← Toutes nos expertises
Expertise · Conformité RGPD et AI Act

Déployer une IA vraiment conforme.

Architecturer vos déploiements IA pour respecter le RGPD, l'AI Act et vos obligations sectorielles. Du choix du modèle à la gouvernance des données, en passant par la traçabilité des décisions.

0
Donnée hors UE (sur demande)
100%
Décisions auditables
6-8 sem.
Cartographie + audit
Le problème

Ce qui coince.

Le RGPD a 8 ans, l'AI Act entre en application le 2 août 2026, et la plupart des entreprises naviguent à vue. Les juristes lisent encore le texte, les CTO déploient sans cadre, et les solutions «conformes» du marché sont souvent du marketing. Pour les ETI régulées (santé, finance, public, RH), c'est un risque opérationnel majeur. Voici les blocages qu'on rencontre.

  • 01

    L'AI Act arrive et personne ne sait ce qu'il s'applique vraiment

    Application des obligations majeures au 2 août 2026 sur les systèmes haut risque (Article 15 et suivants). La plupart des entreprises ne savent pas si elles sont concernées, ni à quel niveau d'exigence. Les premiers contrôles arriveront vite, avec des sanctions calquées sur le RGPD.

  • 02

    Les outils IA SaaS écrasent vos exigences RGPD

    OpenAI, Anthropic, Microsoft Copilot, Google Gemini ont des conditions de traitement des données opaques ou évolutives. Pour les ETI régulées (santé, finance, RH, secteur public), ça ne passe pas. Et le contrat Enterprise n'est souvent pas suffisant non plus.

  • 03

    Personne ne sait tracer une décision IA

    Audit interne, contrôle CNIL, recours utilisateur RGPD. Quand on vous demande «pourquoi votre IA a refusé ce dossier ?», il faut pouvoir répondre. La plupart des architectures déployées aujourd'hui ne le permettent pas. Logs absents, prompts non historisés, sources RAG non citées.

  • 04

    Le DPO et le CTO ne se parlent pas

    Le DPO valide ou bloque sans pouvoir évaluer techniquement. Le CTO déploie sans visibilité sur les exigences. Les projets IA sont retardés, freinés ou écartés faute de cadre opérationnel commun. Personne n'est de mauvaise foi, le pont n'existe juste pas.

  • 05

    Les solutions clés en main «compliantes» sont du marketing

    «RGPD-friendly» sans preuve, «AI Act ready» sans référentiel. Le mot conformité est devenu un argument commercial vidé de contenu. Au moindre audit, les promesses tombent. Vous restez le responsable du traitement, pas votre fournisseur.

Notre approche

Comment on fait.

La conformité IA n'est pas un cahier des charges juridique parachuté sur un projet technique. C'est une dimension qui se construit dès l'architecture et qui s'instrumente en continu. Voici notre cadre.

Cartographie réglementaire au démarrage

On identifie quels frameworks vous concernent (RGPD, AI Act, sectoriel : DORA, NIS2, MDR santé, MIFID II finance). On classifie vos use cases IA selon le risque AI Act (inacceptable, haut, limité, minimal). Le niveau d'exigence en découle.

Architecture orientée souveraineté

Le choix d'hébergement n'est pas neutre. LLM local sur GPU on-premise pour les use cases sensibles. Cloud de confiance SecNumCloud (OVH Bleu, S3NS) pour les ETI exigeantes. Cloud public avec data residency UE pour les cas standards. Choix instruit par cas d'usage, pas par défaut.

Traçabilité native des décisions IA

Chaque inférence est journalisée avec son contexte complet : modèle, version, prompt, sources RAG citées, métadonnées utilisateur. Audit possible à tout moment, recours RGPD facile, documentation Article 15 quasi-prête.

Gouvernance hybride DPO et CTO

On construit avec votre DPO et votre CTO un cadre opérationnel commun. Checklist projet IA, matrice de risque, processus de validation par phase. Plus de blocage faute de référentiel partagé, plus de déploiement sauvage faute de visibilité.

Eval set qui inclut la conformité

Pas juste précision et hallucination. On mesure aussi le respect des règles métier, l'absence de biais sur les classes protégées (genre, âge, origine si applicable), le refus correct sur les sujets hors périmètre. La conformité est une métrique, pas une intention.

Documentation Article 15 livrée

Pour les systèmes haut risque selon AI Act, on fournit la documentation technique (description du système, données d'entraînement, méthodologie d'éval, gestion des risques, instructions d'utilisation) prête pour audit. Pas une PDF de 2 pages, un dossier qui passe en cas de contrôle.

Cas concret

Vu en mission.

Sur Peps Digital, le chatbot RAG tourne sur des données santé, secteur ultra-sensible RGPD et bientôt MDR. Le projet a été conçu dès le départ avec les contraintes intégrées : architecture sans transfert hors UE, traçabilité des sources sur chaque réponse, escalade humaine par défaut sur les cas sensibles. C'est le niveau d'exigence qu'on porte sur tous nos projets.

