1. Objectif
La presente politique etablit le processus de controle pour les mises en production de modeles d'IA de [Nom de l'organisation]. Aucun modele d'IA ne peut etre deploye en production sans avoir passe les revues requises, produit les preuves necessaires et obtenu les approbations requises. Cela empeche les modeles non testes, non documentes ou non approuves d'atteindre les utilisateurs ou d'influencer des decisions.
2. Perimetre
La presente politique s'applique a :
Exclus : Les experimentations dans des environnements isoles ne traitant pas de donnees reelles et n'affectant pas d'utilisateurs reels.
- Tous les nouveaux deploiements de modeles d'IA en environnement de production.
- Toutes les mises a jour, retrainements ou affinages de modeles promus en production.
- Tous les modeles d'IA tiers actives pour un usage en production.
- Tous les changements de configuration, de parametres ou de pipelines de donnees affectant le comportement en production.
3. Niveaux de mise en production
La profondeur du processus d'approbation depend de la classification des risques et de la nature du changement :
| Type de mise en production | Description | Approbation requise |
|---|---|---|
| Nouveau modele (haut risque) | Premier deploiement d'un modele classe a haut risque | Comite de gouvernance de l'IA |
| Nouveau modele (risque moyen) | Premier deploiement d'un modele classe a risque moyen | Responsable de la gouvernance IA + Proprietaire du modele |
| Nouveau modele (faible risque) | Premier deploiement d'un modele classe a faible risque | Proprietaire du modele |
| Mise a jour majeure | Changement d'architecture, nouvelle source de donnees d'entrainement ou changement de classification des risques | Identique a un nouveau modele pour le niveau de risque |
| Mise a jour mineure | Reentrainement avec le meme pipeline de donnees, ajustement des hyperparametres, correction de bogue | Proprietaire du modele (revue par les pairs pour le haut risque) |
| Changement de configuration | Ajustement de seuil, mise a jour de prompt, basculement de fonctionnalite | Proprietaire du modele |
| Activation d'un modele tiers | Nouveau service d'IA fournisseur mis en service | Responsable de la gouvernance IA + Securite + Juridique |
4. Liste de controle pre-production
Avant de demander l'approbation, le Proprietaire du modele doit confirmer et documenter les elements suivants :
4.1 Documentation
- Fiche du modele completee (finalite, architecture, donnees d'entrainement, limites, utilisation prevue, biais connus).
- Fiche de donnees pour les jeux de donnees d'entrainement et d'evaluation.
- Evaluation des risques realisee et inscrite au registre des risques.
- Journal des modifications documentant les changements par rapport a la version precedente (pour les mises a jour).
4.2 Preuves de test
- Rapport de test de validation avec les resultats pass/echec par rapport aux seuils predefinis (conformement a la Politique de validation et de test des modeles).
- Resultats des tests de biais et d'equite (systemes a haut et moyen risque).
- Resultats des tests de securite incluant les tests adversariaux et d'injection de prompt (le cas echeant).
- Rapport de validation independante (systemes a haut risque uniquement).
4.3 Conformite
- Cartographie reglementaire realisee : quelles obligations s'appliquent et comment elles sont satisfaites.
- AIPD des droits fondamentaux realisee (systemes a haut risque deployes dans l'UE).
- Analyse d'impact relative a la protection des donnees realisee (lorsque requise par l'Article 35 du RGPD).
- Exigences de transparence et de notification des utilisateurs documentees.
4.4 Disponibilite operationnelle
- Surveillance configuree : indicateurs de performance, detection de derive, seuils d'alerte.
- Plan de reponse aux incidents documente et revu.
- Procedure de retour en arriere testee et confirmee fonctionnelle.
- Responsabilite d'astreinte ou de support attribuee.
- Planification de capacite realisee (charge prevue, approche de mise a l'echelle).
5. Processus d'approbation
Texte de remplacement. Complétez avec le langage de votre organisation pour 5. Processus d'approbation.
Etape 1 : Demande
Le Proprietaire du modele soumet une demande de mise en production via le portail de gouvernance avec la liste de controle pre-production completee et toutes les preuves justificatives jointes.
Etape 2 : Revue
Le(s) approbateur(s) examinent les preuves. Pour les mises en production a haut risque, le Comite de gouvernance de l'IA examine la demande lors de sa prochaine reunion (ou lors d'une session ponctuelle pour les cas urgents). Les reviseurs peuvent demander des tests ou de la documentation supplementaires avant d'approuver.
