Ce qu'il faut retenir
- La souveraineté réelle se mesure à la nationalité juridique du fournisseur et à la localisation des traitements — pas aux mots du commercial
- Exiger les certifications plutôt que les auto-déclarations : SecNumCloud, HDS, ISO 27001, SOC 2 Type II
- Le SLA technique est insuffisant — exiger aussi un SLA sur la confidentialité et la souveraineté des données
- Tester sur des données réelles avant de signer : les démos en sandbox ne révèlent pas les problèmes de qualité sur données métier
1. Critères de souveraineté
C'est le critère fondamental pour un appel d'offre IA souveraine. Questions à poser systématiquement :
| Critère | Question à poser | Réponse acceptable |
|---|---|---|
| Nationalité juridique | Quelle est la nationalité de l'entité qui signe le contrat ? | Entité de droit français ou européen |
| Actionnariat | Quel est le capital et l'actionnariat de la société ? | Majorité EU, pas de dépendance à entité US soumise Cloud Act |
| Localisation données | Où sont hébergées les données ? Qui est l'hébergeur ? | France ou UE, hébergeur certifié |
| Sous-traitance | Quels sous-traitants accèdent aux données ? Leurs nationalités ? | Liste exhaustive, tous EU ou justification |
| Cloud Act | L'un de vos prestataires est-il soumis au Cloud Act américain ? | Non, ou plan de migration documenté |
| Modèle LLM | Quel modèle LLM est utilisé ? Est-il déployé ou appelé via API externe ? | Déployé localement ou API EU souveraine |
2. Critères techniques
Performance et capacités
- Taille du contexte (tokens) — 8k, 32k, 128k, 200k+ selon vos besoins documentaires
- Langues supportées — qualité du français mesurable (demander des benchmarks sur votre domaine)
- Latence moyenne et maximale — en ms pour le premier token et pour une réponse complète
- Débit (throughput) — requêtes par minute / tokens par seconde pour vos volumes
- Capacité multimodale — texte seul, image, audio, vidéo selon besoins
Architecture et intégration
- API compatible OpenAI (facilite la migration et l'intégration avec les outils existants)
- Options RAG / connecteurs documentaires (SharePoint, GED, CRM) — natifs ou à développer
- Possibilité de fine-tuning sur données métier
- SDK disponibles (Python, JavaScript, Java...)
- Webhooks et intégration avec les outils de workflow existants
Déploiement
- Options : SaaS cloud souverain / on-premise / hybride
- Exigences matérielles pour on-premise (GPU, RAM, stockage)
- Délai de déploiement — POC, pilote, production
- Processus de mise à jour des modèles
3. Sécurité et certifications
Exiger les certifications documentées, pas les auto-déclarations :
- ISO 27001 : gestion de la sécurité de l'information — périmètre couvert par la certification
- SOC 2 Type II : audit indépendant des contrôles sur 6 mois minimum
- SecNumCloud (ANSSI) : qualification française — le niveau de référence pour les données sensibles de l'État et des OIV
- HDS (Hébergement de Données de Santé) : obligatoire pour les données de santé
- Pen tests : fréquence, périmètre, disponibilité des rapports de synthèse
Questions complémentaires sécurité :
- Chiffrement des données au repos et en transit (algorithmes, gestion des clés)
- Isolation entre clients (multi-tenant vs dédié)
- Gestion des accès privilégiés (PAM) — qui peut accéder aux données en production
- Procédure de notification en cas d'incident de sécurité (délai, canal)
- Plan de reprise d'activité (RTO/RPO)
4. Conformité réglementaire
- Contrat de sous-traitance (DPA) conforme RGPD disponible et signable
- Registre des traitements tenu à jour
- Procédure de gestion des droits des personnes (accès, rectification, effacement)
- Durées de conservation des données documentées
- Localisation des données clairement spécifiée et contractualisée
EU AI Act (pour les systèmes à risque)
- Classification du risque EU AI Act du système proposé
- Documentation technique disponible (pour les systèmes haut risque)
- Mécanismes de surveillance humaine
- Registre des logs et traçabilité
Sectoriel selon votre contexte
- HDS si données de santé
- DORA si secteur financier (contrat fournisseur ICT conforme DORA)
- Agrément ACPR si activité réglementée finance
5. SLA et support
SLA technique standard
- Disponibilité : 99,9% minimum (calculer l'indisponibilité acceptable : 99,9% = 8,7h/an)
- Temps de réponse incidents : P1 <1h, P2 <4h, P3 <24h
- Mécanisme de compensation en cas de non-respect du SLA
- Maintenance planifiée avec préavis minimum
SLA souveraineté (souvent absent — à exiger)
- Garantie contractuelle que les données ne quittent pas le territoire défini
- Procédure si une autorité étrangère demande accès aux données
- Notification immédiate en cas de demande judiciaire concernant vos données
Support
- Heures de support (9h-18h FR, 24/7...)
- Langue de support : français obligatoire pour une solution "souveraine"
- CSM (Customer Success Manager) dédié
- Accès à une équipe technique en cas de problème d'intégration
6. Critères commerciaux
- Structure tarifaire : par token, par utilisateur, par requête, ou forfait — prévisibilité du coût
- Engagement minimum : durée minimale, conditions de résiliation
- Réversibilité : plan de sortie documenté, format d'export des données, délai
- Références clients : clients dans votre secteur, contacts directs disponibles
- Roadmap : investissements R&D, cadence de mise à jour des modèles
- Solidité financière : bilans disponibles, actionnariat, levées de fonds
Grille de notation suggérée
| Catégorie | Poids recommandé | Score max |
|---|---|---|
| Souveraineté et conformité juridique | 30% | 30 |
| Performances techniques | 25% | 25 |
| Sécurité et certifications | 20% | 20 |
| SLA et support | 15% | 15 |
| Commercial et références | 10% | 10 |
Adapter les poids selon votre contexte : un acteur de santé mettra davantage de poids sur les certifications (HDS) ; un acteur financier sur la conformité DORA.
Nous répondons à votre appel d'offre
Intelligence Privée fournit une réponse RFP complète avec documentation technique, certifications, références et proposition tarifaire détaillée.
Demander une réponse RFP →