Politique IA & Sécurité

1. Objet du document

La présente Politique IA & Sécurité définit les principes applicables à l’utilisation des fonctionnalités d’intelligence artificielle et aux mesures de sécurité associées à la plateforme LABOxIA by Smartisia.

Elle complète les Conditions Générales d’Utilisation, les Conditions Générales de Vente, la Politique de confidentialité et l’Annexe RGPD applicables à LABOxIA.

LABOxIA est une solution SaaS professionnelle permettant notamment de créer, structurer, suivre et automatiser des processus métier, d’exploiter des documents, de générer des workflows, d’assister les utilisateurs par intelligence artificielle et de faciliter la gestion opérationnelle des demandes internes.

La présente politique vise à encadrer ces usages dans une logique de confiance, de transparence, de contrôle humain, de confidentialité, de sécurité et de conformité.

2. Champ d’application

La présente politique s’applique à tous les Clients, utilisateurs, administrateurs, collaborateurs, prestataires autorisés et toute personne accédant à LABOxIA.

Elle concerne notamment les assistants IA intégrés à LABOxIA, les fonctionnalités de création de processus métier, les fonctions de classement, analyse, extraction ou interrogation documentaire, les prompts, messages, instructions, documents, déclencheurs, automatisations, journaux d’activité, historiques et traces techniques.

3. Principes directeurs

4.Nature des fonctionnalités d’intelligence artificielle

LABOxIA peut utiliser des fonctionnalités d’intelligence artificielle pour assister l’utilisateur dans plusieurs tâches professionnelles.

transformer un besoin métier en structure de processus ;

proposer des statuts, rôles, boutons, formulaires et paramètres ;

suggérer des règles de workflow ou de validation ;

analyser ou résumer des documents ;

répondre à des questions à partir de contenus documentaires ;

extraire des informations depuis des fichiers ;

aider au classement ou au renommage de documents ;

proposer des automatisations ou règles conditionnelles ;

assister le support, l’onboarding ou la compréhension de l’outil.

Ces fonctionnalités sont des outils d’assistance. Elles ne remplacent pas l’expertise humaine, le contrôle interne du Client, la validation d’un responsable métier, l’avis d’un professionnel qualifié ou l’analyse juridique, comptable, financière, technique, RH ou réglementaire appropriée.

5. Limites des résultats générés par IA

Le Client reconnaît que les systèmes d’intelligence artificielle peuvent produire des résultats inexacts, incomplets, ambigus, obsolètes, incohérents ou non adaptés à un contexte particulier.

Les résultats générés par l’IA peuvent notamment contenir des erreurs d’interprétation, approximations, omissions, formulations trop générales, suggestions non adaptées au secteur du Client, analyses incomplètes de documents ou réponses plausibles mais inexactes.

Aucun résultat généré par IA ne doit être utilisé sans vérification humaine lorsqu’il peut avoir un impact opérationnel, contractuel, financier, juridique, RH, comptable, technique, sécurité ou réglementaire.

6. Contrôle humain obligatoire

Le Client doit maintenir un contrôle humain approprié sur les résultats, décisions, workflows et automatisations issus ou assistés par LABOxIA.

relire les contenus générés ;

valider les workflows avant mise en production ;

tester les automatisations avant usage réel ;

vérifier les extractions documentaires ;

contrôler les classements et renommages automatiques ;

définir clairement les rôles et permissions ;

conserver une possibilité d’intervention humaine ;

empêcher toute automatisation critique non supervisée.

LABOxIA n’a pas vocation à prendre seule des décisions engageantes pour le Client, ses salariés, ses clients, ses fournisseurs ou ses partenaires.

7. Usages autorisés

LABOxIA peut être utilisée pour des finalités professionnelles légitimes.

structurer un processus interne ;

suivre des demandes métier ;

préparer un workflow de validation ;

organiser des documents ;

automatiser des tâches répétitives ;

faciliter la recherche documentaire ;

améliorer la traçabilité interne ;

réduire la ressaisie administrative ;

aider les équipes à mieux suivre les étapes d’une demande ;

préparer des synthèses ou analyses à vérifier ;

créer des exemples de processus testables.

Le Client doit s’assurer que chaque usage est conforme à son activité, à ses règles internes, à ses obligations contractuelles et aux lois applicables.

8. Usages interdits

Il est interdit d’utiliser LABOxIA pour :

produire, diffuser ou faciliter un contenu illicite, frauduleux, trompeur, discriminatoire ou portant atteinte aux droits d’un tiers ;

contourner une obligation légale, contractuelle ou réglementaire ;

prendre une décision automatisée produisant des effets juridiques ou significatifs sur une personne sans contrôle humain approprié ;

mettre en place une surveillance abusive des salariés, clients, candidats, fournisseurs ou partenaires ;

générer de faux documents, fausses preuves, faux justificatifs ou informations mensongères ;

traiter des données sensibles sans fondement juridique, information appropriée et garanties adaptées ;

utiliser l’IA pour discriminer, noter, classer ou exclure abusivement des personnes ;

tenter d’extraire, contourner, copier ou reproduire les systèmes internes, prompts systèmes, modèles ou règles techniques de LABOxIA ;

porter atteinte à la sécurité, à l’intégrité ou à la disponibilité de la plateforme ;

utiliser LABOxIA dans un domaine hautement réglementé sans validation professionnelle adaptée.

