Comment utiliser cette grille
Notez chaque critère de 0 à 4 (0 = rédhibitoire / inexistant, 1 = insuffisant, 2 = acceptable, 3 = bon, 4 = excellent). Multipliez par le poids du critère pour obtenir le score pondéré. Totalisez sur 100. Toute réponse « rédhibitoire » disqualifie le fournisseur, quelle que soit sa note globale. Réalisez cet exercice pour chaque candidat fournisseur et comparez les scores.
25critères d'évaluation
4catégories pondérées
70score minimum recommandé /100
Catégorie 1 — Souveraineté juridique (35 points maximum)
Cette catégorie est la plus discriminante. Un fournisseur qui échoue sur plusieurs critères de souveraineté ne peut pas être considéré pour des données sensibles, quelle que soit sa performance technique.
| Critère | Poids | Questions à poser | Réponses rédhibitoires | Bonnes pratiques |
|---|---|---|---|---|
| C1 — Localisation physique des données | 8% | Dans quels pays et datacenters précis les données sont-elles stockées et traitées ? Des données transitent-elles hors de ces pays, même temporairement ? Pouvez-vous fournir une garantie contractuelle sur la localisation ? | Données stockées hors UE. Refus de préciser la localisation. Localisation variable sans engagement contractuel. | Engagement contractuel de localisation exclusive en France. Datacenters certifiés Tier III minimum. Documentation technique de l'architecture géographique fournie. |
| C2 — Juridiction et exposition au Cloud Act | 8% | Votre société mère ou actionnaire est-elle soumise à une législation étrangère (Cloud Act, FISA) ? Avez-vous reçu des injonctions d'autorités étrangères au cours des 3 dernières années ? Votre structure juridique garantit-elle l'immunité au Cloud Act ? | Société mère américaine (Google, Microsoft, AWS, Oracle, IBM). Actionnaire majoritaire américain. Incapacité à attester de l'absence d'exposition au Cloud Act. | Entité 100% française ou européenne sans lien capitalistique avec des entités américaines. Attestation juridique formelle de l'absence d'exposition au Cloud Act. Structure au capital certifiée européen. |
| C3 — Chaîne de sous-traitance transparente | 7% | Pouvez-vous fournir la liste exhaustive de vos sous-traitants et de leurs sous-traitants (chaîne complète) ? Où ces sous-traitants sont-ils domiciliés ? Quelle partie du traitement réalisent-ils ? Comment contrôlez-vous leur conformité ? | Refus de communiquer la liste des sous-traitants. Sous-traitants américains pour l'hébergement ou le traitement des données. Chaîne de sous-traitance opaque. | Liste complète fournie avec localisation et rôle de chaque sous-traitant. Tous les sous-traitants sont européens. Processus d'approbation préalable de votre côté pour tout nouveau sous-traitant. |
| C4 — Non-utilisation des données pour l'entraînement | 6% | Mes données sont-elles utilisées pour améliorer ou entraîner vos modèles ? Quelle est la durée de rétention de mes données après la fin du contrat ? Qui au sein de votre organisation a accès à mes données ? | Utilisation des données clients pour l'entraînement des modèles sans consentement explicite. Conservation des données après fin de contrat sans accord. Accès des équipes de recherche ou d'entraînement aux données clients. | Engagement contractuel de non-utilisation des données pour l'entraînement. Suppression certifiée des données dans les 30 jours après fin de contrat. Accès aux données limité aux équipes opérationnelles strictement nécessaires. |
| C5 — Conformité RGPD documentée | 6% | Disposez-vous d'un DPA RGPD prêt à signer ? Avez-vous un DPO désigné ? Avez-vous subi des contrôles CNIL ou des sanctions au cours des 3 dernières années ? Comment honorez-vous les droits RGPD des personnes concernées ? | Absence de DPA disponible. Sanctions CNIL non divulguées. Incapacité à répondre aux droits d'effacement dans les délais légaux. | DPA RGPD conforme, actualisé et disponible rapidement. DPO désigné et accessible. Processus documenté pour la gestion des droits des personnes. Absence de sanctions CNIL. |
