Ce qu'il faut retenir
- 7 axes d'audit incontournables : sécurité, RGPD/DPA, exposition Cloud Act, SLA, exit plan, certifications, santé financière
- Tout fournisseur refusant de répondre à vos questions d'audit est un red flag majeur — un prestataire de confiance répond en transparence
- La différence entre un fournisseur cloud US et un fournisseur souverain français n'est pas seulement commerciale : elle est juridique et structurelle
- Les clauses contractuelles sont aussi importantes que la grille d'audit : sans auditabilité et portabilité garanties dans le contrat, vos droits sont théoriques
Pourquoi auditer systématiquement tout fournisseur IA
La prolifération des offres IA crée un marché asymétrique : les fournisseurs savent ce que leur solution fait réellement, les acheteurs doivent se fier aux démonstrations et aux brochures. Dans ce contexte, l'audit fournisseur est le seul moyen de rétablir l'équilibre informationnel.
Les conséquences d'un mauvais choix de fournisseur IA sont plus graves que pour un logiciel classique :
- Dépendance aux données : vos données d'entraînement et vos bases de connaissances sont dans le système du fournisseur — en sortir est coûteux
- Responsabilité RGPD transférée mais pas diluée : si votre fournisseur IA est en défaut de conformité, c'est vous le responsable de traitement qui êtes sanctionné par la CNIL
- Risque de continuité : une startup IA qui lève des fonds mais brûle du cash peut disparaître en 18 mois — avec vos données et votre historique
- Exposition stratégique : un fournisseur soumis au Cloud Act peut être contraint de fournir vos données à des autorités américaines sans vous en informer
Les 7 axes d'audit d'un fournisseur IA
Axe 1 — Sécurité technique (20 points)
Évalue les pratiques de sécurité du fournisseur : chiffrement des données au repos et en transit (standard minimum : AES-256 et TLS 1.3), isolation multi-tenant (vos données sont-elles strictement séparées de celles d'autres clients ?), gestion des accès (principe du moindre privilège, authentification multi-facteurs pour l'accès aux systèmes de production), et politique de patch management (délai de correction des vulnérabilités critiques).
Axe 2 — RGPD et DPA (20 points)
Vérifie la conformité RGPD réelle, au-delà des déclarations marketing : existence d'un DPA (Data Processing Agreement) signable, registre des traitements à jour, nomination d'un DPO, sous-traitants déclarés (y compris leurs localisations), politique de gestion des demandes d'exercice de droits, délai de réponse aux violations de données (72h obligation légale).
Axe 3 — Exposition Cloud Act (15 points)
Analyse la structure juridique du fournisseur pour déterminer son exposition au Cloud Act américain. Questions clés : le fournisseur est-il une entité américaine ou une filiale ? Ses infrastructures sont-elles hébergées par des providers soumis au Cloud Act (AWS, Azure, GCP) ? Ses fournisseurs de services (CDN, monitoring, analytics) sont-ils américains ? Existe-t-il une chaîne de sous-traitance qui crée une exposition indirecte ?
Axe 4 — SLA et qualité de service (15 points)
Évalue les engagements contractuels de niveau de service : disponibilité garantie (95%, 99%, 99,9% — la différence est majeure), délai de rétablissement (RTO) et point de reprise (RPO) en cas d'incident, pénalités contractuelles en cas de non-respect du SLA (crédit de service, résiliation, remboursement), fenêtres de maintenance planifiée, et historique réel de disponibilité (demandez les rapports de disponibilité des 12 derniers mois).
Axe 5 — Exit plan et portabilité (10 points)
Évalue la réversibilité de la relation. Le vendor lock-in IA est l'un des risques les plus sous-estimés. Points clés : format d'export des données (standard ouvert ou propriétaire ?), portabilité des modèles fine-tunés (les poids des modèles entraînés sur vos données vous appartiennent-ils ?), délai d'export garanti, assistance à la migration, et coûts de sortie (certains fournisseurs facturent l'export des données).
Axe 6 — Certifications (10 points)
Vérifie les certifications pertinentes : ISO 27001 (sécurité de l'information), ISO 27701 (vie privée), SOC 2 Type II (contrôles de sécurité audités), HDS (Hébergeur de Données de Santé) si pertinent, SecNumCloud ANSSI pour les administrations. Attention : demandez les certificats originaux avec date de validité — une certification expirée ou non renouvelée n'offre aucune garantie.
Axe 7 — Santé financière (10 points)
Évalue la pérennité du fournisseur : ancienneté de l'entreprise, structure du capital (VC-backed avec runway limité vs rentable vs filiale d'un groupe), chiffre d'affaires et évolution, client reference list (demandez des références vérifiables de clients de taille comparable), et stabilité de l'équipe dirigeante (high turnover = red flag).
