Aller au contenu
La conformité par l'architecture

Conformité intégrée, dès la conception.

deeplinq est bâti autour des exigences de sécurité et de conformité des secteurs les plus réglementés. Les référentiels universels fixent notre maturité architecturale ; l'alignement régional est examiné à l'engagement, pour chaque déploiement.

L'architecture de la piste de preuve

Le cœur d'audit est un journal non réinscriptible, chaîné par hachage, de chaque action d'IA à portée réelle : prompt, contexte récupéré, version et fournisseur du modèle, décision de routage, vérifications des garde-fous, identité du relecteur en supervision humaine (HITL) et appels aux services externes. Chaque entrée porte un hachage d'intégrité SHA-256 lié à la précédente — toute altération devient détectable. Chaque appel de modèle passe par une passerelle unique sous gouvernance : l'inférence est mesurée et soumise aux politiques en un seul point auditable. Les événements s'écoulent vers les destinations que vous choisissez — base de données, webhook signé HMAC ou fichier JSONL — avec conservation par instance et purge programmée. Exportables dans des formats prêts pour le régulateur, à l'attention du DPO, du RSSI, de l'audit interne et des superviseurs externes.

Schéma d'architecture de la piste de preuves. La colonne de gauche présente les sept champs enregistrés pour chaque action de l'IA : entrée, recherche de contexte, sélection du modèle, contrôle de politique, génération, revue humaine et entrée d'audit. La colonne de droite montre le registre non réinscriptible, avec quatre entrées visibles — l'entrée actuelle n°142 surlignée en bleu, deux entrées antérieures et l'entrée initiale — chacune liée cryptographiquement à la précédente.Saisie par action de l'IARegistre non réinscriptible01Entréerequête · identité de l'utilisateur02Recherche de contextesources RAG · scores03Sélection du modèlefournisseur · version verrouillée04Contrôle de politiquegarde-fous · expurgation · résidence05Générationsortie · trace des jetons06Revue humainesignature du relecteur · décision07Entrée d'auditchaînée par empreinte · infalsifiablevalidéeà l'instantEntrée n°142hash: a7f2c3d1…prev: 9b18ef4a…il y a 2 minEntrée n°141hash: 9b18ef4a…prev: 4e7c12bd…il y a 6 minEntrée n°140hash: 4e7c12bd…prev: c83a6017…initialeEntrée n°001hash: 00000000…prev: —Chaînée par empreinte · Infalsifiable · Exportable pour le régulateur
Chaque action de l'IA devient une entrée infalsifiable. La chaîne se vérifie de bout en bout et s'exporte dans des formats prêts pour le régulateur.

Des pistes de preuve propres à l'IA

Les référentiels d'audit génériques consignent ce qui s'est passé. Notre cœur d'audit est conçu pour capter les preuves propres à l'IA — identité du modèle, contexte de décision, résultats des garde-fous, signature du relecteur humain — au service des pistes de preuve qu'exigeront ISO 42001, l'EU AI Act et SR 11-7.

La portabilité de déploiement comme levier de conformité

Le même deeplinq tourne sur site, dans un cloud privé dédié au client et sur les hyperscalers publics (Azure, AWS, GCP). Le choix du déploiement règle les questions de juridiction :

  • Résidence des données assurée par le lieu de déploiement, quelle que soit la juridiction
  • Accords de sous-traitance réduits aux seuls composants choisis par le client
  • Contrôles de transfert transfrontalier hérités de la gouvernance d'infrastructure du client

La configuration d'IA souveraine

Pour les clients de la banque et du secteur public, la configuration de conformité la plus exigeante est aussi la plus simple à expliquer.

Déploiement sur site + modèles ouverts déployés localement = aucun prompt ne quitte l'environnement, aucune dépendance à un LLM externe, aucun transfert transfrontalier, aucun accord de sous-traitance à signer avec un fournisseur d'IA tiers.

Ce n'est pas une affirmation. Ce n'est pas une promesse. C'est une contrainte architecturale imposée par votre propre infrastructure et validée par votre RSSI.

