Audit due diligence des fournisseurs d'IA RH : conformité AI Act, logs et mitigation des risques
Audit complet pour sélectionner et contrôler vos fournisseurs IA RH : obligations AI Act, exigences GPAI, logs, supervision humaine et clauses contractuelles.
À retenir
- • Cadre légal : l'AI Act impose marquage CE, logs et supervision humaine pour les systèmes RH à haut risque.
- • GPAI : les modèles >10^25 FLOP sont réputés systémiques ; des seuils intermédiaires (≈10^23 FLOP) servent de référence pour des obligations de documentation et d'assistance.
- • Responsabilité partagée : le déployeur reste sanctionnable (jusqu'à 15 M€ ou 3 % du CA) même si le fournisseur est en faute.
- • Obligations pratiques : conservation des logs pour la durée minimale prévue par l'AI Act et vos exigences d'audit, FRIA pour les usages concernés, supervision humaine et droit d'accès aux preuves.
Pourquoi un audit fournisseur rigoureux
Risques de la non-diligence
- • Responsabilité légale : l'entreprise reste responsable vis-à-vis de l'AI Act et peut être sanctionnée en cas de non-conformité, même si le fournisseur est en faute
- • Risques opérationnels : arrêt forcé des processus RH
- • Risques réputationnels : discrimination ou dérive non détectée
- • Coûts de remédiation : migration d'urgence vers d'autres outils
Bénéfices de l'audit
- • Meilleure conformité : identification des écarts et préparation aux obligations
- • Choix éclairé : sélection de fournisseurs alignés avec vos besoins et réglementations
- • Gestion proactive des risques : anticipation des dérives et réduction des incidents
- • Négociation renforcée : contractualisation protective
Données et benchmarks à connaître
Cadre légal et seuils GPAI
Domaines à haut risque, seuils 10^23 / 10^25 FLOP et obligations AI Act
• Les systèmes IA utilisés pour l'emploi, la gestion des travailleurs ou le recrutement sont classés « à haut risque » (AI Act).
• Certains seuils d'entraînement (≈10^23 FLOP) servent de repères dans l'AI Act pour déclencher des obligations de documentation et d'assistance des clients ; au-delà de 10^25 FLOP, les modèles GPAI sont réputés présenter un risque systémique et doivent notifier la Commission et fournir une documentation technique renforcée (FAQ Commission).
• Les sanctions peuvent atteindre 35 M€ ou 7 % du CA pour les pratiques prohibées et 15 M€ ou 3 % pour la violation des obligations de conformité (AI Act).
Obligations clés du déployeur
Logs, supervision humaine et FRIA
• Utiliser le système selon les instructions, assurer une supervision humaine et conserver les logs pendant la durée minimale prévue par l'AI Act et vos obligations de preuve (souvent au moins plusieurs mois selon le rôle).
• Pour certains déployeurs (notamment acteurs publics ou usages à fort impact), une évaluation d'impact sur les droits fondamentaux (FRIA) peut être requise ; vérifiez si votre cas est concerné (analyse AI Act).
• Demander un accès aux preuves : logs horodatés et non altérables, métriques de performance, analyses de biais et plans de mitigation.
Checklist Détaillée par Catégorie
Conformité Réglementaire
Le fournisseur a-t-il réalisé une évaluation de conformité AI Act et obtenu le marquage CE ?
Vérifier l'existence d'une évaluation de conformité AI Act et du marquage CE (déclaration UE de conformité)
Preuves à demander :
- Marquage CE
- Déclaration UE de conformité
- Rapport d'évaluation de conformité
Le fournisseur respecte-t-il les obligations applicables aux modèles d'IA à usage général (GPAI) ?
Pour les modèles à usage général présentant un risque systémique (≈ 10^25 FLOPS) selon l'AI Act
Preuves à demander :
- Documentation GPAI
- Évaluations de risques systémiques
- Mesures d'atténuation
La conformité GDPR est-elle démontrée ?
Protection des données personnelles et droits des candidats
Preuves à demander :
- Analyse d'impact DPIA
- Registre des traitements
- Politiques de rétention
Le fournisseur dispose-t-il d'un système de management de l'IA (norme volontaire ISO/IEC 42001) ?
Gouvernance et management des systèmes IA
Preuves à demander :
- Certification ISO 42001
- Manuel qualité IA
- Procédures de gouvernance
Transparence Technique
La documentation technique est-elle complète ?
Architecture, algorithmes, données d'entraînement
Preuves à demander :
- Documentation technique
- Spécifications algorithmes
- Méta-données d'entraînement
Les métriques de performance sont-elles fournies ?
Précision, rappel, taux d'erreur par catégorie démographique
Preuves à demander :
- Rapports de performance
- Tests de benchmark
- Analyses de biais
Les limites du système sont-elles documentées ?
Cas d'usage non recommandés, limitations connues
Preuves à demander :
- Guide des limitations
- Cas d'usage déconseillés
- Alertes techniques
L'explicabilité des décisions est-elle disponible ?
Capacité à expliquer les décisions automatiques
Preuves à demander :
- Mécanismes d'explicabilité
- Rapports d'interprétation
- APIs d'explication
Logs et Traçabilité
Tous les événements sont-ils loggés automatiquement ?
