Check-list "Vendor Due Diligence" IA RH : Preuves, Logs, Mitigation
Checklist exhaustive pour auditer vos fournisseurs IA RH : conformité AI Act, preuves documentaires et mesures de mitigation des risques.
À retenir
- • Due diligence critique : votre responsabilité en tant qu'utilisateur final
- • Preuves documentaires : exigez certifications, logs et métriques
- • Clauses contractuelles : protégez-vous juridiquement contre les risques
Pourquoi un Audit Fournisseur Rigoureux
Risques de la Non-Diligence
- • Responsabilité légale : sanctions AI Act même si le fournisseur est fautif
- • Risques opérationnels : arrêt forcé des processus RH
- • Risques réputationnels : discrimination non détectée
- • Coûts de remédiation : migration d'urgence vers d'autres outils
Bénéfices de l'Audit
- • Conformité assurée : respect garanti des réglementations
- • Performance optimisée : choix des meilleurs outils
- • Gestion des risques : anticipation des problèmes
- • Négociation renforcée : contractualisation protective
Checklist Détaillée par Catégorie
Conformité Réglementaire
Le fournisseur a-t-il une certification AI Act valide ?
Vérifier l'existence d'une évaluation de conformité et sa validité
Preuves à demander :
- Certificat de conformité
- Rapport d'évaluation
- Déclaration UE de conformité
Les obligations GPAI sont-elles respectées (si applicable) ?
Pour les fournisseurs utilisant des modèles > 10²⁵ FLOPS
Preuves à demander :
- Documentation GPAI
- Évaluations de risques systémiques
- Mesures d'atténuation
La conformité GDPR est-elle démontrée ?
Protection des données personnelles et droits des candidats
Preuves à demander :
- Analyse d'impact DPIA
- Registre des traitements
- Politiques de rétention
Existe-t-il un système de gestion qualité ISO/IEC 42001 ?
Gouvernance et management des systèmes IA
Preuves à demander :
- Certification ISO 42001
- Manuel qualité IA
- Procédures de gouvernance
Transparence Technique
La documentation technique est-elle complète ?
Architecture, algorithmes, données d'entraînement
Preuves à demander :
- Documentation technique
- Spécifications algorithmes
- Méta-données d'entraînement
Les métriques de performance sont-elles fournies ?
Précision, rappel, taux d'erreur par catégorie démographique
Preuves à demander :
- Rapports de performance
- Tests de benchmark
- Analyses de biais
Les limites du système sont-elles documentées ?
Cas d'usage non recommandés, limitations connues
Preuves à demander :
- Guide des limitations
- Cas d'usage déconseillés
- Alertes techniques
L'explicabilité des décisions est-elle disponible ?
Capacité à expliquer les décisions automatiques
Preuves à demander :
- Mécanismes d'explicabilité
- Rapports d'interprétation
- APIs d'explication
Logs et Traçabilité
Tous les événements sont-ils loggés automatiquement ?
Enregistrement automatique des décisions et actions
Preuves à demander :
- Spécifications de logging
- Exemples de logs
- Politique de rétention logs
Les logs incluent-ils les méta-données requises ?
Horodatage, utilisateur, données d'entrée, décision, confiance
Preuves à demander :
- Structure des logs
- Échantillons de logs
- Dictionnaire des données
L'accès aux logs est-il sécurisé et auditable ?
Contrôle d'accès, intégrité, non-répudiation
Preuves à demander :
- Politique d'accès logs
- Mécanismes d'intégrité
- Audit trails
Les logs permettent-ils la reconstruction des décisions ?
Capacité à rejouer et analyser les décisions passées
Preuves à demander :
- Outils de replay
- Procédures de reconstruction
- Tests de traçabilité
Mitigation des Risques
Des tests de biais sont-ils réalisés régulièrement ?
Détection automatique et correction des biais discriminatoires
Preuves à demander :
- Rapports de tests de biais
- Métriques de fairness
- Plans de correction
Un monitoring continu est-il en place ?
Surveillance des performances et dérive des modèles
Preuves à demander :
- Tableaux de bord monitoring
- Alertes automatiques
- Seuils de performance
Des mesures de fallback sont-elles prévues ?
Procédures en cas de dysfonctionnement ou performance dégradée
Preuves à demander :
- Plans de contingence
- Procédures de fallback
- Tests de robustesse
La supervision humaine est-elle garantie ?
Possibilité d'intervention humaine et override des décisions IA
Preuves à demander :
- Interfaces de supervision
- Procédures d'override
- Formation des superviseurs
Clauses Contractuelles Essentielles
Garanties de Conformité
Le fournisseur garantit la conformité continue aux réglementations applicables
- Garantie de conformité AI Act à la date de signature
- Engagement de mise à jour en cas d'évolution réglementaire
- Notification immédiate en cas de non-conformité détectée
Accès aux Preuves
Droit d'accès aux documents et preuves de conformité
- Accès aux logs et métriques de performance
- Droit d'audit sur site ou à distance
- Communication des certifications et évaluations
Gestion des Incidents
Procédures en cas d'incident ou de dysfonctionnement
- Notification sous 24h des incidents majeurs
- Plans de remédiation avec échéanciers
- Compensation en cas d'impact sur les processus RH
Résiliation pour Non-Conformité
Conditions de résiliation en cas de défaut de conformité
- Droit de résiliation immédiate en cas de sanction réglementaire
- Période de cure limitée pour les non-conformités mineures
- Migration des données sans frais en cas de résiliation
Processus d'Audit Recommandé
Phase 1 : Audit Documentaire
Analyse des documents et certifications
- Demande du dossier de conformité complet
- Vérification des certifications et leur validité
- Analyse de la documentation technique
- Review des rapports de tests et performance
- Évaluation des mesures de sécurité
Phase 2 : Audit Technique
Tests et vérifications opérationnelles
- Tests de performance sur données représentatives
- Vérification des mécanismes de logging
- Tests de biais et fairness
- Validation des interfaces de supervision
- Tests de robustesse et fallback
Red Flags : Signaux d'Alerte
Signes de Non-Conformité Critique
- • Refus de fournir les certifications ou documents de conformité
- • Absence de logging automatique des décisions IA
- • Impossibilité d'expliquer les décisions du système
- • Pas de tests de biais ou résultats non communiqués
- • Clauses d'exclusion de responsabilité trop larges
- • Références clients non vérifiables ou absentes
- • Pas de plan de mise à jour pour la conformité AI Act
- • Support technique insuffisant pour les questions de conformité
FAQ - Questions Fréquentes
Que faire si un fournisseur refuse de fournir certains documents ?
C'est un red flag majeur. Un fournisseur conforme n'a pas de raison de refuser de documenter sa conformité. Envisagez d'autres options ou exigez des garanties contractuelles renforcées.
Comment vérifier l'authenticité des certifications ?
Contactez directement l'organisme certificateur, vérifiez les registres publics et demandez les numéros de série ou références officielles des certifications.
Faut-il auditer tous les fournisseurs IA, même les plus petits ?
Oui, la taille du fournisseur ne change pas vos obligations. Adaptez cependant la profondeur de l'audit au niveau de risque et à l'impact sur vos processus RH.
Quelle fréquence pour les audits de suivi ?
Audit annuel minimum, avec des vérifications trimestrielles pour les systèmes critiques. Plus fréquent en cas d'évolutions réglementaires ou d'incidents.
Outils d'Audit Prêts à l'Emploi
Kit Complet d'Audit Fournisseurs IA
Checklists, grilles d'évaluation et modèles contractuels