Catégorie 2 — Sécurité & Certifications (25 points maximum)
| Critère | Poids | Questions à poser | Réponses rédhibitoires | Bonnes pratiques |
|---|---|---|---|---|
| C6 — Certification ISO 27001 | 5% | Êtes-vous certifié ISO 27001 ? Le périmètre de la certification couvre-t-il les services IA que vous me fournissez ? Quand la prochaine audit de renouvellement a-t-elle lieu ? Pouvez-vous partager le certificat ? | Aucune certification de sécurité. Certification avec un périmètre excluant les services IA. Certificat expiré. | ISO 27001 en vigueur avec périmètre couvrant l'intégralité des services IA. Audit de surveillance annuel réalisé. Partage du certificat et du rapport de synthèse d'audit. |
| C7 — SecNumCloud ou équivalent | 5% | Êtes-vous qualifié SecNumCloud ou hébergé sur une infrastructure qualifiée SecNumCloud ? Sinon, quelle est votre feuille de route pour obtenir cette qualification ? Disposez-vous de SOC 2 Type II ? | Aucune qualification SecNumCloud ni équivalent pour les données OIV ou hautement sensibles. Infrastructure hébergée chez un fournisseur non qualifié pour les secteurs réglementés. | Infrastructure hébergée sur SecNumCloud qualifié. À défaut, SOC 2 Type II récent (moins de 12 mois) et feuille de route SecNumCloud documentée. Pour les données HDS : certification HDS obligatoire. |
| C8 — Politique de sécurité IA documentée | 4% | Avez-vous une politique de sécurité spécifique aux systèmes LLM ? Comment protégez-vous contre la prompt injection ? Réalisez-vous du red teaming sur vos modèles ? Comment gérez-vous les vulnérabilités découvertes ? | Aucune politique de sécurité spécifique aux LLM. Méconnaissance des risques OWASP LLM Top 10. Pas de processus de red teaming ni de patch management pour les modèles. | Politique de sécurité LLM documentée et mise à jour. Red teaming semestriel documenté. Processus de divulgation responsable des vulnérabilités. Monitoring des outputs en production. |
| C9 — Gestion des incidents de sécurité | 4% | Dans quel délai me notifiez-vous en cas d'incident de sécurité affectant mes données ? Avez-vous subi des incidents au cours des 3 dernières années ? Si oui, pouvez-vous décrire votre processus de gestion ? Avez-vous un SOC en 24/7 ? | Délai de notification supérieur à 72 heures. Dissimulation d'incidents passés. Absence de processus formalisé de gestion des incidents. Pas de SOC pour les clients critiques. | Notification sous 24h pour les incidents P1. SOC 24/7 avec monitoring des systèmes. Postmortem documenté pour chaque incident majeur. Transparence sur les incidents passés et les leçons tirées. |
| C10 — Tests de pénétration réguliers | 3% | À quelle fréquence réalisez-vous des tests de pénétration ? Par qui sont-ils réalisés (interne ou tiers certifié) ? Pouvez-vous partager un rapport de synthèse récent ? Les résultats sont-ils intégrés dans votre roadmap sécurité ? | Aucun pentest réalisé au cours des 12 derniers mois. Tests réalisés uniquement en interne sans validation externe. Refus de partager même une synthèse des résultats. | Pentest annuel réalisé par un prestataire PASSI qualifié par l'ANSSI. Partage de la synthèse exécutive des résultats. Toutes les vulnérabilités critiques corrigées dans les 30 jours. |
| C11 — Chiffrement et gestion des clés | 4% | Quel algorithme de chiffrement utilisez-vous en transit et au repos ? Proposez-vous le BYOK (Bring Your Own Key) pour que je gère mes propres clés de chiffrement ? Où sont stockées les clés de chiffrement ? | Chiffrement en transit inférieur à TLS 1.2. Clés de chiffrement au repos non documentées. Clés stockées dans le même environnement que les données chiffrées. | TLS 1.3 en transit. AES-256 au repos. Option BYOK disponible pour les clients enterprise. Gestion des clés par HSM certifié. Rotation automatique des clés. |
