Règlement IA (EU AI Act)

Une IA gouvernée par l'architecture, pas par la paperasse

Le règlement IA fixe des obligations fondées sur les risques pour les systèmes d'IA dans toute l'Union. Scrydon vous donne les garde-fous runtime, les pistes d'audit et les evidence packs pour en faire la démonstration — afin que la conformité soit quelque chose que vous pouvez montrer, et pas seulement affirmer.

De quoi s'agit-il

Règlement européen sur l'intelligence artificielle (règlement IA)

Le règlement européen sur l'intelligence artificielle (règlement (UE) 2024/1689) est la première loi horizontale complète au monde sur l'IA. Il adopte une approche fondée sur les risques : les pratiques présentant un risque inacceptable sont interdites, les systèmes à haut risque sont soumis à des exigences strictes en matière de gestion des risques, de gouvernance des données, de documentation technique, d'enregistrement, de contrôle humain, de transparence, d'exactitude et de cybersécurité, et certains systèmes d'IA portent des obligations de transparence. Il introduit également des obligations pour les fournisseurs de modèles d'IA à usage général. Les obligations entrent en application progressivement sur plusieurs années, avec des sanctions significatives en cas de non-respect.
En bref
Juridiction
Union européenne
S'applique à
Les fournisseurs, déployeurs, importateurs et distributeurs qui mettent des systèmes d'IA sur le marché de l'UE, ou dont les résultats produits par l'IA sont utilisés dans l'UE.
Contactez-nous
Comment nous aidons

Comment Scrydon vous aide à vous conformer

Les contrôles sont intégrés au runtime : la conformité est donc quelque chose que vous pouvez démontrer avec des preuves issues de la plateforme elle-même — plutôt que reconstituées après coup.

Garde-fous et prévention des fuites de données

Le moteur de garde-fous DLP analyse les entrées et les sorties des modèles à la recherche de données personnelles et d'hallucinations, avec des filtres regex et JSON capables de bloquer, d'expurger ou de mettre en quarantaine. Cela soutient les attentes du règlement IA en matière d'exactitude, de robustesse et de gestion des risques, et vous donne des contrôles applicables sur le comportement des modèles plutôt qu'un examen a posteriori.

Journal d'audit et traçabilité technique

Chaque acteur, adresse IP, décision et action d'agent est consigné dans un journal d'audit immuable et interrogeable, doté de contrôles d'expurgation et de conservation. Cela soutient directement les obligations d'enregistrement et de tenue de registres du règlement pour les systèmes à haut risque et fournit la traçabilité nécessaire à la documentation technique et à la surveillance après commercialisation.

Policy-as-code et contrôle humain

Un point de décision policy-as-code unique (Rego) autorise les actions de manière cohérente dans le plan applicatif comme dans le plan de données, avec des valeurs par défaut fail-closed. Vous pouvez encoder des points de contrôle human-in-the-loop, des étapes d'approbation et des règles d'usage interdit, de sorte que la supervision soit imposée par le runtime et ne repose pas sur la discipline des opérateurs.

Souveraineté et chaîne d'approvisionnement de l'IA

Les fournisseurs d'IA externes sont opt-in, le document clearance et la classification déterminent quelles données parviennent à un modèle, et vous choisissez où les modèles s'exécutent. Cela vous donne la maîtrise de la chaîne d'approvisionnement de l'IA et la gouvernance des données que le règlement attend des déployeurs et des fournisseurs de systèmes à haut risque.

Evidence packs par cadre

Scrydon produit des evidence packs qui relient les contrôles de la plateforme aux articles du règlement IA, aux côtés d'ISO 42001, d'ISO 27001 et d'autres cadres. Ils accélèrent la documentation technique, l'évaluation de la conformité et les échanges avec les autorités que vous restez chargé de mener à bien.

Exigences clés

règlement IA : ce qui vous est demandé

  • Classer chaque système d'IA par niveau de risque (interdit, haut risque, risque limité ou minimal).
  • Exploiter un système de gestion des risques continu sur l'ensemble du cycle de vie de l'IA.
  • Appliquer des pratiques de données et de gouvernance des données aux données d'entraînement, de validation et de test.
  • Tenir à jour une documentation technique et un enregistrement automatique des événements pour les systèmes à haut risque.
  • Assurer un contrôle humain effectif ainsi qu'un niveau approprié d'exactitude, de robustesse et de cybersécurité.
  • Respecter les obligations de transparence, y compris informer les personnes lorsqu'elles interagissent avec une IA.
  • Réaliser l'évaluation de la conformité applicable et enregistrer les systèmes à haut risque lorsque cela est requis.
FAQ

Questions fréquentes

Comment Scrydon aide-t-il à la conformité au règlement IA ?+
Scrydon intègre les contrôles attendus par le règlement IA directement dans le runtime : garde-fous DLP sur les entrées et sorties des modèles, journal d'audit immuable pour l'enregistrement et la traçabilité, policy-as-code pour le contrôle humain et l'application des usages interdits, et document clearance pour la gouvernance des données. Par-dessus, les evidence packs relient ces contrôles à des obligations précises du règlement. Vous pouvez ainsi démontrer votre conformité avec des preuves issues du système lui-même. Scrydon soutient le règlement, s'y aligne et produit les preuves ; réaliser l'évaluation formelle de conformité de votre système d'IA reste votre responsabilité.
Scrydon est-il certifié au titre du règlement IA ?+
Non — et aucun fournisseur ne peut l'être. Le règlement IA encadre les systèmes d'IA ainsi que leurs fournisseurs et déployeurs, pas la plateforme sous-jacente. La conformité est évaluée pour votre système d'IA spécifique et sa destination. Scrydon fournit des contrôles et des preuves alignés sur le règlement, qui facilitent considérablement vos travaux de conformité, mais la certification ou la déclaration de conformité porte sur votre déploiement et relève de votre responsabilité.
La plateforme prend-elle en charge les obligations relatives aux systèmes d'IA à haut risque ?+
Oui. Pour les systèmes à haut risque, le règlement impose une gestion des risques, une gouvernance des données, un enregistrement automatique, un contrôle humain, la transparence, l'exactitude et la cybersécurité. Scrydon répond à chacun de ces points avec des garde-fous, un journal d'audit immuable, des étapes de supervision en policy-as-code, la classification des documents et une architecture fail-closed sécurisée par mTLS. Les evidence packs relient ensuite ces capacités aux articles pertinents pour votre documentation.
Qu'en est-il des modèles d'IA à usage général et des fournisseurs externes ?+
Les fournisseurs d'IA externes sont opt-in : aucun modèle ne reçoit vos données sans votre autorisation explicite, et le document clearance détermine précisément ce qui est partagé. Cela vous donne la transparence de la chaîne d'approvisionnement et la gouvernance des données attendues par le règlement, que vous exécutiez des modèles open-weight dans votre propre environnement ou que vous utilisiez ponctuellement un modèle à usage général externe.
Quand les obligations du règlement IA s'appliquent-elles ?+
Le règlement est entré en vigueur en 2024 et ses obligations entrent en application progressivement : d'abord les interdictions et les obligations en matière de maîtrise de l'IA, puis les obligations relatives aux modèles d'IA à usage général, et plus tard la plupart des exigences applicables aux systèmes à haut risque. Comme Scrydon intègre dès aujourd'hui les contrôles dans le runtime, vous pouvez mettre en place la gouvernance et les preuves en amont plutôt que de les ajouter à l'approche des échéances.