Conformité IA

Classification

Syncanix est le fournisseur d’un système d’IA au sens du Règlement IA de l’UE : il met sur le marché un système d’IA à risque limité (un agent conversationnel qui interagit avec des personnes), ce qui déclenche les obligations de transparence de l’Article 50, mais non le régime plus lourd à haut risque. Les clients qui intègrent Syncanix sont les déployeurs de ce système. Les obligations distinctes relatives au modèle GPAI au titre de l’Article 53 (résumé des données d’entraînement, code de bonnes pratiques en matière de droit d’auteur) incombent aux fournisseurs de modèles de fondation (Anthropic, OpenAI) : Syncanix n’entraîne ni ne distribue de modèle de fondation et n’assume donc pas les obligations de fournisseur de modèle de l’Article 53.

Syncanix devient à haut risque s’il est déployé pour des décisions d’emploi ou de RH, l’évaluation de la solvabilité, l’accès à l’éducation, le maintien de l’ordre, la migration ou le contrôle aux frontières, ou le raisonnement judiciaire. Notre politique d’usage acceptable interdit explicitement ces secteurs dans la v1 — voir la section AUP ci-dessous.

Obligations de transparence de l’Article 50

Quatre obligations de l’Article 50 s’appliquent à Syncanix, chacune respectée avant la date d’application du 2 Aug 2026 :

1. Information des utilisateurs finaux sur l’IA. Avant ou dès la première interaction, les utilisateurs finaux voient le message "Ceci est une conversation avec un assistant IA." Un indicateur persistant demeure dans l’en-tête du chat pendant toute la session. L’information est disponible dans les six langues de lancement (English, Spanish, French, German, Arabic, Hebrew).
2. Marquage des contenus générés par l’IA. Les images, l’audio ou la vidéo de synthèse (non applicables à Syncanix v1 ; réservés aux fonctionnalités vocales ou visuelles de la v2) seraient lisibles par machine comme générés par l’IA via la norme C2PA. La sortie textuelle est étiquetée de manière visible dans l’interface du chat plutôt que marquée par stéganographie.
3. Information sur les hypertrucages (deepfakes). Non applicable à Syncanix v1 — nous ne générons pas de contenus de synthèse représentant des personnes réelles.
4. Documentation sur demande. Syncanix tient un dossier technique recensant les modèles utilisés, la provenance des données d’entraînement (transmise par les fournisseurs), les résultats d’évaluation et les limites connues. Les autorités de surveillance peuvent en demander l’accès à tout moment.

Qui gère quoi : Syncanix face à vos obligations de déployeur

Au sens du règlement sur l’IA, Syncanix est le fournisseur du système d’IA et vous — en l’intégrant à votre produit — en êtes typiquement le déployeur. Les deux rôles portent des devoirs au titre de l’article 50. Voici la répartition, sans détour.

Ce que Syncanix gère pour vous

• La divulgation d’IA à l’utilisateur final elle-même : un avis à la première interaction plus un indicateur persistant pendant toute la session — activé par défaut et non désactivable (le widget rejette même le CSS personnalisé qui le masquerait).
• La langue de la divulgation : l’avis s’affiche dans la langue de l’utilisateur final dans les six locales prises en charge, droite-à-gauche comprise.
• Le dossier technique — modèles utilisés, provenance des données d’entraînement transmise depuis les fournisseurs, résultats d’évaluation, limites connues — disponible pour vous et pour les autorités de surveillance sur demande.
• Le marquage du contenu généré par IA : sans objet en v1 (aucune image, aucun audio ni aucune vidéo synthétiques ne sont produits) ; le marquage lisible par machine est réservé à d’éventuelles fonctions voix ou vision futures.

Ce qui reste de votre côté

• Si vous construisez votre propre interface sur l’API Syncanix au lieu d’intégrer le widget, la divulgation d’IA dans cette interface vous incombe — les protections de notre widget ne peuvent pas vous y suivre.
• Si votre produit mêle l’agent au support humain, gardez la frontière nette : les utilisateurs doivent pouvoir savoir quand l’IA s’arrête et quand une personne prend le relais.
• Si vous acheminez la sortie de l’agent vers d’autres systèmes d’IA (génération de contenu, médias synthétiques), les devoirs de marquage et de divulgation de ces systèmes leur appartiennent et vous appartiennent, pas à nous.
• Les règles sectorielles au-dessus du règlement sur l’IA — médical, financier, encadrement du conseil juridique, divulgations en contexte d’emploi — restent les vôtres en tant que déployeur dans votre domaine.
• Vos propres mentions de confidentialité : indiquer à vos utilisateurs, dans votre politique de confidentialité, qu’un assistant IA traite leurs demandes reste votre obligation.

Ceci est de la documentation d’ingénierie, pas un conseil juridique. Votre conseil juridique détient votre position au titre de l’article 50 ; le nôtre relit cette page.

Sanctions

• Jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites (IA interdite de l’Article 5).
• 15 M€ ou 3 % pour la plupart des autres violations.
• 7,5 M€ ou 1 % pour la communication d’informations inexactes aux autorités.

