Comment les agences fédérales achètent l’IA pour écrire du code - et pourquoi les contrats changent tout
En 2025, les développeurs du gouvernement américain ne rédigent plus tous leurs lignes de code eux-mêmes. Ils les demandent. Pas à un collègue. Pas à un consultant externe. Mais à une machine. Une IA qui génère du code, corrige des erreurs, et même rédige des clauses de contrat. C’est ce qu’on appelle l’AI Coding as a Service - ou IA pour l’écriture de code. Et cette technologie n’est plus un test pilote. Elle est dans les contrats fédéraux. Avec des règles strictes. Des pénalités. Et des exigences que même les grandes entreprises privées n’ont pas.
Le 5 août 2025, la GSA a ajouté OpenAI, Google et Anthropic à son programme d’approvisionnement public. Soudain, des agences comme le Département de la Défense, la Sécurité sociale ou l’IRS ont pu acheter des outils d’IA pour coder, sans passer par des appels d’offres de 18 mois. Mais ce n’était pas une simple commande. C’était un changement de paradigme. Parce que dans le secteur public, un simple bug dans le code peut bloquer un paiement de prestations. Ou compromettre des données sensibles. Alors les contrats ne parlent plus seulement de prix. Ils parlent de précision, de sécurité, et de fiabilité.
Les SLAs qui font la différence - pas comme chez Amazon ou GitHub
Si vous utilisez GitHub Copilot en tant qu’individu, vous payez 10 $ par mois. Pas de contrat. Pas de SLA. Pas de pénalité si l’IA génère du code qui ne compile pas. Mais dans le gouvernement fédéral, les SLAs sont des armes juridiques. Voici ce que vous trouvez dans un contrat d’IA pour le codage :
- Précision du code : au moins 92 % de précision vérifiée par un tiers. Pas « environ 90 % ». 92 %. Si l’IA fait une erreur dans 9 % des cas, le fournisseur perd de l’argent.
- Latence : 95 % des requêtes doivent répondre en moins de 2,5 secondes. Si un développeur attend plus longtemps, le contrat est en défaut.
- Disponibilité : 99,85 % d’uptime. Une panne de 10 minutes par mois ? C’est 0,5 % du montant mensuel du contrat qui est retenu.
- Chiffrement : tout le code généré doit être chiffré en transit et au repos. Même les fragments temporaires.
Et ce n’est pas tout. Les fournisseurs doivent faire des tests de pénétration chaque trimestre par un organisme accrédité. Pas une fois par an. Pas à la demande. Chaque trimestre. Sans exception.
Les différences entre l’IA commerciale et l’IA gouvernementale
Vous pensez que CodeWhisperer d’Amazon et l’outil du Département de la Défense sont pareils ? Ils ne le sont pas. Voici ce que vous ne verrez jamais dans un contrat privé :
| Caractéristique | Offre commerciale (ex. GitHub Copilot) | Contrat gouvernemental (GSA SIN 54151-9) |
|---|---|---|
| Prix par utilisateur | 10 $/mois | Fixe ou temps et matériaux, négocié |
| Conformité FedRAMP | 63 % | 100 % obligatoire |
| Mise à jour logicielle | 1,7 mois en moyenne | 4,2 mois en moyenne |
| Intégration avec Code.gov | Non | Obligatoire |
| Formation sur les normes fédérales | Non | Exigée - ex. NASA-STD-8739.8 |
| Temps de déploiement | 28 jours | 117 jours en moyenne |
Les agences fédérales acceptent des délais plus longs, des mises à jour plus lentes, et des prix plus élevés - parce qu’elles achètent de la sécurité, pas de la vitesse. Un outil commercial peut générer du code plus vite. Mais il ne sait pas ce qu’est une clause FAR 52.227-17. Ni pourquoi le code d’un système de paiement des prestations doit être audité par trois niveaux de contrôle. L’IA gouvernementale, elle, a été entraînée sur ces règles.
Les pièges que les fournisseurs tombent - et pourquoi les agences échouent
Le rapport du Government Accountability Office de septembre 2025 l’a dit clairement : 43 % des premiers déploiements d’IA pour le codage ont échoué à intégrer les systèmes existants. Pourquoi ? Parce que les fournisseurs ont utilisé des jeux de données basés sur du code open-source ou des applications privées. Pas sur du code du gouvernement.
