"Comprendre le fonctionnement de ses systèmes et les exploiter librement : un modèle IA opaque, non auditable ou détenu par un tiers viole simultanément ces deux droits."
Explicabilité des décisions, auditabilité des modèles, propriété des modèles fine-tunés, détection de biais, exigences EU AI Act Art. 13-17.
CDO, AI Officer, risk managers, DPO, équipes MLOps, responsables conformité, auditeurs internes.
EU AI Act Art. 9-17 (systèmes haut risque), Art. 50 (transparence), RGPD Art. 22 (décision automatisée), DORA Art. 28.
½ journée (3h30) — 2 séquences + 1 atelier audit de modèle.
Déployer un modèle IA sans en maîtriser les quatre dimensions expose l'organisation à des risques réglementaires, opérationnels et stratégiques simultanés.
La capacité à expliquer en termes métier pourquoi un modèle a produit un résultat donné. Pas juste techniquement (SHAP, LIME), mais opérationnellement : "Ce crédit a été refusé parce que..."
Accès aux poids du modèle, aux données d'entraînement, aux métriques de performance par sous-groupe, aux logs d'inférence. L'auditabilité est un droit opposable sous EU AI Act pour les systèmes à haut risque.
Un modèle fine-tuné sur les données internes appartient-il à l'organisation ou au fournisseur de la plateforme d'entraînement ? La propriété intellectuelle des poids est un enjeu contractuel et stratégique.
Un modèle qui discrimine sans que l'organisation le détecte expose celle-ci à des sanctions réglementaires. EU AI Act impose une évaluation des biais avant déploiement et une surveillance continue.
Pour les systèmes bancaires à haut risque (scoring crédit, détection fraude, KYC automatisé, décision réglementaire), les obligations sont précises et sanctionnables.
Processus continu d'identification, d'évaluation et d'atténuation des risques liés au système IA, y compris les risques de biais. Documentation et revue au moins annuelle.
Les données d'entraînement, de validation et de test doivent être pertinentes, suffisamment représentatives, et exemptes d'erreurs. Pratiques de gouvernance des données documentées et auditables.
Journalisation automatique des événements pendant toute la durée de vie. Les logs doivent permettre d'identifier les situations pouvant engendrer des risques et les modifications apportées au système.
Les systèmes IA à haut risque sont conçus de façon à permettre aux utilisateurs d'interpréter les outputs et de les utiliser de manière appropriée. Notice d'utilisation obligatoire, en langage clair.
Les mesures qui permettent aux personnes physiques de surveiller efficacement l'utilisation du système IA doivent être intégrées dès la conception. Inclut la capacité d'arrêt ("kill switch").
Documentation complète couvrant : stratégie de conformité, processus de conception, architecture technique, données d'entraînement, métriques de performance, mesures de gestion des risques.
Non-conformité aux Art. 9-17 : jusqu'à 30 millions € ou 6% du CA mondial (le plus élevé). Mise en demeure possible avec délai de mise en conformité de 3 mois par l'autorité nationale compétente.
La question de la propriété des poids de modèles fine-tunés est une zone grise juridique à enjeu stratégique majeur. Elle détermine votre capacité à changer de fournisseur.
| Scénario | Propriété des poids | Portabilité | Risque souveraineté | Recommandation |
|---|---|---|---|---|
| Fine-tuning via API fournisseur | Ambiguë / Fournisseur | Aucune | Critique | Clause de cession de propriété obligatoire |
| Fine-tuning sur infra hébergée fournisseur | Partagée selon contrat | Limitée | Élevé | Vérifier clause propriété avant signature |
| Fine-tuning sur infra propre (on-premise) | Organisation — total | Totale | Maîtrisé | Approche souveraine recommandée |
| Utilisation d'un modèle open-source | Organisation — total | Totale | Maîtrisé | Vérifier licence (Apache 2.0, MIT, LLAMA) |
| Utilisation API LLM sans fine-tuning | N/A — modèle tiers | Dépendance totale | Élevé | Acceptable pour usages non critiques |
Un modèle très performant mais inexplicable est inutilisable pour toute décision affectant une personne physique (RGPD Art. 22) ou dans un système IA haut risque (EU AI Act).
EU AI Act Art. 17 : les autorités nationales compétentes peuvent exiger l'accès complet au système IA. Si vous ne pouvez pas le fournir, vous êtes en infraction — que vous soyez opérateur ou déployeur.
Si vous ne possédez pas les poids du modèle fine-tuné sur vos données, vous avez créé une dépendance permanente à un tiers. C'est une perte du Droit 3 (réversibilité).
"Je ne savais pas que le modèle discriminait" n'est pas une défense réglementaire valable. EU AI Act impose la détection active des biais avant déploiement et une surveillance continue.
① Grille d'audit modèle
Checklist 20 points couvrant les 4 dimensions : explicabilité, auditabilité, propriété, biais.
② 5 clauses contractuelles ML
Template prêt à l'emploi pour tout contrat impliquant fine-tuning ou déploiement de modèle.
③ Cartographie modèles IA
Inventaire des modèles en production avec niveau de souveraineté algorithmique par dimension.
"Un algorithme que vous ne pouvez pas expliquer à un régulateur est un algorithme que vous ne devriez pas déployer."