Logo Peps Digital
Peps Digital  ·  SaaS · Santé (PSDM)

80% du support client digitalisé

Un chatbot IA en RAG intégré à la plateforme Peps Digital, qui répond aux questions des PSDM directement depuis l'interface, 24h/24.

Lire l'étude de cas
Méthodologie

Notre process.

01

Cartographie réglementaire

On identifie les frameworks applicables à votre secteur, on classifie vos use cases IA selon le risque AI Act, on liste les obligations RGPD spécifiques. Vous repartez avec une carte exploitable du paysage réglementaire qui vous concerne, indépendamment du projet IA.

02

Audit de l'existant

On regarde vos déploiements IA en place (chatbots, copilotes internes, agents), on identifie les écarts par rapport aux frameworks. Vous avez une vision claire des risques actuels (juridiques et opérationnels) et des actions priorisées.

03

Architecture cible et référentiel

Selon vos contraintes, on définit l'architecture (modèles, hébergement, traçabilité, gouvernance). On vous fournit un référentiel technique et un schéma d'architecture validable par DPO et juridique. C'est le document qui survit aux changements d'équipe.

04

Mise en oeuvre et formation

On déploie le cadre sur un projet pilote et on forme vos équipes. DPO, CTO, équipes produit, équipes data : chacun a son guide d'application. L'objectif : que vous puissiez opérer sans nous au bout de la mission.

FAQ

Questions fréquentes.

Une question avant d'aller plus loin ? On est joignables directement.

  • 01L'AI Act, ça s'applique vraiment à nous ?

    Si vous déployez de l'IA en interne ou dans un produit accessible en UE, oui. Le niveau d'exigence dépend de la classification (inacceptable, haut, limité, minimal). La cartographie réglementaire en début de mission tranche cette question pour chacun de vos use cases.

  • 02RGPD et entraînement de modèle, comment on s'en sort ?

    Si vous fine-tunez un modèle sur des données personnelles, vous devez documenter la base légale, l'information des personnes, la finalité, et permettre l'effacement. Pour les LLMs, ça implique souvent des couches de pseudonymisation et un eval set sans données réelles. C'est gérable mais ça se conçoit dès le départ.

  • 03SecNumCloud, ça vaut le coût pour notre boîte ?

    Pour les services publics, opérateurs d'importance vitale et secteurs régulés (santé, finance), oui. Pour la PME standard, le cloud public avec data residency UE est souvent suffisant. La cartographie réglementaire en début de mission tranche cette question.

  • 04Comment on prouve qu'une IA n'est pas biaisée ?

    Eval set qui inclut des cas de biais (équilibre par classe protégée, dans le respect du RGPD). Mesure de l'écart de performance par classe. Documentation des arbitrages. Si la donnée d'entraînement vient d'un fournisseur, on demande la fiche technique. Pas de magie, du process.

  • 05On utilise OpenAI, est-ce que c'est conforme ?

    Ça dépend du contrat (Enterprise vs API standard) et de l'usage. OpenAI propose un Data Processing Agreement, une option Zero Data Retention, et la résidence UE en option payante. C'est suffisant pour beaucoup de cas, pas pour tous. On vous aide à arbitrer en regardant vos contraintes réelles.

  • 06Combien de temps pour un projet de mise en conformité ?

    Pour une cartographie + audit + architecture cible, compter 6 à 8 semaines. Pour la mise en oeuvre complète sur un déploiement IA existant, 12 à 20 semaines selon la complexité technique et l'étendue du parc.

  • 07Vous remplacez notre cabinet juridique ?

    Non. On travaille avec votre DPO et vos juristes, on apporte la dimension technique et opérationnelle. La validation juridique reste de leur ressort. Notre rôle, c'est de leur fournir une lecture technique exploitable et un cadre concret à valider.

À lire aussi
Analyse sécurité

Sécurité des agents IA : la surface d'attaque réelle en 2026

Prompt injection, tool poisoning, exfiltration silencieuse, empoisonnement RAG. Ce qui peut casser un agent IA en production aujourd'hui, et le cadre de défense par couches qu'on applique en mission.

Guide d'achat

LLM local en 2026 : quel modèle open-source choisir pour votre entreprise

Mistral, Llama, Qwen, DeepSeek, Gemma : le paysage des LLMs locaux est riche, mais complexe à naviguer. Notre guide d'achat pragmatique pour les entreprises qui veulent déployer un LLM sur leur infra.

Point de vue

Note-taker souverain : pourquoi les grandes entreprises veulent du 100% local

Les grandes entreprises refusent les note-takers SaaS grand public, qui envoient leurs données sensibles à des LLMs publics. On leur construit des alternatives 100% locales, sur mesure.

Nos autres expertises
Expertise · Support client

Automatiser votre support client.

Expertise · RAG sur documents internes

Brancher l'IA à votre doc.

Expertise · Agent commercial

Industrialiser votre prospection.

Let's build together

Prêt à tout
automatiser ?

On écoute. On analyse. On construit. Avec vous.

Réserver un créneau
contact@gettiaconsulting.com+33 6 12 85 14 54