Catégorie 3 — Performance technique (20 points maximum)
| Critère | Poids | Questions à poser | Réponses rédhibitoires | Bonnes pratiques |
|---|---|---|---|---|
| C12 — Latence et temps de réponse | 4% | Quelle est votre latence médiane pour une requête standard (500 tokens d'entrée, 200 tokens de sortie) ? Quelle est la latence au 95e percentile ? Ces métriques sont-elles mesurées en conditions de charge réelle ? Pouvez-vous les contractualiser ? | Latence médiane supérieure à 10 secondes pour des requêtes standard. Aucune métrique de latence disponible. Latence non contractualisable. | Latence médiane inférieure à 3 secondes pour des requêtes standard. P95 inférieur à 8 secondes. Métriques temps réel disponibles dans un dashboard client. SLA de latence contractualisé. |
| C13 — Disponibilité et SLA | 4% | Quel est votre SLA de disponibilité contractuel ? Quelle a été votre disponibilité effective au cours des 12 derniers mois ? Quels sont les délais de résolution pour les incidents P1/P2/P3 ? Y a-t-il des pénalités contractuelles en cas de non-respect ? | SLA inférieur à 99% sur les heures ouvrées. Aucune pénalité contractuelle en cas de non-respect du SLA. Disponibilité effective non communiquée. | SLA 99,5% en heures ouvrées minimum. Disponibilité effective documentée et auditable. Pénalités contractuelles automatiques et significatives. Page de statut publique avec historique des incidents. |
| C14 — Qualité et pertinence des réponses | 4% | Quels benchmarks standardisés votre modèle a-t-il passés et avec quels scores ? Le modèle a-t-il été évalué sur des corpus francophones professionnels ? Proposez-vous un POC pour évaluer les performances sur mes cas d'usage spécifiques ? | Aucune évaluation objective disponible. Modèle non testé sur des corpus francophones. Refus de réaliser un POC d'évaluation. | Scores de benchmarks standardisés publiés. Évaluations sur des corpus francophones professionnels. POC proposé avec vos données et vos critères de succès définis à l'avance. |
| C15 — Transparence sur le modèle | 3% | Le modèle est-il open source (poids accessibles) ? Sur quelles données a-t-il été entraîné ? Des données personnelles ou confidentielles ont-elles été utilisées ? Y a-t-il une documentation technique du modèle disponible ? | Aucune information sur les données d'entraînement. Modèle entièrement opaque sans possibilité d'audit. Utilisation documentée de données personnelles sans consentement. | Documentation technique du modèle disponible (architecture, données d'entraînement, métriques). Idéalement modèle open source ou auditée par un tiers. Aucune donnée personnelle identifiable dans les données d'entraînement. |
| C16 — Capacité de fine-tuning et personnalisation | 2% | Proposez-vous la possibilité de fine-tuner le modèle sur nos données ? Si oui, nos données de fine-tuning restent-elles propriété exclusive et ne sont pas utilisées pour entraîner d'autres modèles ? Quel est le processus de déploiement d'une version fine-tunée ? | Données de fine-tuning utilisées pour améliorer les modèles du fournisseur sans accord. Modèle fine-tuné non déployable sans le fournisseur (lock-in complet). | Fine-tuning disponible avec isolation complète des données. Modèle fine-tuné déployable sur votre infrastructure. Propriété intellectuelle du modèle fine-tuné clairement définie dans le contrat. |
| C17 — Scalabilité et gestion de la charge | 3% | Comment gérez-vous les pics de charge ? Quelle est votre capacité maximale en requêtes simultanées ? Y a-t-il du rate limiting ? Comment évoluent les performances avec l'augmentation du volume ? | Dégradation sévère des performances lors des pics. Rate limiting strict sans possibilité de négociation. Aucune capacité de scalabilité documentée. | Architecture auto-scalante avec garantie de performance en charge. SLA maintenu jusqu'à N fois le volume nominal. Rate limiting négociable et prévisible. Tests de charge récents disponibles. |
