Code d'éthique de l'IA du groupe LEGIER et "SANDIC by LEGIER

Table des matières

Remarque : Si le répertoire automatique semble vide, veuillez faire un clic droit dans Word → "Actualiser le champ".

1. préambule & champ d'application

Ce code définit les principes, processus et contrôles obligatoires pour le développement, l'acquisition, l'exploitation et l'utilisation de l'IA au sein du groupe LEGIER. Il s'applique à l'ensemble du groupe pour les collaborateurs, les cadres, les sous-traitants, les fournisseurs et les partenaires.

Il intègre les politiques existantes du groupe (protection des données, processus de services numériques, gouvernance d'entreprise, développement durable, politique des droits de l'homme, déclaration sur l'esclavage moderne) et les étend aux exigences spécifiques à l'IA.

Objectif est de permettre l'utilité et l'innovation, de maîtriser les risques et de préserver les droits des utilisateurs, des clients et de la collectivité.

2. valeurs fondamentales & principes directeurs

Dignité humaine et droits fondamentaux priment sur l'efficacité économique. L'IA est au service de l'homme, jamais l'inverse.
Conformité légale : Respect de EU-AI-Act, RGPD, DSA ainsi que des normes spécifiques au secteur. Pas de recours à des pratiques interdites.
Responsabilité & redevabilité : Un propriétaire responsable est désigné pour chaque système d'IA ; les décisions sont compréhensibles et peuvent être contestées.
Proportionnalité : Équilibre entre l'objectif, le risque, l'intensité de l'intervention et l'impact sur la société.
Transparence & explicabilité : des conseils, une documentation et des moyens de communication appropriés concernant le fonctionnement, la situation des données et les limites.
Équité & inclusion : Examen systématique des biais, protection des groupes vulnérables, accessibilité et multilinguisme.
Sécurité & résilience : Security-by-Design, Defense-in-Depth, durcissement continu et surveillance.
la durabilité : Efficacité des modèles et des centres de données (énergie, PUE/CFE), vision du cycle de vie des données/modèles.

3. gouvernance & responsabilités (AI-Ethics-Board, RACI)

Conseil d'éthique de l'IA (AIEB) : Interdisciplinaire (Tech, Droit/Compliance, Protection des données, Sécurité, Rédaction/Produit, People). Tâches à accomplir : Mettre à jour les principes, donner les autorisations (en particulier pour les risques élevés), décider des conflits, surveiller les rapports.

Rôles : Use-Case-Owner, Model-Owner, Data Steward, DPO, Security Lead, Responsible Editor, Service Owner, Procurement Lead.

Comités & passerelles : Approbation par l'AIIA avant la mise en service ; comité consultatif sur les changements en cas de modifications matérielles ; revues de direction annuelles.

Principe du RACI : Attribution claire des responsabilités pour chaque activité (Responsible, Accountable, Consulted, Informed).

4. cadre juridique & normatif (EU-AI-Act, RGPD, DSA, droit d'auteur, droit commercial)

EU-AI-Act : Cadre basé sur les risques avec interdictions, obligations pour les systèmes à haut risque, documentation, journalisation, gouvernance, obligations de transparence ; applicabilité échelonnée à partir de 2025/2026.
RGPD : Bases juridiques (art. 6/9), droits des personnes concernées, Privacy-by-Design/Default, analyse d'impact relative à la protection des données (DPIA), transferts vers des pays tiers (art. 44 et suivants).
DSA : Processus de plateforme pour la notification, la plainte, les rapports de transparence, les évaluations de risques des grandes plateformes.
Droits d'auteur et droits voisins / droits de la personnalité : Chaînes de licence claires, droit à l'image/droit au nom, droit de propriété de tiers.
Directives spécifiques au secteur (p. ex. aviation/droit maritime/santé) doivent en outre être respectées.

5. classification des risques & AI-Impact-Assessment (AIIA)

Classification :

Pratiques interdites (non autorisées)
Systèmes à haut risque (obligations strictes)
Risque limité (transparence)
Risque minimal

Déroulement de l'AIIA : Description But/portée, parties prenantes, bases légales, sources de données ; analyse des risques (droit, éthique, sécurité, biais, impact environnemental) ; plan de mitigation ; décision (validation AIEB).

Réévaluations : Pour le matériel Changes, annuellement pour le haut risque ; documentation dans le registre central.

6) Éthique des données & protection des données (bases juridiques, DPIA, cookies, pays tiers)

Minimisation des données & limitation des finalités ; Pseudonymisation/anonymisation de préférence.
Transparence : Informations sur la protection des données, voies d'accès et de suppression ; portabilité ; possibilités d'opposition.
Cookies/tracking : Gestion du consentement ; révocation ; anonymisation des IP ; outils validés uniquement.
les transferts vers des pays tiers : Uniquement avec des garanties appropriées (SCC/adéquation) ; contrôles réguliers des sous-processeurs.
DPIA : Obligatoire pour les traitements à haut risque ; documenter les mesures techniques/organisationnelles (TOM).

