Retour aux modèles de politiques
Politique 10 sur 15

Politique de gestion des risques fournisseurs IA

Etend la gestion des risques tiers avec une diligence raisonnable specifique a l'IA, une surveillance continue et des exigences contractuelles.

1. Objectif

La presente politique definit comment [Nom de l'organisation] evalue, gere et surveille les risques lies aux fournisseurs, API et services d'IA tiers. Le risque fournisseur IA differe du risque fournisseur traditionnel car les modeles se comportent de maniere imprevisible, les donnees d'entrainement creent une exposition cachee a la conformite et les changements cote fournisseur peuvent modifier le comportement du systeme sans preavis.

2. Perimetre

La presente politique s'applique a :

  • Tous les services d'IA tiers (API, SaaS, modeles heberges, fonctionnalites d'IA integrees).
  • Tous les modeles pre-entraines ou de fondation acquis aupres de fournisseurs externes.
  • Tous les engagements de conseil en IA fournissant des modeles ou de l'hebergement de modeles.
  • Tous les modeles open source adoptes pour un usage en production.
  • Tous les renouvellements et changements significatifs des relations existantes avec les fournisseurs d'IA.

3. Evaluation pre-engagement

Avant l'activation de tout fournisseur d'IA, l'evaluation suivante doit etre realisee :

3.1 Questionnaire de risque specifique a l'IA

En complement du questionnaire de risque fournisseur standard, les fournisseurs d'IA doivent repondre a :

  • Gouvernance du modele : Quelle architecture de modele est utilisee ? Comment les modeles sont-ils versionnes ? Quel processus de gestion des changements s'applique aux mises a jour du modele ?
  • Donnees d'entrainement : Quelles sources de donnees ont ete utilisees pour l'entrainement ? Les donnees d'entrainement contiennent-elles des informations personnelles ? Le droit de retrait est-il respecte ? Des Fiches de modeles et des Fiches de jeux de donnees sont-elles disponibles ?
  • Biais et equite : Quels tests de biais ont ete effectues ? Quels indicateurs ont ete utilises ? Quels groupes demographiques ont ete evalues ? Quelles remediations ont ete appliquees ?
  • Securite : Quelles protections existent contre l'injection de prompt, l'exfiltration de donnees et le vol de modele ? Quels tests d'intrusion ont ete realises ?
  • Traitement des donnees : Les donnees clients sont-elles utilisees pour entrainer ou ameliorer les modeles du fournisseur ? Quelles garanties de localisation des donnees sont fournies ? Qui sont les sous-traitants ?
  • Transparence : Le fournisseur peut-il expliquer comment le modele produit ses resultats ? Des scores de confiance ou des indicateurs d'incertitude sont-ils disponibles ?
  • Reponse aux incidents : Quel est le SLA de notification d'incident IA du fournisseur ? Comment les defaillances du modele sont-elles communiquees ?

3.2 Exigences de documentation

Les fournisseurs doivent fournir :

  • Fiche du modele decrivant l'architecture, les donnees d'entrainement, l'utilisation prevue et les limites.
  • Certifications de securite (SOC 2 Type II, ISO 27001 ou equivalent).
  • Accord de traitement des donnees (DPA) couvrant le traitement des donnees specifique a l'IA.
  • Liste des sous-traitants avec les informations de localisation des donnees.
  • SLA de signalement des incidents et processus d'escalade.

3.3 Notation du risque

Chaque fournisseur d'IA est note a l'aide de la matrice de risque de l'organisation (conformement a la Politique de gestion des risques IA). Les facteurs comprennent :

  • Sensibilite des donnees traitees par le fournisseur.
  • Criticite du processus metier soutenu par le fournisseur.
  • Degre d'autonomie (consultatif vs. decisionnaire).
  • Capacites de transparence et de controle du fournisseur.
  • Exposition reglementaire (le cas d'usage releve-t-il des categories a haut risque du Reglement europeen sur l'IA ?).

