La conformité dans le workflow,
pas après.
Chaque AI Workflow Design que nous greffons embarque un overlay de conformité : quatre contrôles qui accompagnent chaque cas d'usage, pour savoir dès le premier jour ce que vous pouvez faire, ce qui doit être signalé et ce qui doit être documenté. Voici ce qu'ils contiennent, en entier — sans alarmisme et sans barrière.
Dans la plupart des cas, vous utilisez l'IA, vous ne la construisez pas : vous êtes un déployeur. Les obligations sont réelles mais plus légères que celles de ceux qui vendent les systèmes — et c'est nous qui les cartographions.
Le niveau de risque
L'EU AI Act classe les usages de l'IA par niveau de risque. Nous plaçons chaque cas d'usage au bon niveau, pour que vous sachiez à l'avance quelles obligations s'appliquent vraiment — et lesquelles non.
-
Minimal et limité
Là où relève la plupart des workflows pour les PME : copilotes internes, génération de contenus, bots de support. Des obligations légères — surtout de transparence, comme indiquer que l'utilisateur parle avec une IA.
-
Haut risque — nous le signalons à part
Recrutement, évaluation du crédit, biométrie : ici s'appliquent les obligations lourdes du déployeur — supervision humaine assignée, données d'entrée pertinentes, conservation des logs, surveillance et signalement des incidents. Si un cas d'usage tombe dans cette catégorie, nous le mettons distinctement en évidence dans le catalogue, nous ne le cachons pas au milieu des autres.
Des simplifications dédiées sont prévues pour les PME (documentation technique allégée, canaux de consultation, bacs à sable réglementaires). Les échéances de l'AI Act sont une matière en mouvement : nous les relisons à chaque mission plutôt que d'imprimer une date qui demain pourrait ne plus valoir.
L'analyse d'impact (AIPD)
Le RGPD exige une analyse d'impact relative à la protection des données (AIPD) lorsque le traitement est « susceptible d'engendrer un risque élevé ». Nous vérifions si votre cas la déclenche avant de démarrer.
Décisions automatisées produisant des effets juridiques ou significatifs sur les personnes
Catégories particulières de données traitées à grande échelle
Surveillance systématique d'espaces accessibles au public
La partie que les modèles standards oublient
Une AIPD générique couvre la partie RGPD mais ignore les risques propres à l'IA : opacité du modèle, mémorisation des données d'entraînement, dérive dans le temps, le droit à l'effacement qui se heurte à un modèle déjà entraîné. Notre analyse comporte une section dédiée à ces points, pas seulement le boilerplate.
Des étiquettes de risque, pas de la prose
Chaque cas d'usage reçoit une étiquette structurée sur le modèle du MIT AI Risk Repository, au lieu d'un paragraphe discursif. Deux axes qui se combinent, pour que le risque devienne traçable et comparable d'un workflow à l'autre.
Comment naît le risque
Qui l'origine (une personne, l'IA, autre), s'il est intentionnel ou non, et s'il émerge avant ou après la mise en production.
De quel type de risque il s'agit
Discrimination, confidentialité et sécurité, désinformation, usage abusif, interaction homme-machine, impacts socioéconomiques, défaillances du système.
Un exemple concret
Les hallucinations d'un copilote de vente s'étiquettent comme un risque de désinformation, provenant de l'IA, non intentionnel, qui émerge après la mise en production — avec sa mesure de mitigation écrite à côté. Une étiquette citable à la place d'une phrase.
Le cadre réglementaire national italien
Au niveau européen s'ajoute le niveau national : le Garante Privacy (l'autorité italienne de protection des données) et les principes italiens en matière d'intelligence artificielle. C'est une matière qui évolue vite et l'activité de contrôle est réelle, pas théorique — donc nous la relisons à chaque mission plutôt que de la tenir pour acquise.
La supervision humaine reste partie intégrante du design
Le fil qui tient ensemble les quatre contrôles : aucun workflow que nous greffons ne prend de décisions à la place des personnes sans un point de contrôle humain. C'est ainsi que l'overlay cesse d'être un chapitre à part et devient partie intégrante de la façon dont le workflow est conçu.
L'overlay fait partie du design. Pas une option.
Voyez comment il s'applique à un service réel dans les exemples ouverts d'AI Workflow Design, ou commencez par l'évaluation gratuite pour comprendre par où il vaut mieux commencer.
Cette page est à titre d'orientation : elle ne constitue pas un conseil juridique ni une évaluation de conformité ponctuelle, que nous menons ensemble sur votre cas concret.