Un agent de la NASA a rapporté que 38 % des suggestions d’IA ignoraient les normes de sécurité logicielle NASA-STD-8739.8. L’IRS a dû passer trois mois à « réentraîner » l’IA sur ses propres modèles de clauses fiscales. Le problème ? L’IA ne comprend pas le contexte. Elle ne sait pas que « contrat de 10 millions de dollars » signifie une exigence de conformité différente de « application web interne ».
Et puis il y a les hallucinations. Oui, l’IA invente du code. Parfois, elle crée des fonctions qui n’existent pas. Ou des bibliothèques qui ne sont pas autorisées. Un agent du Département des anciens combattants a vu 15 % des suggestions d’IA mal appliquer des clauses FAR. Résultat ? Des contrats rejetés. Des audits retardés. Des coûts cachés.
Comment démarrer - étape par étape
Si vous êtes un responsable de l’approvisionnement dans une agence fédérale, voici ce que vous devez faire :
- Consultez le AI Contracting Playbook mis à jour par la GSA le 30 novembre 2025. Il explique comment évaluer les offres.
- Utilisez l’AI Vendor Assessment Toolkit - il exige que chaque fournisseur démontre une précision de 92 % sur 10 langages de programmation utilisés dans le gouvernement (Python, Java, C#, etc.).
- Exigez la conformité FedRAMP Moderate. Pas « en cours ». Pas « bientôt ». Maintenant.
- Exigez la capacité d’intégrer GitHub Enterprise, GitLab et Code.gov. Sans cela, vous ne pourrez pas suivre les versions.
- Demandez un plan de formation pour vos équipes. La GSA estime qu’il faut 8,2 semaines pour qu’un responsable d’achat comprenne les métriques d’IA.
- Exigez un support 24/7 avec une réponse en 15 minutes pour les incidents critiques. Et assurez-vous que les techniciens ont les certifications Security+ et AI-900.
Ne vous fiez pas à la vitesse de l’IA. Fiez-vous à ses métriques. À ses tests. À ses garanties.
Les tendances à venir - ce que vous devez prévoir pour 2026
Le gouvernement ne fait pas que consommer de l’IA. Il la standardise.
En avril 2026, la GSA publiera des modèles de SLA pour l’IA de codage. Pas des suggestions. Des documents obligatoires. Tous les contrats devront les utiliser.
En octobre 2026, tous les outils d’IA devront passer un test de biais. Pas seulement pour les décisions humaines. Pour les codes. Est-ce que l’IA génère plus de bugs dans les systèmes de santé ? Est-ce qu’elle évite les langages utilisés par les petites agences ? C’est ce qu’on va vérifier.
Et d’ici 2027, 78 % des agences fédérales centraliseront leurs achats d’IA via la GSA. Fini les contrats dispersés. Fini les comparaisons entre départements. Un seul canal. Un seul standard. Un seul contrat type.
Le marché passera de 3,2 milliards de dollars en 2025 à 5,8 milliards en 2027. Ce n’est pas une mode. C’est une révolution silencieuse. Le code du gouvernement ne sera plus écrit uniquement par des humains. Il sera co-créé. Et les contrats devront refléter cette nouvelle réalité.
FAQ
Quelle est la différence entre l’IA pour le codage dans le privé et dans le public ?
Dans le privé, l’IA est un outil pour gagner du temps. Dans le public, c’est un élément de contrat avec des exigences légales. Les agences fédérales exigent une précision minimale de 92 %, une conformité FedRAMP obligatoire, des tests de sécurité trimestriels, et une intégration avec les systèmes gouvernementaux comme Code.gov. Les entreprises privées n’ont pas ces obligations.
Pourquoi les contrats d’IA gouvernementaux prennent-ils plus de temps à mettre en œuvre ?
Parce qu’ils doivent intégrer des systèmes anciens, respecter des normes de sécurité strictes, et s’adapter à des langages de programmation spécifiques au gouvernement. Un outil commercial peut être déployé en 28 jours. Pour une agence fédérale, 117 jours est la moyenne - à cause des tests, des audits, et de la formation des équipes.
