IgnitionAI

Confidentialité, sécurité et conformité RGPD

  • NDA et DPA dès le premier échange

    Nous signons un accord de confidentialité (NDA) avant tout accès à vos données, sans condition. Si la mission implique du traitement de données personnelles au sens de l'Article 4 du Règlement (UE) 2016/679 (RGPD), nous ajoutons un accord de traitement des données (DPA) conforme à l'Article 28 avant le démarrage. Le DPA précise le rôle de chacun : responsable du traitement (vous) et sous-traitant (nous).

  • Hébergement souverain par défaut

    Les systèmes que nous déployons tournent sur votre infrastructure ou sur un cloud souverain français (OVHcloud, Scaleway, Outscale) ou cloud privé. Les API externes hébergées hors UE (OpenAI, Anthropic, Google) ne sont utilisées que si vous avez explicitement validé le transfert et signé les clauses contractuelles types prévues à l'Article 46 du RGPD. À défaut, nous nous appuyons sur du self-hosting (vLLM, TGI, Ollama) sur votre infrastructure.

  • Isolation des données entre tenants

    Sur les architectures multi-tenant qui servent plusieurs entités internes ou plusieurs clients, nous isolons les données au niveau du vector store, du retrieval et de la mémoire d'agent. L'isolation est vérifiée par tests automatisés à chaque déploiement. Cette pratique est détaillée dans notre article sur le contrôle d'accès dans un RAG d'entreprise.

  • Anonymisation et minimisation des données

    Pour les phases de développement et de test, nous travaillons systématiquement sur des données anonymisées ou pseudonymisées, en application du principe de minimisation de l'Article 5 paragraphe 1, point c du RGPD. La donnée brute n'est manipulée qu'au moment du déploiement en environnement contrôlé.

  • Traçabilité et auditabilité

    Chaque réponse générée par un système IA en production est journalisée avec son contexte de retrieval, sa version de modèle, son prompt et son timestamp. Cette pratique répond à l'obligation de tenue de registres de l'Article 12 du Règlement (UE) 2024/1689 (AI Act) pour les systèmes à risque élevé. Auditeurs internes, DPO et régulateurs peuvent reconstituer chaque décision a posteriori.

  • Droits des personnes concernées

    Sur les systèmes qui ingèrent des données personnelles, nous concevons l'architecture pour permettre les droits prévus par le RGPD : droit d'accès (Article 15), droit de rectification (Article 16), droit à l'effacement dit droit à l'oubli (Article 17), droit à la portabilité (Article 20). Sur les vector stores et les caches, ces droits s'exercent sans réindexation totale de la base.

  • Pour aller plus loin

    Voir notre politique éditoriale sur les obligations de sourcing applicables à toute affirmation réglementaire publiée par IgnitionAI, et notre page dédiée à la gouvernance IA qui détaille l'articulation entre RGPD et AI Act.