Enregistrement automatique des décisions et actions
Preuves à demander :
- Spécifications de logging
- Exemples de logs
- Politique de rétention logs
Les logs incluent-ils les méta-données requises ?
Horodatage, utilisateur, données d'entrée, décision, confiance
Preuves à demander :
- Structure des logs
- Échantillons de logs
- Dictionnaire des données
L'accès aux logs est-il sécurisé et auditable ?
Contrôle d'accès, intégrité, non-répudiation
Preuves à demander :
- Politique d'accès logs
- Mécanismes d'intégrité
- Audit trails
Les logs permettent-ils la reconstruction des décisions ?
Capacité à rejouer et analyser les décisions passées
Preuves à demander :
- Outils de replay
- Procédures de reconstruction
- Tests de traçabilité
Mitigation des Risques
Des tests de biais sont-ils réalisés régulièrement ?
Détection automatique et correction des biais discriminatoires
Preuves à demander :
- Rapports de tests de biais
- Métriques de fairness
- Plans de correction
Un monitoring continu est-il en place ?
Surveillance des performances et dérive des modèles
Preuves à demander :
- Tableaux de bord monitoring
- Alertes automatiques
- Seuils de performance
Des mesures de fallback sont-elles prévues ?
Procédures en cas de dysfonctionnement ou performance dégradée
Preuves à demander :
- Plans de contingence
- Procédures de fallback
- Tests de robustesse
La supervision humaine est-elle garantie ?
Possibilité d'intervention humaine et override des décisions IA
Preuves à demander :
- Interfaces de supervision
- Procédures d'override
- Formation des superviseurs
Clauses Contractuelles Essentielles
Garanties de Conformité
Le fournisseur garantit la conformité continue aux réglementations applicables
- Garantie de conformité AI Act à la date de signature
- Engagement de mise à jour en cas d'évolution réglementaire
- Notification immédiate en cas de non-conformité détectée
Accès aux Preuves
Droit d'accès aux documents et preuves de conformité
- Accès aux logs et métriques de performance
- Droit d'audit sur site ou à distance
- Communication des certifications et évaluations
Gestion des Incidents
Procédures en cas d'incident ou de dysfonctionnement
- Notification sous 24h des incidents majeurs
- Plans de remédiation avec échéanciers
- Compensation en cas d'impact sur les processus RH
Résiliation pour Non-Conformité
Conditions de résiliation en cas de défaut de conformité
- Droit de résiliation immédiate en cas de sanction réglementaire
- Période de cure limitée pour les non-conformités mineures
- Migration des données sans frais en cas de résiliation
Processus d'Audit Recommandé
Phase 1 : Audit Documentaire
Analyse des documents et certifications
- Demande du dossier de conformité complet
- Vérification des certifications et leur validité
- Analyse de la documentation technique
- Review des rapports de tests et performance
- Évaluation des mesures de sécurité
Phase 2 : Audit Technique
Tests et vérifications opérationnelles
- Tests de performance sur données représentatives
- Vérification des mécanismes de logging
- Tests de biais et fairness
- Validation des interfaces de supervision
- Tests de robustesse et fallback
Red Flags : Signaux d'Alerte
Signes de Non-Conformité Critique
- • Refus de fournir les certifications ou documents de conformité
- • Absence de logging automatique des décisions IA
- • Impossibilité d'expliquer les décisions du système
- • Pas de tests de biais ou résultats non communiqués
- • Clauses d'exclusion de responsabilité trop larges
- • Références clients non vérifiables ou absentes
- • Pas de plan de mise à jour pour la conformité AI Act
- • Support technique insuffisant pour les questions de conformité
FAQ - Questions Fréquentes
Pourquoi auditer un fournisseur d'IA RH alors que l'éditeur est responsable ?
L'AI Act impose des obligations distinctes aux déployeurs et aux fournisseurs. Un système non conforme peut exposer l'entreprise à des amendes allant jusqu'à 15 M€ ou 3 % du CA, même si le manquement provient du fournisseur. Un audit préalable démontre votre diligence et réduit les risques.
Comment vérifier l'authenticité d'une évaluation de conformité et du marquage CE ?
Demandez la déclaration UE de conformité, vérifiez les registres publics des organismes notifiés et contrôlez les références du marquage CE. En cas de doute, contactez directement l'organisme d'évaluation.
Un fournisseur doit-il être certifié ISO/IEC 42001 ?
La norme ISO/IEC 42001 est volontaire. Elle fournit un cadre pour la gouvernance de l'IA et la gestion des risques. Une certification ou un système de management aligné démontre la maturité, mais l'absence de certification n'exonère pas des obligations AI Act.
Que faire si le fournisseur refuse de partager ses logs ou ses métriques ?
Un tel refus est un signal d'alerte. L'AI Act impose la conservation de logs pertinents et leur accessibilité pour les audits. Exigez des garanties contractuelles ou envisagez une alternative plus transparente.
Quelle est la fréquence idéale pour auditer un système d'IA RH ?
Un audit annuel est recommandé, avec des vérifications trimestrielles pour les systèmes critiques ou après une mise à jour majeure. Accélérez la fréquence en cas d'incident ou d'évolution réglementaire.
Outils d'Audit Prêts à l'Emploi
Kit Complet d'Audit Fournisseurs IA
Checklists, grilles d'évaluation et modèles contractuels