Fournisseurs d'IA avec DPA, SCCs et TIA
Utiliser OpenAI sans DPA, c'est un transfert international sans base légale.
Cadre / norme: RGPD Chap. V + Art. 28 · Règlement IA UE Art. 25 · ISO/IEC 42001 A.10
Activer les auto-descriptions avec OpenAI semble anodin. Légalement, c'est envoyer des données à un sous-traitant, potentiellement hors de l'UE. Avez-vous le DPA signé ? Les SCCs ? Le TIA ?
Linedat modélise chaque fournisseur d'IA comme une entité versionnée, avec sa chaîne de responsabilité et le statut de sa documentation légale.
La chaîne controller → processor → sub-processor
Chaque fournisseur enregistre son type, sa juridiction, son mécanisme de transfert (SCCs, adéquation, BCR), les dates de signature du DPA et des SCCs, le résultat du TIA (post-Schrems II) et ses sous-traitants. Avant d'activer une fonctionnalité d'IA, vous pouvez démontrer que la base légale du transfert est en place.
Versionnage et renouvellement
Le statut du DPA/SCCs/TIA est versionné, avec historique, et la date de renouvellement est enregistrée. Vous transformez « je crois que oui, c'est quelque part » en « le voici, version 3, signé le 12/03 ».
Les limites (ce que nous n'affirmons pas)
Le passage d'un fournisseur à l'état « actif » exige un DPA enregistré, mais le TIA et les sous-traitants sont déclaratifs (saisie manuelle, pas un questionnaire ni une vérification de ce que le fournisseur déclare réellement). Le contrôle en runtime bloquant l'usage d'un fournisseur non autorisé n'existe pas encore : il s'agit d'un registre documentaire et audité, pas d'un blocage à chaud.
Comment Linedat vous aide
Linedat intègre le vendor risk d'IA dans le catalogue, pas dans une feuille séparée : avant que votre IA parle à un tiers, vous savez déjà si ce tiers a ses documents — et ses sous-traitants.
Capacités liées
Avant qu'un numéro d'identité ou un IBAN ne partent vers OpenAI, ils sont occultés — sur le chemin critique, pas en option.
Inventaire des systèmes d'IA par risqueLe règlement IA audite des systèmes, pas des appels. Chaque IA, inventoriée avec sa classe de risque.
Droits de la personne concernée (DSR) avec horloge légaleLe droit du citoyen ne se gère pas par e-mail : avec l'horloge de l'Art. 12 et la localisation de la donnée via le RoPA.
