Cette checklist est conçue pour être utilisée en amont du déploiement, lors de la phase d'évaluation du fournisseur et de validation du projet. Elle ne remplace pas une AIPD complète, mais elle identifie les points bloquants avant d'y avoir investi du temps et de l'argent.

Criticité : 🔴 Bloquant — arrêt du projet si non satisfait | 🟠 Important — plan d'action requis | 🟡 Recommandé — bonne pratique

Catégorie 1 : Évaluation du fournisseur (6 points)

  • 🔴 1. Localisation des données : vérifiez contractuellement où sont stockées vos données (inférence, logs, fine-tuning). UE uniquement pour les données sensibles.
  • 🔴 2. DPA (Data Processing Agreement) : un DPA conforme RGPD doit être signé avant tout traitement de données personnelles. Vérifiez qu'il couvre l'IA spécifiquement.
  • 🔴 3. Entraînement sur vos données : contractualisez explicitement l'interdiction d'utiliser vos données pour entraîner ou améliorer le modèle.
  • 🟠 4. Sous-traitants et chaîne IA : identifiez tous les sous-traitants du fournisseur (hébergeur, modèle de base, APIs tierces). Chacun doit être listés dans le DPA.
  • 🟠 5. Certifications de sécurité : le fournisseur doit présenter ISO 27001 à minima. SOC 2 Type II et HDS (pour les données de santé) selon votre secteur.
  • 🟡 6. Références sectorielles : demandez des références clients dans votre secteur avec cas d'usage similaire. Un fournisseur sans expérience de votre secteur sous-estime souvent les contraintes métier.

Catégorie 2 : Gestion des données (6 points)

  • 🔴 7. Classification des données autorisées : définissez avant le déploiement quelles catégories de données peuvent transiter par le système IA (données publiques, internes, confidentielles, sensibles RGPD).
  • 🔴 8. Données personnelles et base légale : si des données personnelles sont traitées, identifiez la base légale (intérêt légitime, contrat, consentement) et documentez-la dans le registre.
  • 🟠 9. Durée de conservation des logs : vérifiez combien de temps le fournisseur conserve les logs de requêtes et réponses. Alignez avec votre politique de rétention.
  • 🟠 10. Droit à l'effacement : testez concrètement le processus d'effacement des données — pas seulement contractuellement. Délai de réponse, périmètre effectivement effacé.
  • 🟠 11. Chiffrement : données chiffrées en transit (TLS 1.3) et au repos (AES-256). Gestion des clés : qui y a accès, y compris le fournisseur lui-même.
  • 🟡 12. Minimisation : vérifiez que le système n'envoie pas plus de données que nécessaire à l'API. Une revue des requêtes types doit être faite avant la mise en production.

Catégorie 3 : Infrastructure et intégration (5 points)

  • 🔴 13. Authentification et contrôle d'accès : SSO, MFA, gestion des droits par rôle. Vérifiez que l'API key n'est pas partagée entre utilisateurs — chaque service doit avoir sa propre clé.
  • 🟠 14. Cloisonnement réseau : le système IA doit être isolé des systèmes critiques. Pas d'accès direct du LLM aux bases de données de production sans couche de validation.
  • 🟠 15. Gestion des secrets : les clés API et credentials ne doivent pas être en clair dans le code ou les variables d'environnement non chiffrées. Vault ou équivalent obligatoire.
  • 🟠 16. Plan de continuité : que se passe-t-il si l'API du fournisseur est indisponible ? Le processus métier doit avoir un mode dégradé documenté.
  • 🟡 17. Surveillance et alertes : mettez en place des alertes sur les volumes de requêtes anormaux, les erreurs répétées et les latences inhabituelles. Indicateurs d'une attaque ou d'un usage détourné.

Catégorie 4 : Gouvernance IA (4 points)

  • 🔴 18. AIPD (si haut risque) : si le système IA entre dans le champ de l'EU AI Act (haut risque) ou traite des données sensibles à grande échelle, une AIPD est obligatoire avant le déploiement.
  • 🟠 19. Responsable du système IA : un owner clairement identifié, avec des responsabilités documentées sur la supervision des sorties, les mises à jour et les incidents.
  • 🟠 20. Procédure de gestion des incidents IA : distincte de la procédure cybersécurité classique. Couvre les hallucinations avec impact, les biais détectés, les fuites via le contexte.
  • 🟡 21. Revue périodique : planifiez une revue trimestrielle des logs, des incidents et des évolutions du fournisseur (nouvelles versions de modèle, changements de CGU).

Catégorie 5 : Conformité réglementaire (4 points)

  • 🔴 22. EU AI Act — classification : déterminez si votre système IA est haut risque au sens de l'EU AI Act. Si oui, les obligations de documentation, de supervision et d'enregistrement s'appliquent.
  • 🟠 23. Cloud Act — exposition : si le fournisseur est une entité américaine, vos données peuvent être soumises au Cloud Act. Évaluez si c'est acceptable selon la nature de vos données.
  • 🟠 24. Traçabilité des décisions : si l'IA influence des décisions (recrutement, crédit, accès à un service), le processus de décision doit être traçable et contestable par les personnes concernées.
  • 🟡 25. Mise à jour des politiques internes : politique de sécurité, charte informatique, registre de traitements — tous doivent être mis à jour pour refléter le nouveau système IA déployé.

À retenir

  • Les points bloquants (🔴) doivent être résolus avant la signature du contrat, pas après
  • Le DPA et la localisation des données sont les deux premiers points à vérifier — tout le reste en découle
  • Cette checklist doit être revue à chaque changement majeur : nouveau fournisseur, nouveau modèle, nouveau cas d'usage
  • Pour aller plus loin : Guide complet de l'audit de conformité IA interne