7. cycle de vie des modèles & des données (ML-Lifecycle, Data Cards, Model Cards)

Cycle de vie des données : Acquisition → Curation → Labeling → Quality-Gates → Versioning → Rétention/Deletion.

Cycle de vie du modèle : Définition du problème → Choix de l'architecture → Formation/Finetuning → Évaluation (hors ligne/en ligne) → Validation → Exploitation → Surveillance → Formation/Retrait.

Cartes de données : Origine, représentativité, qualité, résultats de biais, restrictions d'utilisation.

Cartes modèles : Objectif, données d'entraînement, benchmarks, métriques, limites, modèles d'erreurs attendus, à faire/à ne pas faire.

Provenance & reproductibilité : Hashs, versions de données/modèles, preuves de pipeline.

8. transparence, explicabilité & conseils aux utilisateurs

étiquetage pour les interactions avec l'IA et les contenus générés par l'IA.
Explicabilité : Explications adaptées au cas d'utilisation et compréhensibles par les profanes (local/global).
Conseils aux utilisateurs : Objectif, principaux facteurs d'influence, limites ; moyens de feedback et de correction.

9. l'homme dans la boucle & les obligations de supervision

La supervision humaine comme norme pour les décisions pertinentes (en particulier à haut risque).
Principe du double contrôle pour les missions sensibles sur le plan éditorial/social.
Fonctions de dépassement/d'interruption ; voies d'escalade ; documentation.

10. sécurité, robustesse & red-teaming (prompt-injection, jailbreaks)

Modélisation de la menace (STRIDE + spécifique à l'IA) : Injection de prompt, empoisonnement des données d'entraînement, vol de modèle, fuite de données personnelles.
Red-Teaming & tests adversaires ; prévention du jailbreak ; limitation du taux ; filtre de sortie ; scan secret.
La robustesse : Fallback-Prompts, Guardrails, plans de rollback ; Canary-Releases ; Chaos-Tests pour Safety.

11) Chaîne d'approvisionnement, droits de l'homme & travail équitable (esclavage moderne, analogue à LkSG)

Diligence raisonnable en matière de droits de l'homme : Analyse des risques, code des fournisseurs, engagements contractuels, audits, mesures correctives.
L'esclavage moderne : Déclaration annuelle, sensibilisation, voies de déclaration.
les normes de travail : Rémunération équitable, temps de travail, protection de la santé ; protection des lanceurs d'alerte.

12. gestion des biais, équité & inclusion (clients vulnérables, accessibilité)

Tests de biais : Analyse de l'ensemble des données, équilibrage, groupes de test divers, métriques d'équité ; atténuation documentée.
Clients vulnérables : Objectifs de protection, canaux alternatifs, langage clair ; pas d'exploitation des faiblesses cognitives.
Accessibilité : WCAG-Conformité ; multilinguisme ; approche inclusive.

13. IA générative, garanties d'origine & étiquetage (C2PA, filigrane)

Marquage : Étiquettes/métadonnées visibles pour le contenu de l'IA ; indication en cas d'interactions.
Garanties d'origine : C2PA-contexte, signatures/filigranes dans la mesure où cela est techniquement possible.
Droits d'auteur/protection des prestations : Clarifier les licences ; conformité des données de formation ; documenter la chaîne de droits.

14. contenu, modération & processus DSA (notification, plainte, transparence)

Voies de communication : Signalement des utilisateurs à bas seuil ; traitement prioritaire des contenus illégaux.
Processus de réclamation : Justification transparente, objection, escalade.
Rapports de transparence : Publication périodique d'indicateurs et de mesures pertinents.

15. utilisation spécifique au domaine (News, Data, Health, Aviation, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)

Nouvelles/Publication : Assistance à la recherche, traduction, modération ; identification claire des contenus génératifs.
SCANDIC DATA : Infrastructure IA/HPC sécurisée, séparation des mandants, HSM/KMS, observabilité, artefacts de conformité.
Santé : Utilisation basée sur des preuves, décision humaine en dernier ressort, pas de diagnostics non testés.
Aviation/Yachts : Processus de sécurité, supervision humaine, procédures d'urgence.
Estate : Modèles d'évaluation avec contrôles d'équité ; intégration ESG.
Payer/Trader/Trust/Coin : Prévention de la fraude, KYC/AML, surveillance du marché, décisions explicables.
Cars : Des services personnalisés avec une protection stricte des données.