Catégorie 4 — Aspects commerciaux (20 points maximum)
| Critère | Poids | Questions à poser | Réponses rédhibitoires | Bonnes pratiques |
|---|---|---|---|---|
| C18 — Transparence et prévisibilité du prix | 4% | Quelle est votre grille tarifaire complète (tous frais inclus) ? Existent-il des coûts variables difficiles à anticiper ? Y a-t-il des frais d'installation, de formation ou de migration ? Le prix peut-il évoluer en cours de contrat ? | Tarification opaque ou entièrement sur devis sans grille de référence. Clauses autorisant des augmentations tarifaires significatives en cours de contrat. Nombreux frais cachés découverts à l'usage. | Grille tarifaire publique ou sur demande immédiate. Prix fixe ou formule d'indexation clairement définie. Tous les coûts potentiels documentés à l'avance. Simulation TCO 3 ans fournie. |
| C19 — Réversibilité et portabilité | 4% | Dans quel format puis-je exporter mes données (historiques de conversations, bases RAG, modèles fine-tunés) ? Quel est le délai de mise à disposition des données en cas de résiliation ? Proposez-vous une assistance à la migration vers un autre fournisseur ? | Données exportables dans un format propriétaire non standard. Délai d'export supérieur à 30 jours. Aucune assistance à la migration possible. Frais de résiliation dissuasifs. | Export dans des formats ouverts et standards (JSON, CSV, GGUF pour les modèles). Mise à disposition sous 10 jours après résiliation. Assistance à la migration incluse ou disponible à coût raisonnable. Préavis de résiliation raisonnable (1 à 3 mois). |
| C20 — Support et assistance | 3% | Le support est-il disponible en français ? Quels sont les horaires et les canaux de support ? Y a-t-il un account manager dédié ? Quelle est la procédure pour les incidents critiques hors horaires de bureau ? | Support uniquement en anglais. Support par email uniquement avec délai de réponse non garanti. Aucun point de contact dédié pour les incidents critiques. | Support en français, en heures ouvrées françaises minimum. Account manager dédié pour les comptes enterprise. Hotline d'urgence pour les incidents P1 (24/7 pour les contrats critiques). SLA de support contractualisé. |
| C21 — Références sectorielles vérifiables | 2% | Avez-vous des clients dans mon secteur d'activité ? Pouvez-vous me fournir 2 à 3 références clients contactables ? Quels cas d'usage similaires avez-vous déployés avec succès ? | Aucune référence client vérifiable. Références uniquement dans des secteurs très éloignés du vôtre. Refus de mettre en contact avec des clients existants. | Références clients dans votre secteur ou des secteurs proches. Clients contactables qui témoignent positivement. Études de cas documentées avec résultats mesurables. |
| C22 — Solidité financière et pérennité | 3% | Quelle est l'ancienneté de votre société ? Pouvez-vous partager vos derniers comptes annuels ou indicateurs financiers ? Avez-vous réalisé des levées de fonds ? Quelle est votre runway (durée avant prochaine levée nécessaire) ? | Société créée depuis moins d'un an avec finances non documentées. Startup sans financement confirmé et runway inférieur à 18 mois. Refus de tout partage d'information financière. | Société établie avec historique financier disponible. Levées de fonds documentées ou autofinancement solide. Indicateurs de croissance positifs. Existence d'un plan de continuité si changement de situation. |
| C23 — Roadmap produit transparente | 2% | Quelle est votre roadmap produit pour les 12 à 24 prochains mois ? Comment intégrez-vous les retours clients dans votre roadmap ? Y a-t-il des évolutions réglementaires (AI Act, RGPD) prévues dans votre roadmap ? | Aucune roadmap communiquée même sous NDA. Roadmap entièrement pilotée sans consultation clients. Évolutions réglementaires non prises en compte. | Roadmap partagée sous NDA avec vision à 24 mois. Processus de remontée et de priorisation des demandes clients. Comité consultatif clients ou advisory board. Conformité réglementaire proactive dans la roadmap. |
