Gouvernance de l'IA

Une IA qui survit à la revue de conformité

Chaque système d'IA que nous livrons arrive avec la documentation et l'ingénierie que demandent le juridique, la sécurité et les représentants du personnel : quel modèle tourne où, qui l'a vérifié, que se passe-t-il quand il se trompe, et comment en sortir. Cette page décrit comment nous gouvernons l'IA dans les systèmes de nos clients, avec la même profondeur que nous mettons à les construire.

Comment nous gouvernons l'IA dans les systèmes clients

Chaque système d'IA que nous livrons s'accompagne des documents liés au règlement européen sur l'IA et de l'ingénierie qui les justifie. Nous classifions chaque cas d'usage lors du cadrage, gardons un humain dans la boucle là où les décisions comptent, journalisons chaque décision automatisée pour qu'elle soit vérifiable et n'entraînons aucun modèle public sur vos données. L'hébergement reste dans la région que vous exigez, exclusivement dans l'UE si vous le demandez, et vous êtes propriétaire du code et des données dès le premier commit. Le résultat est un système que le juridique, la sécurité, le comité social et les achats peuvent chacun valider, gouverné avec la même rigueur que celle avec laquelle nous le construisons.

  • Classification des cas d'usage selon le règlement européen sur l'IA et la documentation technique associée
  • L'humain garde le contrôle : chaque décision automatisée est annulable et journalisée
  • Vos données n'entraînent aucun modèle public ou partagé, hébergement exclusivement dans l'UE sur demande
  • Vous êtes propriétaire du code et des données dès le premier jour, avec une sortie documentée

Quatre engagements

L'humain garde la main

Chaque chemin de décision automatisé a un point de supervision humaine défini. Les agents agissent dans des limites explicites et passent la main quand la confiance baisse ou que l'enjeu monte.

Vos données n'entraînent rien

Nous configurons les fournisseurs avec des accords de non-entraînement et le documentons. Les données client ne servent pas à entraîner les modèles de fondation, par contrat et par configuration.

Des preuves, pas des affirmations

La qualité se mesure avec des jeux d'évaluation et des critères d'acceptation convenus avant la mise en production, pas avec des démos. Ce que nous ne pouvons pas mesurer, nous le disons.

La sortie fait partie du design

Les choix de modèles et de fournisseurs sont documentés et remplaçables. Vous recevez les prompts, les données d'évaluation et les runbooks. Nous quitter doit être possible sans perdre le système.

Le parcours d'une requête IA gouvernée

Chaque requête suit le même chemin audité : sources approuvées, récupération respectueuse des permissions, étape de modèle encadrée, validation humaine et journal d'audit.

Approved sources
Permission-aware retrieval
Model / agent (bounded tools)
Human approval
Audit log
Garde-fous et retours à chaque étape

Des garde-fous et des retours encadrent chaque étape. Les actions à conséquence attendent une validation humaine avant tout engagement.

Notre position sur l'EU AI Act

D'après notre évaluation à ce jour, les systèmes que nous construisons typiquement (automatisation interne, retrieval, assistants avec divulgation) relèvent des catégories de risque minimal ou limité de l'EU AI Act ; nous classons chaque cas d'usage individuellement lors du cadrage. Quand un cas d'usage touche une catégorie à haut risque, nous le disons dès la proposition et concevons les contrôles requis : gestion des risques, journalisation, supervision humaine, documentation technique. En tant que partenaire de développement, nous vous accompagnons dans vos obligations de déployeur et documentons tout ce qu'il faut pour votre propre évaluation. Nous ne vendons pas de certification ; nous livrons le socle technique qui rend votre travail de conformité possible.

Qui valide, et ce que chacun obtient

Un système d'IA passe par plusieurs validateurs avant la mise en production. Nous donnons à chacun les preuves que son rôle exige.

Juridique et protection des données (DPO)

Vous devez confirmer la position au regard du RGPD et du règlement européen sur l'IA avant que le système traite de vraies données.

Une classification des risques par cas d'usage, un registre des traitements, un AVV et des mesures techniques et organisationnelles sur demande, et un hébergement exclusivement dans l'UE là où vous en avez besoin.