Grille de scoring 100 points
| Axe | Points max | Score 0 | Score 50% | Score 100% |
|---|---|---|---|---|
| 1. Sécurité technique | 20 | Pas de chiffrement documenté | Chiffrement basique, audit annuel | AES-256+TLS1.3, pentest trimestriel, ISO 27001 |
| 2. RGPD/DPA | 20 | Pas de DPA disponible | DPA générique, DPO nommé | DPA personnalisé, AIPD facilitée, délai 72h garanti |
| 3. Cloud Act | 15 | Entité US, infra AWS/Azure/GCP | Entité EU, sous-traitants mixtes | Entité FR, infra 100% FR, aucun sous-traitant US |
| 4. SLA | 15 | Pas de SLA contractuel | 99% uptime, pénalités crédit | 99,9% uptime, pénalités remboursement, RTO/RPO garantis |
| 5. Exit plan | 10 | Pas de procédure de sortie définie | Export CSV dans 30 jours | Export complet formats ouverts, modèles portables, assistance migration |
| 6. Certifications | 10 | Aucune certification | ISO 27001 ou SOC2 Type I | ISO 27001 + SOC2 Type II + certifications sectorielles |
| 7. Santé financière | 10 | Startup <18 mois, runway <12 mois | PME rentable ou groupe solide | Groupe établi, CA croissant, références clients vérifiables |
Interprétation du score :
- 80-100 points : fournisseur qualifié, procéder à la contractualisation avec clauses renforcées
- 60-79 points : fournisseur acceptable avec conditions — exiger un plan de remédiation sur les axes en déficit avant signature
- 40-59 points : fournisseur à risque — ne retenir qu'en l'absence d'alternative et avec contrat très encadrant
- Moins de 40 points : fournisseur à écarter, quel que soit l'attractivité commerciale ou technique de la solution
Questions à poser obligatoirement à tout fournisseur IA
Sur la sécurité et la localisation des données
- « Où sont physiquement hébergées nos données ? Dans quels datacenters, dans quels pays ? »
- « Quels sont vos sous-traitants techniques (infra, CDN, monitoring, analytics) et où sont-ils localisés ? »
- « Quelle est la structure juridique de votre entreprise ? Avez-vous une maison mère ou des actionnaires soumis à la loi américaine ? »
- « Pouvez-vous nous fournir les résultats de votre dernier pentest et audit de sécurité ? »
Sur la conformité RGPD
- « Pouvez-vous nous transmettre votre DPA standard ? Est-il amendable ? »
- « Quel est votre délai de notification en cas de violation de données ? »
- « Utilisez-vous nos données pour entraîner ou améliorer vos modèles ? »
- « Quel est votre registre des sous-traitants RGPD et pouvez-nous le transmettre ? »
Sur la portabilité et la sortie
- « En cas de résiliation, dans quel délai et dans quel format pouvons-nous récupérer nos données ? »
- « Les poids des modèles fine-tunés sur nos données nous appartiennent-ils ? Pouvons-nous les exporter ? »
- « Quels sont les coûts de sortie (transfert de données, assistance migration) ? »
Sur la santé financière et la pérennité
- « Pouvez-vous nous transmettre vos 3 derniers bilans ou équivalent ? »
- « Quelle est votre structure de financement (autofinancement, VC, dette) ? »
- « Pouvez-vous nous fournir 3 références clients de taille comparable à notre organisation ? »
Red flags rédhibitoires
Certaines réponses ou comportements doivent déclencher un arrêt immédiat du processus de sélection, quel que soit l'intérêt de la solution :
- Refus de signer un DPA : en droit européen, tout sous-traitant traitant des données personnelles doit signer un DPA. Un fournisseur qui refuse est en violation du RGPD — et vous expose à une responsabilité partagée.
- Clause d'entraînement non négociable : toute clause indiquant que vos données peuvent être utilisées pour améliorer les modèles du fournisseur sans restriction est inacceptable pour des données sensibles.
- Infrastructure 100% GAFAM : un fournisseur IA dont toute l'infrastructure repose sur AWS, Azure ou GCP est structurellement soumis au Cloud Act pour les données qu'il héberge.
- Absence de certifications vérifiables : des certifications annoncées mais non présentables sur demande (numéro de certificat, organisme certificateur, date de validité) n'ont aucune valeur.
- SLA sans pénalités réelles : un SLA qui ne prévoit que des crédits de service (déductions sur la prochaine facture) sans possibilité de résiliation pour manquement répété n'est pas un vrai SLA.
- Opacité financière totale : une startup qui refuse tout accès à ses données financières alors que vous lui confiez vos données stratégiques est un signal d'alarme majeur.
- Pas de procédure de sortie documentée : si votre fournisseur n'a pas de procédure d'exit formalisée, votre relation est par construction un lock-in non consenti.
