez avoir contractualisé avec l'IA (contrat de traitement de données).

Vous devez être capable de récupérer et supprimer les données si demandé.

Le cas spécifique des IA généralistes

Les IA généralistes (ChatGPT, Claude, Gemini) posent un problème RGPD spécifique : elles apprennent de vos interactions. Ou du moins, elles intègrent vos données dans un processus d'amélioration.

Concrètement, cela signifie :

Si vous donnez une réponse d'appel d'offres complète à ChatGPT, cette donnée transite par les serveurs d'OpenAI (basé aux États-Unis, ce qui pose un problème de transfert de données hors UE). Elle est stockée (ou peut être stockée) pour améliorer le modèle.

Pour être conforme au RGPD, OpenAI devrait théoriquement avoir un intérêt légitime à utiliser vos données et vous aurait dû informer explicitement. Techniquement, ils le font via leur politique de confidentialité générale. Mais cette politique n'est pas conçue pour les contextes métier sensibles comme les appels d'offres.

Utiliser ChatGPT pour les appels d'offres sans provisions spéciales, c'est un risque de non-conformité au RGPD. Vous trouvez peut-être que le risque est faible (OpenAI est une grosse entreprise, ils prennent la sécurité au sérieux). Mais légalement, c'est un risque.

OpenAI offre maintenant des options comme ChatGPT Business avec plus de garanties de confidentialité et de traitement. C'est mieux, mais c'est aussi plus cher et moins direct.

Le cas des IA spécialisées pour les appels d'offres

Une IA spécialisée pour les appels d'offres, bien conçue, résout beaucoup de ces problèmes.

D'abord, elle n'apprend pas de vos interactions. Ou du moins, pas d'une manière qui reproduit vos données. Elle peut mettre à jour ses règles ou ses recommandations, mais pas en se basant sur vos données sensibles.

Deuxièmement, elle offre un contrat de traitement de données standard, prévu pour cet usage.

Troisièmement, elle est souvent conçue pour respecter le RGPD depuis le départ. Les données sont stockées en EU, les serveurs respectent les normes de sécurité, il existe un processus de suppression des données.

Quatrièmement, l'éditeur a une responsabilité légale claire. Si quelque chose tourne mal, l'éditeur est responsable devant la CNIL. Cela les incite à bien faire.

Dit autrement, utiliser une IA spécialisée pour les appels d'offres, c'est plus sûr légalement (et techniquement) qu'une IA généraliste.

Concrètement, comment être conforme ?

Si vous décidez d'utiliser une IA pour vos candidatures aux appels d'offres, voici comment être RGPD-conforme :

Étape 1 : Choisir une IA appropriée. Préférez une IA conçue pour ce contexte, qui offre des garanties RGPD claires.

Étape 2 : Obtenir un contrat de traitement de données. Avant d'entrer une donnée personnelle, assurez-vous que l'IA a un contrat de traitement de données adapté à votre usage.

Étape 3 : Minimiser les données sensibles transmises. Ne pas donner à l'IA les informations les plus sensibles (numéros de sécurité sociale, données de santé, infractions pénales). Mais vous pouvez transmettre les noms de contacts, les références d'entreprises, les descriptions de projets.

Étape 4 : Informer les personnes concernées. Si vous utilisez les données de clients ou d'employés dans une réponse qui sera traitée par une IA, vous devez le mentionner. Cela peut être dans votre politique de confidentialité générale.

Étape 5 : Documenter votre utilisation. La CNIL aime les documents. Gardez un enregistrement : « Nous avons choisi l'IA X parce que [...]. Nous avons un contrat de traitement de données. Voici le contenu [...]."

Étape 6 : Mettre en place une capacité de récupération et suppression des données. L'IA doit vous permettre, sur demande, de récupérer vos données ou les supprimer.

Les risques réels si vous n'êtes pas conforme

Vous êtes une PME. La CNIL pourrait-elle vous poursuivre pour utilisation non-conforme d'une IA dans les appels d'offres ? Techniquement oui. Réalistement, la CNIL cible d'abord les grandes structures et les IA très problématiques. Mais le risque existe.

De plus, un client ou un employé dont les données ont été exposées via une IA non-conforme pourrait vous poursuivre en dommages et intérêts. Pas probable, mais possible.

Le plus probable : vous êtes au courant, c'est un risque calculé, et vous acceptez. Beaucoup de PME acceptent ce risque en utilisant des outils grand public. Cela ne devient un problème que si quelque chose tourne mal.

Nextend.ai et la conformité RGPD

Nextend.ai a été construite avec la conformité RGPD comme priorité. Les données sont stockées en France. Il existe un contrat de traitement de données standard. Il n'y a pas d'apprentissage sur vos données. Il existe une procédure de suppression des données. L'IA ne transfère pas vos données en dehors de l'UE.

C'est ce qu'une IA professionnelle pour ce contexte doit offrir.

Conclusion

Le RGPD et l'IA ne sont pas incompatibles. Ils exigent juste une attention particulière à trois éléments : choisir une IA appropriée, avoir un contrat en place, et minimiser les données sensibles. Fait correctement, vous pouvez utiliser l'IA pour les appels d'offres en étant RGPD-conforme.

Fait incorrectement (en donnant toutes vos données à ChatGPT grand public), c'est un risque légal. Fait bien (en choisissant une IA pensée pour ce contexte), c'est une utilisation sûre et productive.

Le choix dépend de vous. Mais maintenant, vous savez sur quoi vous décidez.

Questions fréquentes

Suis-je tenu de nommer un DPO (Data Protection Officer) si j'utilise une IA pour les appels d'offres ?

Non sauf si vous êtes une organisation publique ou traitez systématiquement des données sensibles à grande échelle. Une PME privée utilisant une IA pour les appels d'offres avec des garanties RGPD appropriées n'a généralement pas besoin d'un DPO.

Un DPA (Data Processing Agreement) suffit-il pour être RGPD-conforme ?

Presque. Le DPA est nécessaire mais pas suffisant. Vous devez aussi : faire une analyse d'impact (AIPD) si les risques sont élevés, avoir une politique de conservation des données, assurer des audits réguliers, documenter votre conformité.

Si l'IA est hébergée en France, suis-je automatiquement RGPD-conforme ?

Non. L'hébergement en France est un plus mais ce n'est pas suffisant. La conformité dépend du traitement des données : sont-elles chiffrées ? Sont-elles utilisées pour l'entraînement ? Y a-t-il accès tiers ? Une IA mal configurée en France peut être non-conforme.

Combien coûte un audit RGPD pour vérifier la conformité d'une IA ?

Entre 500 et 2 000 euros pour une PME. Un audit complet par un cabinet spécialisé peut coûter plus. Pour une PME petite, un auto-audit guidé avec la checklist RGPD peut suffire initialement.

Puis-je transférer les données de l'IA en Europe pour réduire les risques RGPD ?

C'est utile mais pas une panacée. Le transfert des données en Europe réduit les risques légaux sur la juridiction, mais ne change pas les obligations de conformité du traitement. Un outil RGPD-compliant en Europe est meilleur qu'un outil non-conforme quelque part.