Examiner la confiance et le traitement des données

Sécurité et informatique

Vous devez savoir quel modèle et quel fournisseur traitent chaque requête et où les données se trouvent physiquement.

Un registre des modèles et des fournisseurs, un hébergement UE sur Render à Francfort, une liste nommée des sous-traitants et des journaux pour chaque décision automatisée.

Voir la posture de sécurité

Comité social et économique

Vous devez confirmer que le système ne décide pas au sujet des salariés sans humain et reste transparent.

Une supervision humaine sur les décisions qui concernent des personnes, une journalisation complète et vérifiable, et aucune action automatisée mise en production sans humain dans la boucle là où cela compte.

Lire comment nous gouvernons l'IA

Achats

Vous devez homologuer un nouveau fournisseur et confirmer le prix, la propriété et la sortie avant tout engagement de budget.

Une GmbH allemande avec un Impressum complet, des engagements à prix fixe à partir de 25k EUR, le code dans vos propres dépôts et un transfert documenté.

Voir les conditions de collaboration

Une ingénierie publique que vous pouvez inspecter

En production sur ce site

En direct

L’assistant de ce site est un système agentique utilisant des outils, que nous avons construit et exploitons en production, pas une démo derrière un identifiant.

Vendure Data Hub

Open source

Un plugin commerce Vendure que nous avons construit et publié, public sur GitHub. Deux de nos onze bundles développés sont publics.

Voir sur GitHub

Pimcore Asset Pilot

Open source

Un bundle d’assets Pimcore que nous avons construit et publié, public sur GitHub et inspectable de bout en bout.

Voir sur GitHub

Le registre des modèles et des fournisseurs

Chaque projet tient un registre vivant, livré avec la documentation :

Modèle et version

Quel modèle tourne, avec versions épinglées et journal des changements à chaque montée de version.

Fournisseur et région

Où l'inférence a lieu, sous quel contrat, dans quelle juridiction.

Finalité dans le système

Ce que le modèle a le droit de faire dans le système, et ce qu'il n'a pas le droit de faire.

Classes de données

Quelles catégories de données atteignent le modèle, alignées sur votre documentation de confidentialité.

Statut de non-entraînement

Le réglage contractuel et technique qui garde vos données hors de l'entraînement.

Comportement de repli

Ce que fait le système quand le modèle échoue, expire ou répond n'importe quoi.

Ce que nous faisons de vos données, et ce que nous ne faisons jamais

La gouvernance inspire plus facilement confiance quand elle est précise. Voici la ligne que nous tenons sur vos données.

Ce que nous faisons

  • Conserver vos données dans la région que vous exigez, y compris un hébergement exclusivement en EU
  • Ne transmettre à un modèle que le contexte dont une tâche a besoin, rien de plus
  • Journaliser chaque décision automatisée afin qu'elle puisse être examinée et expliquée
  • Permettre à un humain de remplacer ou d'arrêter toute action automatisée
  • Supprimer les données selon le calendrier convenu et démontrer que cela a eu lieu

Ce que nous ne faisons jamais

  • Entraîner des modèles publics ou partagés avec vos données
  • Transmettre des données personnelles à un tiers sans votre consentement
  • Mettre une décision IA en production sans contrôle humain là où cela compte
  • Masquer quel modèle ou quel fournisseur a traité une requête
  • Vous laisser sans porte de sortie : le système et ses données restent les vôtres

La gouvernance sur tout le cycle de vie

01

Cadrage et classification du risque

Avant de construire : ce que le système décide, qui est concerné, à quoi ressemble la pire défaillance crédible, et quelle catégorie de l'EU AI Act s'applique.

02

Cartographie des données

Quelles données atteignent quel modèle sous quel contrat. Alignée avec votre DPO et votre documentation de confidentialité avant le premier token.

03

Évaluation et acceptation

Un jeu d'évaluation et des critères d'acceptation convenus avec vous. Le système part en production quand il les passe, et les chiffres rejoignent la documentation de remise.

04

Conception de la supervision humaine

Files de revue définies, seuils de confiance et chemins d'escalade. Ceux qui supervisent le système reçoivent des outils, pas seulement la responsabilité.

