Comment SiteIntelligent construit des assistants IA conformes RGPD

Chez SiteIntelligent, nous concevons des assistants IA qui respectent strictement le RGPD dès la phase de design. Notre approche “privacy by design & by default” combine cadre juridique solide, architecture sécurisée, gouvernance des données et transparence utilisateur, pour des déploiements performants et conformes.

Cadre RGPD et principes de conception

Chaque projet débute par une cartographie des données et une analyse d’impact (DPIA) quand nécessaire. Nous définissons clairement les finalités, bases légales et durées de conservation avant toute intégration IA.

Nous appliquons les principes clés: minimisation, limitation de finalité, exactitude, sécurité, accountability et privacy by default. Les rôles (responsable/ sous-traitant) et obligations sont formalisés par contrat (DPA, clauses types).

Découvrez nos approches et offres modulaires sur la page services.

Collecte minimale et bases légales

Nous ne collectons que l’essentiel pour répondre à l’intention utilisateur. Les prompts sont filtrés pour éviter l’ingestion d’informations non nécessaires ou sensibles (santé, politique, etc.).

• Choix de la base légale: consentement explicite, intérêt légitime documenté ou exécution contractuelle.
• Paramètres “no training”/“zero data retention” activés lorsque disponibles chez le fournisseur IA.
• Pseudonymisation systématique et masquage de champs à risque avant tout envoi vers un modèle.

Nous mettons en place un centre de préférences clair, distinct du bandeau cookies, pour les traitements IA.

Architecture technique et sécurité

L’architecture privilégie l’hébergement et le chiffrement forts pour protéger les données en transit et au repos. Les échanges vers des API IA sont proxifiés et journalisés de manière sécurisée.

• Chiffrement TLS 1.2+ et stockage chiffré (AES-256), rotation de clés, KMS dédié.
• Contrôles d’accès RBAC, MFA, cloisonnement par environnement (dev, test, prod).
• Journalisation limitée, hachage réversible des identifiants si une traçabilité est requise.
• Sanitisation des prompts, détection d’injections et filtrage de contenus (toxique, PII).
• Hébergement UE privilégié; vérification des sous-traitants et transferts internationaux encadrés.

Pour un aperçu de nos intégrations techniques récentes, consultez nos projets.

Gouvernance des données et droits des personnes

Nous fournissons des mécanismes opérationnels pour honorer les droits d’accès, rectification, opposition, limitation, effacement et portabilité.

• Export des données conversationnelles en JSON/CSV; suppression à la demande.
• Registre des activités de traitement et procédures DSAR documentées.
• Politiques de rétention courtes, purge automatisée et horodatage des consentements.

Un référent conformité suit les incidents, réalise des revues périodiques et met à jour la documentation.

Transparence, UX et prompts responsables

L’assistant affiche ce qu’il collecte, pourquoi et pendant combien de temps. Les utilisateurs contrôlent facilement le partage d’informations et peuvent désactiver certaines fonctionnalités.

• Indications claires sur la nature “assistée par IA” et les limites du système.
• Conception de prompts sobres: pas de données superflues, balises pour éviter l’extraction de PII.
• Explications contextualisées et liens vers la politique de confidentialité.

Nous partageons conseils pratiques et checklists RGPD sur le blog.

Déploiement, tests et audits continus

Avant mise en production, nous réalisons des tests de conformité, sécurité et robustesse (red teaming prompt, tests de fuite de PII, revue des logs).

• Audits réguliers des prompts, modèles et dépendances.
• Alertes sur dérives de collecte, drifts de modèles et erreurs de classification.
• Tableaux de bord de conformité et rapports synthétiques pour les équipes.

Nos équipes vous accompagnent de la conception à l’exploitation. Contactez-nous pour une étude personnalisée via la page contact.

FAQ

Utilisez-vous les données pour entraîner vos modèles ?

Non. Par défaut, nous activons les options de non-conservation et interdisons l’entraînement sur les données clients chez nos fournisseurs IA compatibles.

Où sont hébergées les données des assistants ?

Nous privilégions l’hébergement en Union européenne et encadrons tout transfert par des garanties adéquates (SCC, DPA, évaluations de risques).

Que se passe-t-il si un utilisateur partage des données sensibles ?

Des filtres détectent et masquent automatiquement ces informations. L’utilisateur est averti et peut poursuivre sans exposer de données sensibles.