G
Garante

Notice de transparence — Utilisation de l'IA

Conformément au Règlement UE 2024/1689 (IA Act) et à l'article 13 du RGPD — Version 1.0 — 24 avril 2026

En résumé

Garante utilise le modèle Mistral Largecomme système d'IA d'assistance à la décision. Toutes les sorties sont obligatoirement relues et validées par un DPO humain avant tout envoi au demandeur ou publication. Aucune décision automatisée au sens de l'article 22 du RGPD n'est prise. Les données personnelles sont pseudonymisées avant tout appel au modèle.

1. Systèmes d'IA utilisés dans Garante

FournisseurMistral AI SAS (France) — TIA Schrems II
Modèlemistral-large-latest
NatureModèle de langage d'usage général (GPAI — General-Purpose AI Model au sens de l'article 3(66) IA Act)
UsagesRédaction de brouillons de réponse DSAR, analyse de DPA, suggestion de fiches de registre Art. 30, génération d'analyses AIPD Art. 35, détection de PII à pseudonymiser

2. Classification au titre du Règlement IA Act

L'IA Act classe les systèmes d'IA par niveau de risque (interdit / haut risque / risque limité / risque minimal). Pour déterminer la classification du système d'assistance de Garante :

2.1 Ce n'est PAS un système à haut risque

  • Le système ne relève d'aucun domaine de l'Annexe III (éducation, emploi, services essentiels, application de la loi, migration, justice, processus démocratiques)
  • Il n'est pas un composant de sécurité d'un produit visé à l'Annexe I
  • Il ne prend aucune décision automatiséesur une personne au sens de l'Art. 22 RGPD — toute sortie passe par une revue DPO obligatoire

2.2 Classification retenue

Système d'IA à risque limitéavec obligations de transparence (Art. 50 IA Act). Le présent document constitue l'information due aux utilisateurs du service au titre de l'Art. 50(1) — information explicite qu'ils interagissent indirectement avec une IA.

3. Rôles au sens de l'IA Act

Mistral AI SASFournisseur (provider) du modèle GPAI sous-jacent
GaranteDéployeur (deployer) — assemble le modèle dans un service fourni aux cabinets DPO
Cabinet DPO clientUtilisateur professionnel du service Garante — responsable de la revue finale des sorties IA avant tout usage
Personne concernée (demandeur DSAR…)Personne affectéeau sens de l'Art. 26 IA Act — bénéficie du droit à l'information

4. Obligations de transparence et garanties

4.1 Transparence (Art. 50 IA Act + Art. 13 RGPD)

  • Publication de la présente notice sur /legal/ia-act-notice accessible publiquement
  • Information explicite dans chaque réponse DSAR assistée par IA : « Ce brouillon a été pré-rédigé avec l'assistance d'un système d'IA puis validé par un DPO humain »
  • Publication de la liste des sous-traitants dans /legal/subprocessors

4.2 Supervision humaine (Art. 14 IA Act)

  • Revue DPO obligatoire: toute sortie du modèle doit être validée et éventuellement modifiée par un DPO avant envoi ou publication. Le système bloque l'approbation d'un brouillon si elle intervient moins d'1 minute après la génération IA (évite les « rubber stamp »).
  • Option validation à 4 yeux: le cabinet peut activer un workflow de double relecture (DPO + assistant distinct) avant tout envoi — traçabilité intégrale dans l'audit log.
  • Audit log des appels IA : chaque appel à Mistral est journalisé dans ai_audit_log (fonction appelée, taille prompt, latence, tokens, succès/échec, taux de modification DPO).

4.3 Gouvernance des données d'entrée

  • Pseudonymisation à la source: avant tout appel au modèle, les PII (email, téléphone, IBAN, carte bancaire) sont remplacées par des tokens. La dé-pseudonymisation s'effectue localement chez Garante après réception de la réponse.
  • Exclusion des données sensibles: le prompt système interdit explicitement la transmission de données de catégorie particulière (Art. 9 RGPD) et d'infractions (Art. 10).
  • Zero Data Retention (ZDR): option activée côté Mistral AI — aucune conservation des prompts/complétions, aucun usage pour l'entraînement.

4.4 Lien avec l'AIPD Art. 35 RGPD

L'utilisation d'un système d'IA ne déclenche pas automatiquement une AIPD obligatoire (le traitement reste celui du responsable — le cabinet DPO ou son client — et non celui de Garante). Toutefois, lorsque le DPO génère une fiche AIPD via l'assistant Mistral, l'analyse résultante précise explicitement l'usage de l'IA dans la partie « description technique du traitement » pour une information complète du responsable.

5. Droits des personnes concernées

En complément des droits RGPD classiques (accès, rectification, effacement, opposition, portabilité, limitation), toute personne affectée par une sortie du système peut :

  • demander une explicationsur le rôle joué par l'IA dans la réponse reçue (Art. 86 IA Act — droit à l'explication)
  • obtenir confirmation qu'aucune décision automatisée n'a été prise (Art. 22 RGPD)
  • exiger un réexamen humain de la réponse (Art. 14 IA Act — obligatoire dans tous les cas chez Garante)

Contact : dpo@garante.fr

6. Références

  • Règlement (UE) 2024/1689 du 13 juin 2024 (IA Act)
  • Règlement (UE) 2016/679 (RGPD), notamment Articles 13, 22 et 35
  • Orientations CNIL sur l'intelligence artificielle et la protection des données
  • Code de bonne conduite GPAI — engagements volontaires des fournisseurs de modèles d'usage général

Notice IA Act — Garante

Version 1.0 — 24 avril 2026 — Révision annuelle ou à tout changement de modèle, de fournisseur ou de classification.