Fiches de modèle

Les modèles de fondation que Syncanix appelle en production, par fournisseur :

• Anthropic Claude (LLM géré). Fournisseur principal de complétion de chat. Selon les conditions d’API d’Anthropic, les prompts et les réponses du client ne sont pas utilisés pour entraîner les modèles d’Anthropic ; un accord de rétention zéro de données (ZDR) est en cours de finalisation pour ajouter la non-conservation contractuelle. Consultez la fiche de modèle publiée par Anthropic pour le détail des capacités et de la sécurité.
• OpenAI de classe GPT (LLM de bascule). Fournisseur secondaire de complétion de chat, prévu pour la bascule : pas encore actif en production. Une fois activé, il sera acheminé selon les conditions d’API d’OpenAI (les données d’API sont exclues de l’entraînement), avec un accord de rétention zéro de données (ZDR) entreprise à confirmer avant l’activation.
• Amazon Bedrock — embeddings (Amazon Titan Text Embeddings V2). L’indexation de recherche des documents s’exécute via AWS Bedrock dans la région UE (eu-central-1). Les données restent dans la région et AWS n’entraîne pas ses modèles sur le contenu des clients.
• Amazon Bedrock — reclassement (Amazon Bedrock Rerank). Reclassement, pour la qualité de la recherche, des meilleurs candidats, également via Bedrock en eu-central-1 — même posture de maintien dans la région et de non-entraînement que les embeddings.

Le BYOK (utilisation de votre propre clé) de Syncanix est pris en charge sur l’offre Enterprise : les clients peuvent acheminer le trafic LLM via leur propre point de terminaison Anthropic, OpenAI, AWS Bedrock, Azure OpenAI ou compatible OpenAI. Le fournisseur du client voit le trafic ; Syncanix, non.

Fiche du système

Syncanix est une composition de recherche (embeddings + reclassement Amazon Bedrock, en eu-central-1), du catalogue de capacités du client (surface d’outils typée découverte à partir de l’API du client) et d’une boucle de modèle de fondation (Anthropic en principal, OpenAI en bascule) orchestrée par la couche d’émission d’intentions de Syncanix. Le LLM ne détient jamais les identifiants de l’utilisateur final — les appels d’outils sont émis sous forme d’enveloppes d’intention signées que l’API du client vérifie et exécute elle-même.

Les appels d’outils à fort impact (tout effet destructeur ou financièrement significatif) requièrent une confirmation humaine explicite dans l’interface du chat avant l’émission de l’intention. Cela donne au client (en tant que responsable du traitement) les moyens de respecter ses obligations au titre de l’Article 22 du RGPD : aucune décision exclusivement automatisée produisant des effets juridiques ou significatifs n’est prise sans intervention humaine.

Méthodologie d’évaluation

Chaque version de Syncanix est livrée par rapport à un jeu d’évaluation mesuré. La méthodologie combine une notation déterministe par grille avec LLM-as-judge pour les réponses en format libre :

• F1 de recherche sur un ensemble organisé de requêtes et de passages par locataire client (lorsque le locataire a fourni un jeu de requêtes d’exemple).
• Fidélité — LLM-as-judge évalue si la réponse générée est ancrée dans le contexte récupéré. Le seuil de fidélité est configurable par le client ; par défaut 0,85 sur 1,0.
• Exactitude des appels d’outils — si le LLM a sélectionné la bonne capacité et produit des arguments valides au regard du schéma strictement validé de la capacité. Réussite/échec ; aucun crédit partiel.
• Taux de refus — si le modèle a refusé les requêtes contraires à la politique (par ex. tentatives d’exfiltration de données personnelles, requêtes inter-locataires) au taux attendu. Des sondes synthétiques nocturnes alimentent la mesure.

Évaluation des biais

L’évaluation des biais de Syncanix exécute les benchmarks de biais publiés par les fournisseurs des modèles de fondation (BBQ, BOLD, les tranches de biais de HELM) sur les versions de modèle vers lesquelles nous acheminons en production et suit l’écart entre les versions. Les résultats ainsi que la méthodologie sont publiés dans le cadre du dossier technique qu’exige la documentation de l’Article 50 du Règlement IA de l’UE. Les évaluations propres au client, sur ses propres scénarios, sont prises en charge sur l’offre Enterprise avec des sondes de persona nommées.

Politique d’usage acceptable

L’AUP de Syncanix interdit explicitement le déploiement dans les secteurs à haut risque suivants dans la v1 sans accord écrit distinct :

• Décisions d’emploi ou de RH (embauche, licenciement, promotion, évaluation des performances).
• Évaluation de la solvabilité ou notation de crédit.
• Accès à l’éducation (admissions, notation d’examens).
• Maintien de l’ordre (police prédictive, évaluation des preuves).
• Décisions de migration, de contrôle aux frontières ou d’asile.
• Raisonnement judiciaire ou recommandations de peine.
• Exploitation d’infrastructures critiques.
• Décisions de santé ou cliniques impliquant des informations de santé protégées (PHI) (pas de BAA HIPAA dans la v1).
• Enfants de moins de 13 ans (COPPA — sans accord distinct).

Toute violation constitue un motif de suspension immédiate. Les clients Enterprise nécessitant un déploiement dans un secteur réglementé peuvent demander un accord écrit distinct, assorti du régime de conformité plus approfondi que ce secteur exige.

Revue juridique

Le DPA, le texte d’information sur l’IA (version de référence en anglais + traductions en 6 langues) et cette page sont examinés par un conseil juridique en protection de la vie privée de l’UE avant chaque version commerciale. La validation est consignée dans docs/legal/counsel-sign-off.md avec le nom du conseil, la date de revue et le périmètre. La revue juridique est une étape bloquante pour le lancement.

Liens connexes

• État de conformité → — grille d’état pilotée par JSON (SOC 2 / ISO 27001 / Règlement IA de l’UE / RGPD / CCPA).
• Avis de confidentialité → — conservation, droits au titre du RGPD, traitement des données personnelles, confidentialité du code source.
• Aperçu de la sécurité → — chiffrement, IAM, en-têtes, réponse aux incidents.