L’IA peut-elle générer du code qui viole la loi ?
Oui. Et c’est pour ça que les contrats exigent des tests de biais et de conformité. L’IA n’a pas de conscience juridique. Elle peut générer du code qui contient des failles de sécurité, ou qui ignore des clauses FAR. C’est pourquoi chaque sortie doit être vérifiée par un humain et mesurée selon des métriques précises.
Quels sont les fournisseurs les plus fiables pour les contrats gouvernementaux ?
OpenAI, Google et Anthropic sont les principaux fournisseurs agréés par la GSA depuis août 2025. Booz Allen Hamilton détient 22 % du marché grâce à ses contrats via le programme GSA Schedule 70. Les petites entreprises représentent 31 % des contrats, souvent en partenariat avec des grands acteurs. La fiabilité dépend de la capacité à respecter les exigences techniques et juridiques, pas de la taille.
Qu’est-ce que le M-25-22 et pourquoi est-il important ?
Le M-25-22 est un mémorandum de l’Office de la gestion et du budget qui définit les principes de sécurité, de gouvernance et de fiabilité pour les systèmes d’IA à fort impact. Il n’est pas obligatoire par la loi, mais 87 % des contrats fédéraux l’utilisent comme référence. Il exige des métriques claires sur la précision du code, la détection des biais, et la traçabilité des décisions de l’IA.
Prochaines étapes
Si vous êtes dans une agence qui commence à utiliser l’IA pour le codage, commencez par télécharger le AI Contracting Playbook de la GSA. Ensuite, identifiez un projet pilote - par exemple, automatiser la rédaction des clauses de contrat. Ne cherchez pas à tout remplacer. Cherchez à améliorer un processus lourd. Et surtout, formez vos équipes. L’IA ne remplace pas les experts. Elle les rend plus efficaces - à condition de bien la piloter.
Si vous êtes un fournisseur, ne vous contentez pas de vendre une API. Montrez des résultats concrets : combien de temps avez-vous économisé sur un projet réel ? Quelle est votre précision sur les normes fédérales ? Le gouvernement achète des preuves. Pas des promesses.
4 Commentaires
christophe rocher
C’est fou qu’on paie 10 balles par mois pour Copilot et que le gouvernement dépense des millions pour la même chose avec des SLA à la con. On dirait qu’ils achètent de la sécurité mais en réalité ils achètent de la lenteur et des paperasses. J’ai vu un gars à la CAF qui a perdu 3 semaines à attendre une mise à jour. L’IA était bonne mais le système l’était pas. Et on veut encore plus de normes ?
Paris Quito
Je trouve que cette approche est profondément intelligente. Le gouvernement ne cherche pas à être le plus rapide, mais le plus sûr. Et c’est une excellente priorité. Les erreurs dans les systèmes publics ont des conséquences réelles. Des familles qui ne reçoivent pas leur allocation. Des dossiers médicaux exposés. Ce n’est pas un simple bug technique. C’est un risque éthique. Et je suis content que les SLAs soient aussi stricts. C’est la responsabilité qui compte.
Deniel Brigitte
92 % de précision ? C’est pitoyable. Une IA digne de ce nom devrait atteindre 99,5 % sans effort. Et encore, on parle de code simple. Le vrai défi, c’est la compréhension contextuelle des clauses FAR. La plupart des fournisseurs n’ont même pas lu les documents de référence. Ils ont juste entraîné leur modèle sur du GitHub. Ce n’est pas de l’IA, c’est de la simulation de compétence. Et les agences tombent dedans comme des novices. Quelle tragédie technologique.
Bernard Holland
Vous avez bien noté que la latence doit être inférieure à 2,5 secondes ? Et que l’uptime est de 99,85 % ? Eh bien, vous avez oublié de mentionner que cela exige une architecture distribuée avec redondance multi-zones, des mécanismes de retry automatisés, et un monitoring en temps réel avec alertes par webhook vers des systèmes SIEM. Sans cela, c’est du vent. Et encore, même avec tout ça, les fournisseurs trichent en utilisant des jeux de données synthétiques pour les tests. La GSA devrait exiger des audits en live. Pas des rapports PDF.