Questions fréquentes.

Qu'est-ce que l'EU AI Act et quand s'applique-t-il ?

L'EU AI Act (règlement (UE) 2024/1689) est la loi européenne sur l'IA fondée sur les risques. Les interdictions des IA à risque inacceptable s'appliquent depuis le 2 février 2025. L'essentiel des obligations devient applicable le 2 août 2026 — y compris les obligations de transparence (article 50) et de maîtrise de l'IA (article 4). Dans le cadre du paquet Digital Omnibus (position du Parlement européen adoptée en juin 2026, sous réserve d'adoption définitive), les obligations à haut risque (annexe III) devraient être reportées à décembre 2027.

Quels systèmes sont qualifiés de « haut risque » ?

L'annexe III énumère huit catégories : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels (y compris credit scoring et tarification d'assurance), application de la loi, migration et administration de la justice. Une IA utilisée comme composant de sécurité dans un produit relevant de l'annexe I (dispositifs médicaux, machines, etc.) est à haut risque par renvoi.

Que prescrit l'article 12 (journalisation) ?

L'article 12 impose aux fournisseurs de systèmes à haut risque d'activer la journalisation automatique des événements assurant la traçabilité tout au long du cycle de vie. La chaîne d'audit de Noetik est hash-chaînée et append-only ; chaque décision est inscrite de manière déterministe avec la version de politique, la classification et le verdict.

Qu'est-ce que l'article 14 (surveillance humaine) ?

L'article 14 exige que les systèmes à haut risque soient conçus pour permettre une surveillance effective par des personnes physiques pendant leur utilisation — comprendre, surveiller, contourner ou arrêter le système. La porte pré-exécution de Noetik constitue la couche de neutralisation : une requête qui échoue à une politique dure n'atteint jamais le modèle.

Qui est « fournisseur » et qui est « déployeur » ?

Le fournisseur conçoit le système d'IA et le met sur le marché ; il porte l'essentiel des obligations de documentation et de conformité. Le déployeur l'utilise sous son autorité, avec des obligations de conformité opérationnelle, de journalisation, de surveillance et — dans certains usages publics — d'analyse d'impact sur les droits fondamentaux. Noetik couvre les deux rôles.

Qu'est-ce que l'ISO/IEC 42001 ?

ISO/IEC 42001:2023 est la norme internationale de système de management pour les systèmes de management de l'IA (AIMS) — structurée comme ISO 27001 et ISO 9001, avec Plan-Do-Check-Act, gouvernance et contrôles fondés sur les risques. Elle est la candidate principale comme norme harmonisée pour la dimension « système de management » de l'EU AI Act.

Qu'est-ce que le NIST AI RMF, et quelles fonctions Noetik couvre-t-il ?

Le cadre NIST de gestion des risques liés à l'IA définit quatre fonctions : Govern, Map, Measure, Manage. L'écriture de politiques chez Noetik sert Govern ; le classifieur et le ClarityScore servent Measure ; la porte pré-exécution sert Manage. La fonction Map — contexte, usage prévu, impact — reste à l'équipe de conformité du client.

Qu'est-ce que la gouvernance pré-exécution ?

La gouvernance pré-exécution évalue chaque requête d'IA avant qu'elle ne soit exécutée, face à une pile de politiques déterministe. La différence avec le monitoring post-hoc est causale : la pré-exécution décide ce qui peut se produire ; le post-hoc rapporte ce qui s'est produit.

Comment fonctionnent les verdicts EXECUTE, HOLD et BLOCK ?

Le moteur renvoie l'un de trois verdicts. EXECUTE transmet une requête claire et conforme au modèle. HOLD renvoie une invite ClarityFeedback™ demandant à l'utilisateur de clarifier ou corriger sa propre entrée, qui est ensuite réévaluée. BLOCK arrête une requête qui enfreint une obligation non négociable — juridique, réglementaire, de sécurité — ou le socle de sécurité Tier-1 toujours actif, avec un motif journalisé. Les verdicts sont produits dans un ordre déterministe à chaque appel, et chaque évaluation est journalisée.

Qu'est-ce que le ClarityScore ?

Le ClarityScore est une mesure numérique déterministe de la clarté de l'entrée, dérivée de signaux structurels explicites (syntaxique, sémantique, affectif, lié aux politiques). Deux entrées équivalentes produisent toujours le même score, et il pilote la décision EXECUTE versus HOLD. Le score est inscrit dans la chaîne d'audit avec le verdict.

Qu'est-ce qu'une chaîne d'audit infalsifiable ?

Chaque entrée est hash-chaînée à la précédente (style Merkle) et signée avec une clé spécifique à l'instance. Modifier une entrée historique invalide tous les hachages en aval, ce qui se détecte lors de toute vérification. La chaîne est append-only et exportable pour audit indépendant.

PREEXEC est-il auto-hébergé ou SaaS ?

PREEXEC est livré comme moteur auto-hébergé. Le client l'exploite sur sa propre infrastructure — bare-metal, machine virtuelle ou conteneur — dans son propre périmètre de sécurité. Aucune requête, sortie ni donnée d'audit n'est transmise à Noetik Governance Ltd.

Quels modèles d'IA sont pris en charge ?

PREEXEC est indépendant du modèle. Le moteur gouverne les requêtes destinées à tout grand modèle de langage — OpenAI, Anthropic, Mistral, variantes Llama locales, points d'accès hébergés par des fournisseurs. L'intégration passe par une couche d'adaptateurs ; le modèle lui-même n'est pas modifié.

Quel est l'impact en latence et en exploitation ?

Le moteur de pré-exécution est déterministe ; le coût croît avec la profondeur de la pile de politiques et la complexité du classifieur. Dans les configurations habituelles, le coût par appel reste largement inférieur au coût de génération du modèle. Le client effectue son propre budget de latence lors du pilote.

Sur quels secteurs Noetik se concentre-t-il ?

Secteurs réglementés à forte exposition au risque IA : banque et services financiers (chatbots de conseil, narratifs de décision de crédit — annexe III), assurance (souscription, tarification — annexe III), santé (aide à la décision clinique, IA embarquée dans des dispositifs médicaux) et administration publique (services aux citoyens, décisions d'éligibilité). La pile de politiques est configurée par secteur.