Clauses contractuelles essentielles
Clause d'auditabilité
Texte recommandé : « Le Client dispose du droit de réaliser, à ses frais et avec un préavis de [30 jours], ou de faire réaliser par un tiers indépendant de son choix, un audit technique du Système IA portant sur la sécurité, la conformité RGPD, et le respect des présentes CGV. Le Prestataire s'engage à coopérer pleinement et à fournir un accès aux logs, à la documentation technique et aux paramètres du système dans un délai de [10 jours ouvrés] à compter de la notification d'audit. »
Clause de portabilité
Texte recommandé : « À l'expiration ou à la résiliation du présent contrat, le Prestataire s'engage à fournir au Client, dans un délai de [30 jours calendaires], l'intégralité des Données du Client dans un format ouvert et exploitable ([JSON/CSV/XML selon le cas]), ainsi que les poids des modèles entraînés sur les données du Client. Cette prestation de restitution est incluse dans le tarif contractuel. Après confirmation de la bonne réception par le Client, le Prestataire procède à la destruction certifiée de toutes les copies des Données du Client dans un délai de [15 jours]. »
Clause d'interdiction d'entraînement
Texte recommandé : « Le Prestataire s'interdit formellement d'utiliser les Données du Client, les requêtes soumises par le Client, les réponses générées dans le contexte des traitements du Client, ou tout sous-produit de ces éléments, pour entraîner, affiner, évaluer ou améliorer tout modèle d'intelligence artificielle, qu'il soit utilisé dans la solution fournie au Client ou dans toute autre offre du Prestataire, sans accord écrit préalable et exprès du Client. »
Cloud US vs souverain français : la différence structurelle
| Critère | Fournisseur IA cloud US (AWS/Azure/GCP) | Fournisseur IA souverain FR (Intelligence Privée) |
|---|---|---|
| Exposition Cloud Act | Structurelle et non contournable | Inexistante (entité et infra 100% FR) |
| Juridiction applicable | Droit américain en priorité | Droit français et européen exclusivement |
| DPA RGPD | DPA standard difficile à amender | DPA personnalisé, clauses négociables |
| Notification CNIL en cas d'incident | Délai souvent > 72h requis | 72h garanties, CNIL comme référent unique |
| Auditabilité | Limitée par les CGV fournisseur | Audit tiers possible, documentation complète |
| Portabilité | Variable, souvent verrouillée | Portabilité complète garantie contractuellement |
| Entraînement sur vos données | Souvent par défaut, opt-out difficile | Jamais sans accord écrit préalable |
Auditez Intelligence Privée — nous répondons à tout
Nous mettons à disposition notre DPA complet, nos certifications, notre architecture de sécurité et nos références clients. Aucune question d'audit n'est hors limites. Comparez notre score avec vos autres fournisseurs en évaluation.
Demander notre dossier d'audit →FAQ : Audit fournisseur IA
À quelle fréquence faut-il auditer un fournisseur IA déjà en production ?
Un audit complet annuel est le minimum recommandé pour tout fournisseur IA en production sur des données sensibles. Des événements déclencheurs imposent un audit immédiat : changement de structure capitalistique du fournisseur (rachat, levée de fonds majeure), incident de sécurité signalé, modification des CGV ou de la politique de confidentialité, et tout changement de l'architecture technique affectant la localisation des données.
Un fournisseur certifié ISO 27001 est-il automatiquement conforme RGPD ?
Non. ISO 27001 certifie un système de management de la sécurité de l'information — pas la conformité RGPD. Un fournisseur ISO 27001 a des pratiques de sécurité vérifiées, mais peut très bien ne pas avoir de DPA conforme, utiliser des sous-traitants non déclarés, ou avoir des pratiques d'entraînement sur les données clients non conformes. Les deux certifications sont complémentaires mais distinctes.
Peut-on auditer un fournisseur en phase de POC, avant la contractualisation ?
Oui, et c'est recommandé. L'audit pré-contractuel est plus léger (questionnaire d'auto-évaluation + vérification documentaire) mais permet d'identifier les red flags avant d'investir dans un POC. Les fournisseurs qui refusent de répondre à un questionnaire d'audit avant la signature d'un POC envoient un signal d'alarme clair sur leur posture de transparence.
Comment gérer un fournisseur IA qui obtient un score d'audit insuffisant mais dont la solution est techniquement supérieure ?
Distinguez les déficits remédiables (un SLA insuffisant peut être amélioré par négociation, une certification manquante peut être en cours d'obtention) des déficits structurels (une exposition Cloud Act d'une entité américaine n'est pas remédiable contractuellement). Pour les déficits remédiables, conditionnez la signature à un plan de remédiation avec jalons vérifiables. Pour les déficits structurels, la supériorité technique ne compense pas le risque juridique et stratégique.
Que faire si un fournisseur en production ne répond plus à nos demandes d'audit ?
Vérifiez d'abord les clauses contractuelles : si une clause d'auditabilité est en place, le refus de coopérer est une violation contractuelle ouvrant droit à résiliation et à des pénalités. Si aucune clause n'existe (erreur de contractualisation initiale), le levier est le RGPD : en tant que responsable de traitement, vous pouvez exiger du sous-traitant toute information nécessaire à la vérification de sa conformité (article 28.3h du RGPD). La CNIL peut être saisie si la coopération est refusée.