| C24 — Conformité AI Act (fournisseur) | 1% | Avez-vous réalisé une classification AI Act de vos systèmes ? Disposez-vous d'une documentation technique conforme ? Comment m'aidez-vous dans ma propre conformité AI Act en tant que déployeur ? | Méconnaissance de l'AI Act et de ses implications pour leur solution. Absence de tout document de conformité. Refus d'aider le client dans sa propre conformité. | Documentation AI Act complète disponible. Support actif à la conformité du client déployeur. Feuille de route de certification documentée. |
| C25 — Droit d'audit contractualisé | 1% | Le contrat inclut-il un droit d'audit permettant à mon organisation (ou un tiers mandaté) d'auditer votre conformité ? Quelles sont les modalités pratiques (préavis, périmètre, fréquence) ? | Refus catégorique du droit d'audit. Droit d'audit purement théorique avec des conditions pratiques rendant l'exercice impossible. | Droit d'audit annuel contractualisé avec préavis raisonnable (30 à 60 jours). Périmètre d'audit clairement défini. Alternative : fourniture d'un rapport SOC 2 Type II récent par un auditeur indépendant. |
Scoring et interprétation du score final
Grille de notation par critère
| Note | Signification |
|---|---|
| 0 — Rédhibitoire | Critère non satisfait et constituant un motif de disqualification immédiate. Stop à l'évaluation sur ce critère. |
| 1 — Insuffisant | Critère partiellement satisfait avec des lacunes importantes. Des engagements clairs sur l'amélioration sont requis. |
| 2 — Acceptable | Critère satisfait au minimum. Des améliorations sont souhaitables mais le risque est maîtrisable. |
| 3 — Bon | Critère bien satisfait, au-dessus de la moyenne du marché. Peu de risques résiduels. |
| 4 — Excellent | Critère très bien satisfait, niveau best-in-class. Constitue un point fort différenciant. |
Interprétation du score final (/100)
| Score | Recommandation | Conditions |
|---|---|---|
| Moins de 50 | Disqualifié | Ne pas sélectionner pour des données sensibles. Des risques réglementaires et opérationnels majeurs subsistent. |
| 50 à 69 | À risque — négociation requise | Acceptable uniquement pour des données non sensibles. Négocier des améliorations contractuelles avant de finaliser. |
| 70 à 84 | Qualifié — conditions standard | Fournisseur compétent pouvant être sélectionné. Documenter les risques résiduels et les mesures compensatoires. |
| 85 à 100 | Excellent — recommandé | Fournisseur de confiance avec un niveau de souveraineté et de sécurité élevé. Recommandé pour les données sensibles. |
Règle absolue : les critères rédhibitoires
Quelle que soit la note globale, un fournisseur ayant reçu une note « 0 — Rédhibitoire » sur l'un des critères C1 à C5 (souveraineté juridique) NE DOIT PAS être sélectionné pour des données confidentielles ou à caractère personnel. La souveraineté juridique ne peut pas être compensée par d'excellents scores techniques ou commerciaux.
Ce qu'il faut retenir
- Les critères de souveraineté juridique (35%) sont les plus discriminants : concentrez-vous d'abord sur C1 à C5
- Un fournisseur sans ISO 27001 valide pour un usage avec des données sensibles est à exclure d'emblée
- Demandez toujours la liste complète des sous-traitants et vérifiez leur localisation
- La réversibilité (C19) est souvent négligée lors de la sélection — et très coûteuse à récupérer après signature
- Appliquez cette grille lors de l'appel d'offres ET lors des revues annuelles de vos fournisseurs en place
Appliquez cette grille à Intelligence Privée
Nos équipes répondent à chaque critère de cette grille avec des preuves documentaires : certificats, rapports d'audit, contrats types, références clients. Demandez notre dossier de qualification complet.
Demander notre dossier de qualification →