📦 Procurement Pack (HTML)

Pack Achats IA : clauses, SLA, RACI, audit

Un pack prêt à intégrer dans un appel d’offres (administrations / grands comptes). Objectif : transformer “on veut de l’IA” en exigences vérifiables et preuves auditables.

✅ Exigences ⏱️ SLA/SLO 📜 Clauses types 🧭 RACI 🔎 Audit

🏛️ Lire la Gouvernance IA 🧩 Geniuspace® (algorithme) ✅ Preuves & Études de cas ✉️ Contact

1) Exigences minimales (à copier/coller)

But : éviter les projets non-auditables (shadow AI) et sécuriser la souveraineté, la conformité et la réversibilité.

Domaine	Exigence	Preuve attendue
Architecture	On‑prem / VPC / air‑gapped / edge possible (selon périmètre). Pas de dépendances bloquées (ex: Chine).	Dossier d’architecture + diagrammes + liste dépendances + SBOM.
Données	Classification, minimisation, chiffrement, rétention, DLP, résidence (si exigée).	Politique données + matrice classification + preuves chiffrement + logs accès.
Accès	RBAC/MFA/least privilege, séparation environnements, gestion secrets.	Configuration IAM + journaux + procédure de revue des accès.
Évaluation	Tests reproductibles (qualité, sécurité, biais, hallucinations) + seuils go/no‑go.	Suite de tests + rapports + critères d’acceptation signés.
Auditabilité	Audit trail (prompts, versions, datasets, décisions, déploiements), horodaté.	Exports logs + traçabilité versions + tickets change management.
Incidents	Runbooks, délais de réaction, notification, post‑mortems, kill switch.	Procédures + exercices + rapports post‑incident.
Réversibilité	Plan d’exit : portabilité des données/artefacts + délais + assistance.	Plan d’exit + format exports + test de réversibilité.

Gabarit opérationnel : faites valider par votre juriste, RSSI et DPO. Le contenu doit être adapté au périmètre (données sensibles, opérateur critique, etc.).

2) SLA / SLO (exemple)

Exemples de niveaux de service à ajuster selon criticité. Inclure également un processus de changement (versions modèles/prompts/datasets).

Indicateur	Objectif (SLO)	Mesure / preuve	Remédiation
Disponibilité	99,5% (mensuel) ou selon criticité	Monitoring + rapports mensuels	Crédits / plan correctif
Latence	P95 ≤ X ms (par endpoint)	APM/Tracing	Optimisation + capacity plan
Incidents P1	Accusé ≤ 15 min · Containment ≤ 60 min	Tickets + post‑mortem	RCA + actions correctives
Corrections sécurité	Patch critique ≤ 72h	Rapports vulnérabilités	Plan de patch + preuve déploiement
Qualité	Seuils sur jeux de tests (ex: exactitude, hallucinations)	Rapports d’évaluation	Rollback / retrain / guardrails

3) Clauses types (extraits)

Extraits (non‑juridiques) destinés à accélérer le travail : à adapter et valider par votre service juridique.

3.1 Audit & transparence

Le Prestataire maintient un audit trail horodaté et exploitable (accès, prompts, versions, datasets, déploiements, incidents). Le Client peut auditer ou faire auditer (tiers) les contrôles de sécurité, la conformité aux exigences et les preuves d’évaluation, selon un préavis raisonnable et sans accès aux secrets du Prestataire.

3.2 Données & résidence

Les données du Client ne peuvent être utilisées à d’autres fins que l’exécution du service. Toute sous‑traitance ou transfert (y compris transfrontalier) est soumis à approbation écrite. Le Prestataire applique minimisation, chiffrement, rétention et suppression selon la politique convenue.

3.3 Sécurité & exfiltration

Le Prestataire met en œuvre RBAC/MFA, segmentation, gestion des secrets, chiffrement en transit/au repos, et des contrôles anti‑exfiltration (DLP, allowlists). Un “kill switch” permettant la suspension contrôlée est prévu, ainsi qu’un plan de réponse à incident et des exercices périodiques.

3.4 Réversibilité (exit plan)

En fin de contrat, le Prestataire fournit (i) exports des données et artefacts dans des formats ouverts, (ii) documentation d’exploitation, (iii) assistance à la migration pendant X semaines. Les délais et coûts sont définis à l’avance. Un test de réversibilité peut être exigé avant mise en production.

4) RACI (modèle)

Version “achats” : claire, actionnable, auditable.

Rôle	Responsabilités clés	Livrables
Sponsor	Arbitrage, budget, priorités, acceptation finale	PV d’acceptation
Owner Programme	Pilotage, risques, planning, gouvernance	RACI, revues, backlog risques
CISO/RSSI	Baseline sécurité, red‑team, incidents	Politique sécurité, rapports, runbooks
DPO	Conformité données, base légale, DPIA si applicable	Politique données, analyses
IT/MLOps	Déploiement, observabilité, CI/CD, exploitation	Architecture, monitoring, change mgmt
Métiers	Qualité attendue, jeux de tests, validation	Jeux de tests, critères succès
Achats/Juridique	Contrat, SLA, réversibilité, sous‑traitance	Clauses, SLA, exit plan

5) Checklist d’audit (exemple)

Une checklist simple, mais orientée “preuves”.

Contrôle	Preuve	Fréquence
Inventaire modèles/dépendances	Liste versions + licences + SBOM	Mensuel
Revue des accès	Rapport IAM + logs + approbations	Trimestriel
Évaluations qualité/sécurité	Rapports reproductibles + critères go/no‑go	À chaque release
Red‑team / tests d’abus	Rapports + correctifs + retests	Trimestriel / semestriel
Incidents	Runbooks + tickets + post‑mortems	À chaque incident
Réversibilité	Test export + documentation + délais	Annuel

Besoin d’une version “opérateur critique” (NIS2 / secteur régulé) ? Contact : on adapte le pack aux contraintes (données sensibles, air‑gapped, etc.).