4. Exigences contractuelles

Les contrats avec les fournisseurs d'IA doivent inclure les clauses suivantes :

  • Interdiction d'entrainement sur les donnees clients : Le fournisseur ne doit pas utiliser les donnees de l'organisation pour entrainer, affiner ou ameliorer ses modeles sauf autorisation explicite.
  • Notification de changement : Le fournisseur doit notifier l'organisation avant tout changement significatif du modele (mise a jour de version, changement d'architecture, changement de donnees d'entrainement) avec un preavis d'au moins 30 jours.
  • Portabilite des donnees : L'organisation doit pouvoir exporter ou supprimer ses donnees sans charge excessive.
  • Droit d'audit : L'organisation ou son auditeur designe peut auditer les pratiques de gouvernance IA du fournisseur.
  • Notification d'incident : Le fournisseur doit notifier l'organisation des incidents lies a l'IA dans les 24 heures.
  • Allocation de responsabilite : Allocation claire de la responsabilite pour les defaillances des systemes d'IA, les biais et la non-conformite reglementaire.
  • Droits de resiliation : L'organisation peut resilier si le fournisseur introduit un risque inacceptable ou ne remedie pas aux constatations.

5. Surveillance continue

Les fournisseurs d'IA approuves font l'objet d'une surveillance continue. La reevaluation est declenchee par :

La surveillance comprend : le suivi des performances par rapport aux SLA convenus, les tests de biais sur les propres donnees de l'organisation, la verification de la posture de securite et le statut de conformite reglementaire.

  • Changement significatif de version du modele par le fournisseur.
  • Modification de la liste des sous-traitants du fournisseur.
  • Incident de securite du fournisseur ou action d'application reglementaire.
  • Modification de l'utilisation du fournisseur par l'organisation (perimetre elargi, nouveaux types de donnees).
  • Cycle de revue annuel (minimum).

6. Planification de sortie fournisseur

Pour chaque fournisseur d'IA, un plan de sortie documente doit inclure :

  • Procedure et calendrier d'export des donnees.
  • Fournisseur alternatif ou capacite interne identifie.
  • Periode de transition et plan de migration.
  • Obligations contractuelles survivant a la resiliation (suppression des donnees, confidentialite).

7. Roles et responsabilites

RoleResponsabilites en matiere de risque fournisseur
Equipe demandeuseSoumet la demande fournisseur avec justification metier et classification des risques.
SecuriteRealise l'evaluation de securite du fournisseur, examine les certifications et les resultats des tests d'intrusion.
JuridiqueExamine les contrats, les DPA et l'allocation de responsabilite. Conseille sur les obligations reglementaires.
Responsable de la gouvernance IACoordonne l'evaluation specifique a l'IA, suit les notes de risque fournisseur, gere le calendrier de reevaluation.
Comite de gouvernance de l'IAApprouve les engagements fournisseurs a haut risque, examine les decisions de sortie fournisseur.

8. Alignement reglementaire

  • Reglement europeen sur l'IA : Article 25 (responsabilites le long de la chaine de valeur IA), Article 16 (obligations des fournisseurs).
  • RGPD : Articles 28-29 (obligations du sous-traitant, exigences DPA).
  • ISO/IEC 42001 : Clause 8.5 (relations avec les tiers et les clients).
  • NIST AI RMF : Fonction GOVERN (GV-6 : politiques pour l'IA tierce).

9. Revue

La presente politique est revue annuellement ou lorsque declenchee par des incidents significatifs chez les fournisseurs, de nouvelles exigences reglementaires ou des modifications du portefeuille de fournisseurs d'IA de l'organisation.

Controle du document

ChampValeur
Proprietaire de la politique[Responsable de la gouvernance IA / RSSI]
Approuve par[Comite de gouvernance de l'IA]
Date d'entree en vigueur[Date]
Prochaine date de revue[Date + 12 mois]
Version1.0
ClassificationInterne

Prêt à implémenter cette politique ?

Utilisez VerifyWise pour personnaliser ce modèle de politique, le déployer et suivre la conformité.

Commencer gratuitementParcourir tous les modèles
Politique de gestion des risques fournisseurs IA | Modèles de gouvernance IA VerifyWise