16. tiers, approvisionnement & gestion du risque vendeur

Due diligence avant l'embarquement : Niveau de sécurité/protection des données, emplacements des données, sous-processeurs, certificats.
Contrats : Droits d'audit, clauses de transparence et de réparation, métriques SLA/OLA.
Surveillance : KPI de performance, échange de résultats/incidents, plans de sortie.

17. exploitation, observabilité, plans d'urgence & de redémarrage

fonctionnement : Observabilité (logs, métriques, traces), gestion SLO/SLI, planification des capacités.
Urgence Runbooks, tests DR, temps de récupération, plans de communication.
Gestion de la configuration/des secrets : Least-Privilege, rotations, durcissement.

18. incidents & remédiation (éthique, protection des données, sécurité)

Incidents éthiques : Discrimination indésirable, désinformation, origine incertaine - mesures immédiates et révision de l'AIEB.
Incidents liés à la protection des données : Processus de notification à DPO/surveillance ; information des personnes concernées ; analyse des causes.
Incidents de sécurité : Procédures CSIRT, médecine légale, leçons apprises, mesures de prévention.

19. métriques, KPIs & assurance (interne/externe)

KPI obligatoires : 100 % Couverture AIIA de cas d'utilisation d'IA productifs ; 95 % Taux de formation ; 0 découverte d'audit critique ouverte.
Métriques d'équité : Disparate Impact, Equalized Odds (spécifique à chaque cas d'utilisation).
la durabilité : Indicateurs énergétiques/PUE/carbone des centres de données ; efficacité des modèles.

20. formation, sensibilisation et changement culturel

Formation obligatoire (annuelle) : Éthique de l'IA, protection des données, sécurité, éthique des médias ; modules spécifiques à des groupes cibles.
Campagnes de sensibilisation : Guides, sessions brown-bag, heures de consultation ; communautés de pratique internes.
la culture : Fonction de modèle de la direction, culture de l'erreur, récompense des actions responsables.

21. mise en œuvre & feuille de route (0-6 / 6-12 / 12-24 mois)

De 0 à 6 mois : Inventaire KI-Use-Cases ; processus AIIA ; contrôles minimaux ; vague de formation ; screening des fournisseurs.
De 6 à 12 mois : Déploiement de l'équipe rouge ; premiers rapports de transparence ; programme énergétique ; finalisation du RACI.
De 12 à 24 mois : Alignement ISO/CEI 42001 ; assurance limitée ; amélioration continue ; préparation CSRD/ESRS (le cas échéant).

22e Rouleaux & matrice RACI

Propriétaire du cas d'utilisation (A) : But, avantages, KPI, budget, réévaluations.
Propriétaire du modèle (R) : Données/formation/évaluation, Model Card, surveillance de la dérive.
DPO (C/A pour la protection des données) : Base juridique, DPIA, droits des personnes concernées.
Lead de sécurité (C) : Modélisation des menaces, Red-Teaming, TOMs.
Rédacteur responsable (C) : Éthique des médias, marquages, registre de correction.
Propriétaire de service (R) : Exploitation, SLO, gestion des incidents.
Responsable de l'approvisionnement (R/C) : Tiers, contrats, plans de sortie.

23. check-lists (AIIA court, libération des données, go-live-gate)

Petit tour d'horizon de l'AIIA : Quel est le but ? Base juridique ? Personnes concernées ? Risques (droit/éthique/sécurité/biais/environnement) ? Atténuation ? Contrôles HIL ?
Partage des données : Source légitime ? Réduction au minimum ? Rétention ? accès ? Pays tiers ?
Porte de lancement : Artefacts complets (Data/Model Cards, Logs) ? Résultats de la Red Team adressés ? Monitoring/DR mis en place ?

24. formulaires & modèles (Model Card, Data Card, Incident Report)

Modèle de carte modèle : Objectif, données, formation, benchmarks, limitations, risques, responsables, contact.
Modèle de carte de données : Origine, licence, qualité, représentativité, contrôle des biais, restrictions d'utilisation.
Modèle de rapport d'incident : Événement, conséquences, personnes concernées, mesures immédiates, Root Cause, remède, Lessons Learned.

25. glossaire & références

Glossaire : Système d'IA, IA générative, système à haut risque, AIIA, HIL, C2PA, Red-Teaming, DPIA, RACI, SLO/SLI.

Références :

EU-AI-Act
RGPD
DSA
Principes de l'OCDE-AI
NIST AI RMF
ISO/IEC 42001
Directives internes (protection des données, processus DSA, esclavage moderne, durabilité)

Remarque : Ce code de l'IA complète les directives LEGIER existantes, telles que, entre autres : (Protection des données, Services numériques, Droits de l'homme/chaîne d'approvisionnement, Gouvernance d'entreprise, Durabilité, Esclavage moderne). Il fait partie intégrante du cadre de conformité du groupe LEGIER (LEGIER Beteiligungs mbH).