Conçu pour ces référentiels

Les référentiels universels qui définissent la maturité architecturale de deeplinq. Ils s'appliquent quelle que soit la géographie du client.

DORA
Journalisation complète de la résilience opérationnelle. Incidents des systèmes d'IA enregistrés, classés et notifiables dans les délais imposés par DORA.
MiFID II
Traçabilité intégrale des décisions. Chaque recommandation assistée par l'IA est consignée avec sa chaîne de sources.
Protection des données de niveau RGPD
Aucune donnée client ne quitte votre environnement. Le droit à l'effacement est respecté jusque dans la couche d'IA. La même posture vaut pour nLPD, PDPL, LGPD, CCPA, PIPL et les autres grands régimes de protection des données.
EU AI Act
Architecture prête pour la classification des risques. Journaux de transparence, contrôles de supervision humaine, gouvernance des modèles applicables à la réglementation de l'IA, quelle que soit la juridiction.
ISO 27001
Système de management de la sécurité de l'information conçu pour l'alignement ISO 27001. Démarche de certification en cours.
SOC 2 Type II
Critères des services de confiance ancrés dans l'architecture. Démarche de certification en cours.
NIST CSF / CIS Controls
Architecture de contrôles défensifs alignée sur le NIST Cybersecurity Framework v2 et les CIS Controls v8.

Feuille de route de certification disponible sous accord de confidentialité.

Alignement régional à l'engagement

Régulateurs locaux examinés à l'engagement, parmi lesquels :

Europe

  • FINMA — Suisse
  • ACPR/CNIL — France
  • BaFin — Allemagne
  • FCA — Royaume-Uni
  • CSSF — Luxembourg

Moyen-Orient et Afrique

  • Bank Al-Maghrib — Maroc
  • CBUAE — Émirats arabes unis
  • SAMA — Arabie saoudite
  • CMA Egypt — Égypte
  • SARB — Afrique du Sud

Asie-Pacifique

  • MAS — Singapour
  • HKMA — Hong Kong
  • JFSA — Japon
  • APRA — Australie

Amériques

  • OSFI — Canada
  • OCC / SEC — États-Unis
  • CVM / BACEN — Brésil
  • CNBV — Mexique

Résidence locale des données, certifications propres au pays et cartographie réglementaire font partie du périmètre de chaque déploiement.

Modèle de responsabilité partagée

La conformité est une affaire commune. deeplinq fournit l'architecture, les preuves et les modes de déploiement. Vous fournissez les politiques, la validation et la gouvernance qui engagent votre organisation.

Ce que deeplinq fournit

  • L'architecture de la plateforme (4 couches : connecteurs, RAG, routeur LLM, agents)
  • L'infrastructure de piste d'audit (journaux non réinscriptibles, chaînés par hachage)
  • Le moteur d'application du RBAC
  • Les modes de déploiement (sur site, isolé du réseau, votre cloud, SaaS infogéré)
  • Le routage des modèles avec verrouillage de version
  • L'alignement sur les référentiels universels (DORA, MiFID II, niveau RGPD, EU AI Act, ISO 27001, SOC 2, NIST CSF / CIS)
  • La couche de preuve pour l'aide à la décision réglementée

Ce que vous gardez en main

  • Les politiques d'accès et la création des comptes utilisateurs
  • La validation réglementaire au regard de votre juridiction
  • Le choix des modèles à activer pour chaque usage
  • Les procédures internes et les cadres de gouvernance
  • Les circuits d'approbation et les politiques de supervision humaine
  • Les décisions finales sur les actions réglementées (deeplinq prépare ; vous décidez)
  • Les politiques de conservation et de cycle de vie des données dans votre environnement

Vous voulez le dossier de sécurité complet ?

Nous partageons le document d'architecture de sécurité de deeplinq, la feuille de route de certification et la cartographie des modes de déploiement, sous accord de confidentialité, avec les institutions clientes potentielles.

Examiner l'architecture de gouvernance