Etape 3 : Decision
- Approuve : La mise en production peut proceder. L'approbation est enregistree avec le nom de l'approbateur, la date et les eventuelles conditions.
- Approuve sous conditions : La mise en production peut proceder mais des conditions specifiques doivent etre remplies dans un delai defini (ex. : « deployer mais realiser l'audit d'equite dans les 30 jours »).
- Rejete : La mise en production est bloquee. Le motif du rejet est documente. Le Proprietaire du modele doit traiter les problemes et soumettre a nouveau.
Etape 4 : Deploiement
Apres approbation, le deploiement suit le processus de gestion des changements de l'organisation. La date de deploiement et le deployer sont enregistres.
Etape 5 : Confirmation post-deploiement
Dans les 48 heures suivant le deploiement, le Proprietaire du modele confirme :
- Le modele fonctionne dans les parametres attendus.
- La surveillance est active et produit des donnees.
- Aucun probleme immediat n'a ete detecte.
6. Mises en production d'urgence
Dans les cas ou une correction urgente est necessaire (probleme de surete, vulnerabilite de securite, echeance reglementaire) :
- Le Proprietaire du modele peut deployer avec l'approbation verbale du Responsable de la gouvernance IA.
- L'approbation ecrite et la documentation complete doivent suivre dans les 5 jours ouvrables.
- Les mises en production d'urgence sont enregistrees et revues lors de la prochaine reunion du Comite.
- Les mises en production d'urgence ne doivent pas etre utilisees pour contourner la gouvernance normale par commodite.
7. Retour en arriere et suspension
- Tout modele approuve peut etre suspendu par le Responsable de la gouvernance IA si les preuves post-deploiement indiquent un risque inacceptable.
- Le retour en arriere a la version precedente doit etre executable dans le delai defini dans la liste de controle de disponibilite operationnelle.
- Les decisions de suspension et de retour en arriere sont enregistrees avec leur justification et revues par le Comite.
8. Piste d'audit
Les enregistrements suivants sont maintenus pour chaque mise en production :
Les enregistrements sont conserves conformement a la politique de conservation des documents de l'organisation et mis a disposition pour les audits internes et externes.
- Demande de mise en production avec liste de controle pre-production.
- Tous les documents de preuves (rapports de tests, evaluation des risques, AIPD des droits fondamentaux, AIPD).
- Decision d'approbation avec identite de l'approbateur, date et eventuelles conditions.
- Enregistrement du deploiement (date, deployer, environnement).
- Confirmation post-deploiement.
- Tous les enregistrements de retour en arriere ou de suspension.
9. Roles et responsabilites
| Role | Responsabilites en matiere de mise en production |
|---|---|
| Proprietaire du modele | Prepare la demande de mise en production, complete la liste de controle, coordonne les tests, deploie, confirme le post-deploiement. |
| Responsable de la gouvernance IA | Examine les demandes a risque moyen, coordonne les revues du Comite, approuve les mises en production d'urgence, declenche les retours en arriere. |
| Comite de gouvernance de l'IA | Approuve les mises en production a haut risque, examine les mises en production d'urgence retrospectivement. |
| Securite | Examine les preuves de tests de securite, participe aux approbations d'activation de tiers. |
| Juridique | Examine les preuves de conformite, participe aux approbations d'activation de tiers. |
10. Alignement reglementaire
- Reglement europeen sur l'IA : Article 9 (systeme de gestion des risques), Article 16 (obligations des fournisseurs), Article 43 (evaluation de conformite avant la mise sur le marche).
- ISO/IEC 42001 : Clause 8.2 (realisation du systeme d'IA), Clause 8.4 (verification et validation).
- NIST AI RMF : Fonction MANAGE (MG-2 : decisions de deploiement, MG-3 : surveillance post-deploiement).
11. Revue
La presente politique est revue annuellement ou lorsque declenchee par des modifications du processus de mise en production, des outils de deploiement ou des schemas de defaillance de mise en production.
Controle du document
| Champ | Valeur |
|---|---|
| Proprietaire de la politique | [Responsable de la gouvernance IA] |
| Approuve par | [Comite de gouvernance de l'IA] |
| Date d'entree en vigueur | [Date] |
| Prochaine date de revue | [Date + 12 mois] |
| Version | 1.0 |
| Classification | Interne |