05

Versionnage et gestion des changements

Les montées de version des modèles sont des changements, pas des surprises : testées contre le jeu d'évaluation, consignées au registre, réversibles.

06

Gestion des incidents

Sévérités définies, un interrupteur d'arrêt ou un chemin de dégradation, et un post-mortem honnête. Les incidents d'IA sont traités comme des incidents de production, parce que c'en est.

Quatre engagements

  • L'humain garde la main
  • Vos données n'entraînent rien
  • Des preuves, pas des affirmations
  • La sortie fait partie du design
Parler à un ingénieur

Les normes et pratiques que nous suivons

Nous n'inventons pas la gouvernance de zéro. Nous nous alignons sur les cadres que vos auditeurs connaissent déjà.

GDPR

La minimisation des données, la limitation des finalités et le droit à l'effacement sont conçus dans le système plutôt qu'ajoutés après coup. Le traitement reste documenté et licite.

EU AI Act

Nous classons chaque usage de l'IA par niveau de risque et appliquons la transparence, la supervision et la documentation qu'exige ce niveau, afin que vous soyez prêt à mesure que les règles entrent en vigueur.

OWASP LLM Top 10

L'injection de prompt, la fuite de données et le traitement non sécurisé des sorties sont des menaces contre lesquelles nous concevons, avec la même rigueur que pour tout autre travail de sécurité applicative.

Résidence des données

Un hébergement dans la région EU et, là où vous en avez besoin, un déploiement sur site ou en cloud privé, afin que vos données restent là où votre politique l'impose.

Les questions que posent les équipes juridiques et sécurité

Pouvez-vous exécuter les modèles uniquement dans l'UE ?

Oui. Nous choisissons par défaut des régions UE quand le fournisseur les propose et documentons la région par modèle dans le registre. Quand une capacité n'existe qu'en dehors de l'UE, nous le signalons et vous décidez.

Qu'advient-il de nos prompts et de nos sorties ?

Ils sont traités pour faire tourner le système et journalisés pour l'exploitation et l'audit, selon vos règles de rétention. Selon les conditions fournisseur que nous contractons et les configurations que nous documentons au registre, ils ne servent pas à entraîner les modèles de fondation. La journalisation est documentée pour que votre DPO puisse la vérifier.

Qui est responsable quand l'IA se trompe ?

Le système est conçu pour que les décisions à conséquence passent un point de supervision humaine. Le contrat définit précisément les responsabilités ; l'architecture rend la réponse auditable, et le journal de décision montre ce qui s'est passé.

Pouvons-nous auditer le système ?

Oui. La documentation comprend le registre, les résultats d'évaluation, les flux de données et les runbooks. Nous soutenons les audits au lieu de les craindre ; le système est construit pour être expliqué.

Et si un fournisseur change ses conditions ou ferme ?

Les choix de fournisseurs sont documentés et la couche d'intégration garde les modèles remplaçables. Le comportement de repli fait partie du design, et le registre nomme les alternatives que nous avons validées.

Explorer la stack IA

IA en production
IA d'entreprise
Systèmes RAG
Frameworks agentiques

Niveaux d'engagement

Oronts travaille avec des équipes sérieuses qui ont besoin d'une livraison senior, pas d'externalisation low-cost.

Pilote de production
à partir de 25k EUR
Projets logiciels et IA sur mesure
à partir de 50k EUR
Retainers techniques continus
à partir de 15k EUR/mois

Le prix exact dépend du périmètre, des responsabilités, de la vitesse de livraison, de la taille d'équipe, des intégrations, des attentes de support et du risque de production.

Cadrer le pilote de 90 jours

Avec qui vous travaillez

HRB 288224
Immatriculée à Munich
15+
Ans, dirigée par le fondateur
DE · EN · AR
Langues de travail
2
Open source sur GitHub
EU
Résidence des données, Francfort
AVV/DPA
Prêt à signer, art. 28

Apportez vos questions de gouvernance

Le test le plus rapide : apportez les questions que votre équipe juridique ou sécurité a déjà posées. Nous y répondons concrètement, sur votre cas.