Gouvernance IA

Easylab AI integre l'intelligence artificielle de maniere responsable, dans le strict respect des cadres reglementaires europeens.

Notre positionnement

Easylab AI est un integrateur de solutions d'intelligence artificielle, pas un producteur de modeles IA. Nous selectionnons, deployons et operons des services IA fonctionnels pour nos clients, dans le cadre de contrats structures couvrant DORA, le GDPR et l'AI Act.

Sous-traitant au sens du GDPR

Nous agissons en tant que sous-traitant (data processor) au sens de l'article 28 du GDPR. Les modalites de protection des donnees sont definies contractuellement selon les exigences de chaque projet.

Prestataire ICT au sens de DORA

Pour les entites financieres, nous sommes qualifies de prestataire tiers de services ICT. Nos contrats couvrent les exigences de l'article 30 de DORA.

Deployeur au sens de l'AI Act

Nous classifions chaque systeme IA deploye par niveau de risque et mettons en place la documentation, la transparence et la supervision humaine requises.

Cadres reglementaires

Les trois reglementations europeennes qui structurent nos contrats et nos pratiques.

AI Act

Reglement (UE) 2024/1689 sur l'intelligence artificielle

Application progressive depuis aout 2025

Premier cadre juridique complet au monde pour l'IA. Classifie les systemes par niveau de risque et impose des obligations proportionnelles de transparence, documentation et supervision.

Classification des systemes IA par niveau de risque (Art. 6, Annexe III)
Mention obligatoire d'assistance IA sur chaque livrable (Art. 50)
Supervision humaine obligatoire avant diffusion
Tracabilite : logs techniques conserves 2 ans minimum
Veille sur la conformite des modeles GPAI utilises (Art. 51+)

DORA

Reglement (UE) 2022/2554 - Resilience operationnelle numerique

En vigueur depuis le 17 janvier 2025

Cadre de resilience operationnelle pour le secteur financier. Encadre la gestion des risques ICT, les prestataires tiers et les obligations de notification d'incidents.

Registre des sous-traitants ICT
Plan de continuite (BCP) et plan de reprise (DRP)
Notification des incidents majeurs sous 48h
Droits d'audit et d'acces par le client et la CSSF
Plan de sortie (Exit Plan) et portabilite des donnees

GDPR

Reglement (UE) 2016/679 - Protection des donnees personnelles

En vigueur depuis mai 2018

Fondement de toute integration IA responsable. Definit les obligations du responsable de traitement et du sous-traitant en matiere de protection des donnees personnelles.

Clauses de protection des donnees adaptees a chaque contrat
Traitement sur instructions documentees uniquement (Art. 28)
Mesures techniques : chiffrement TLS 1.2+, AES-256
Notification de violation de donnees sous 72h (Art. 33)
Autorisation prealable pour tout sous-traitant ulterieur

Partenaires technologiques

Chaque fournisseur est evalue sur ses certifications et sa conformite avant integration.

Anthropic

Claude

Fournisseur principal de modeles LLM

SOC 2 Type IIISO 27001ISO 42001HIPAA

OpenAI

GPT

Modeles LLM complementaires

SOC 2 Type IIISO 27001ISO 27701CSA STAR

Google Cloud

GCP

Infrastructure cloud et Vertex AI

SOC 2 Type IIISO 27001ISO 27017ISO 27018C5CSA STAR

Amazon Web Services

AWS

Infrastructure cloud et hebergement EU

SOC 2 Type IIISO 27001ISO 27017ISO 27701C5CSA STAR

Microsoft Azure

Azure

Infrastructure cloud et Azure OpenAI

SOC 2 Type IIISO 27001ISO 27017ISO 27701C5CSA STAR

n8n

n8n Cloud

Orchestration de workflows IA

SOC 2 Type IISOC 3

Engagements contractuels

Pratiques documentees et verifiables, integrees dans nos contrats de service.

Clauses de protection des donnees personnelles integrees aux contrats de service

Aucun training des modeles IA sur les donnees clients - les API n'utilisent pas les donnees pour l'entrainement

Chiffrement en transit (TLS 1.2+) et au repos (AES-256)

Authentification forte (MFA) disponible selon les exigences du projet

Separation logique des donnees entre clients

Hebergement en Union Europeenne privilegie (Frankfurt, Dublin, Tallinn)

Journalisation des acces et operations, duree de conservation selon les exigences client

Notification d'incident sous 48h (DORA) / 72h (GDPR)

Mention de transparence IA sur chaque livrable assiste par IA

Tests de securite annuels et revue periodique des droits d'acces

Questions frequentes

Par defaut, nous privilegions les datacenters de l'Union Europeenne (Frankfurt, Dublin, Tallinn). Pour chaque projet, le choix d'hebergement est documente et valide avec le client.

Non. Les API de nos fournisseurs (Anthropic, OpenAI) n'utilisent pas les donnees transmises pour entrainer leurs modeles. C'est une propriete native de l'utilisation via API.

En tant que deployeur, nous classifions chaque systeme IA deploye selon les categories de risque de l'AI Act. Pour les systemes a risque limite, nous mettons en place les obligations de transparence (Art. 50) et de documentation. La supervision humaine est obligatoire avant toute diffusion de livrable.

Les clauses de protection des donnees conformes au GDPR sont integrees dans nos contrats de service selon les exigences du projet. Elles couvrent les obligations du sous-traitant, les mesures de securite techniques et organisationnelles applicables.

Nous appliquons une notification sous 48h (DORA) et 72h (GDPR). Chaque incident est documente avec : nature, perimetre, systemes et donnees concernes, mesures correctives et plan de remediation.

Nos contrats conferent au client, a ses mandataires et aux autorites de surveillance (CSSF, CNPD) des droits d'audit, d'inspection et d'acces aux locaux, systemes et logs, conformement aux exigences de DORA et du GDPR.