Dernière mise à jour :
Quelques notions reviennent partout dans EuTrustedIA. Les voici expliquées en clair, une fois pour toutes. Pour le détail réglementaire, chaque entrée renvoie vers la section Conformité.
POSITRONIA scanne votre code sur votre machine : « le seul scanner de conformité IA qui ne voit jamais votre code source. » Concrètement, aucun téléversement de code : le moteur tourne en local, et seuls les rapports finaux — scellés cryptographiquement — sont conservés dans votre Espace Client EU. C'est un choix de conception, pas une option : il réduit la surface de risque et simplifie votre propre conformité (pas de sous-traitance de vos données de code).
C'est le centre de gravité du produit. Côté public, on parle de carte vivante ; côté moteur, de registre (AI System Registry). L'idée : chaque composant de votre système IA — agent, LLM, SaaS, API, MCP, workflow, jeu de données, machine — devient un nœud de la carte. Chaque nœud est :
La doctrine produit tient en une phrase : « Pas d'agent sans laisse. » Vous ne pouvez être conforme que sur ce que vous voyez ; la carte rend votre système IA visible.
Un nœud est une entité de la carte. Deux types reviennent souvent : le nœud « SaaS / LLM / agent IA tiers » (un outil externe que vous utilisez) et le nœud « workflow IA-aided » (une automatisation, par exemple un export n8n / Make / Zapier). Tous deux sont cartographiés et scorés comme les autres entités.
EuTrustedIA est un auditeur indépendant et multi-vendor : « quel que soit le LLM que vous déployez en EU, on vérifie la conformité. » Anthropic, OpenAI, Google, Mistral — tous sont audités selon les mêmes critères. Un fournisseur européen comme Mistral n'est valorisé positivement que si son hébergement effectif est en UE — être un vendor EU ne suffit pas si le déploiement, lui, ne l'est pas.
Le cadre de référence d'EuTrustedIA s'articule en trois textes complémentaires :
Les textes officiels sont consultables sur EUR-Lex. Nous visons l'honnêteté de profondeur : il n'existe pas de « certification Data Act », et nous ne prétendons pas en délivrer une.
Chaque rapport POSITRONIA voit son intégrité protégée par un hash SHA-256 chaîné et une signature Ed25519. Cela constitue une preuve d'intégrité : un rapport ne peut être modifié sans que cela se voie. L'horodatage qualifié eIDAS et l'opposabilité temporelle pleine sont prévus en Phase C.
Par souci d'exactitude : nous ne revendiquons pas de « zéro-knowledge » ni de « serveur aveugle ». Ce que nous garantissons est un chiffrement au repos (AES-256-GCM), une anonymisation locale et le scellement décrit ci-dessus.
Le principe le plus important. Nous documentons et instruisons votre conformité, nous ne la certifions jamais nous-mêmes au sens du RGPD (Art. 42-43) ou de l'AI Act (Art. 43). POSITRONIA prépare le dossier ; un expert vérifié de l'Annuaire EuTrustedIA (DPO ou avocat tech) revoit et signe les points réglementés. Nous ne sommes ni un cabinet, ni un DPO, ni une agence.