Tout usage contraire à la présente politique peut entraîner une suspension, restriction ou résiliation de l’accès, sans préjudice de tout recours possible.

9. Données, prompts et documents transmis à l’IA

Les utilisateurs doivent appliquer un principe de prudence dans les informations transmises à LABOxIA.

ne transmettre que les données nécessaires à la finalité recherchée ;

éviter les données excessives, inutiles ou non pertinentes ;

ne pas intégrer de données sensibles sans justification et encadrement appropriés ;

vérifier que les documents importés peuvent légalement être traités ;

ne pas transmettre de secrets, mots de passe, clés d’accès, identifiants techniques ou données bancaires complètes ;

contrôler les informations présentes dans les pièces jointes ;

informer les personnes concernées lorsque le traitement l’exige.

Les prompts, instructions, fichiers, messages et documents transmis peuvent être traités par LABOxIA dans la limite nécessaire à la fourniture du service, à la sécurité, au support, à la maintenance et à l’exécution des fonctionnalités demandées.

10. Non-utilisation des données Client à des fins d’entraînement général

Sauf accord écrit, option contractuelle spécifique ou paramétrage expressément accepté par le Client, LABOxIA ne revendique aucun droit d’utiliser les données confidentielles du Client pour entraîner un modèle d’intelligence artificielle général destiné à d’autres clients.

Les données Client peuvent toutefois être traitées pour fournir les fonctionnalités demandées, générer une réponse ou une analyse, maintenir la sécurité de la plateforme, corriger un incident, assurer le support, produire des statistiques techniques ou d’usage agrégées, ou améliorer la qualité du service de manière anonymisée ou non identifiable.

Toute réutilisation identifiable de données Client à des fins d’amélioration produit, de démonstration, de publication ou de communication commerciale suppose l’accord préalable du Client.

11. Confidentialité

LABOxIA s’engage à traiter les données Client avec confidentialité, dans le cadre des services fournis et des documents contractuels applicables.

Les personnes autorisées à intervenir sur la plateforme ou sur le support sont tenues à une obligation de confidentialité.

Le Client doit également veiller à ce que ses utilisateurs respectent la confidentialité des informations accessibles dans LABOxIA, notamment les documents internes, données métier, historiques, validations, messages, workflows, paramètres et informations relatives aux autres utilisateurs.

12. Sécurité des accès

La sécurité de LABOxIA repose notamment sur une bonne gestion des comptes et des accès.

utiliser des identifiants personnels et non partagés ;

choisir des mots de passe robustes ;

ne jamais transmettre leurs identifiants à un tiers ;

désactiver rapidement les comptes des collaborateurs sortants ;

limiter les droits aux besoins réels de chaque utilisateur ;

contrôler régulièrement les rôles et permissions ;

signaler sans délai tout accès suspect ;

utiliser, lorsqu’elle est disponible, une authentification renforcée ;

protéger les terminaux utilisés pour accéder à LABOxIA.

LABOxIA ne peut être tenue responsable d’un incident résultant d’une négligence du Client ou d’un utilisateur dans la gestion de ses identifiants, droits, terminaux ou procédures internes.

13. Mesures de sécurité mises en œuvre

LABOxIA met en œuvre des mesures techniques et organisationnelles raisonnables, adaptées à la nature du service et aux risques identifiés.

Ces mesures peuvent notamment inclure une gestion des comptes et autorisations, une séparation logique des espaces clients, une journalisation de certaines actions, des contrôles d’accès, des mécanismes de sauvegarde, des mises à jour de sécurité, des procédures de traitement des incidents, une limitation des accès internes, une sécurisation des échanges selon les standards applicables, une surveillance technique raisonnable et un encadrement des prestataires techniques.

Ces mesures ne constituent pas une garantie absolue contre tout risque. Aucun système informatique ne peut être considéré comme totalement invulnérable.

14. Rôles, permissions et responsabilité du Client

LABOxIA permet de créer ou gérer des rôles, statuts, permissions, actions et circuits de validation.

Le Client est responsable de la configuration de ces éléments dans son organisation.

définir les rôles adaptés à son fonctionnement ;

limiter les droits selon le principe du moindre privilège ;

vérifier les utilisateurs ayant accès aux documents sensibles ;

contrôler les personnes pouvant valider, refuser ou modifier une demande ;

tester les workflows avant leur déploiement ;

documenter ses propres règles internes ;

vérifier les impacts opérationnels d’une automatisation.

Une mauvaise configuration des rôles ou permissions peut entraîner des accès excessifs, des validations erronées ou des traitements inadaptés. Le Client doit donc assurer une administration rigoureuse de son espace.

15. Déclencheurs, automatisations et supervision

LABOxIA peut permettre de déclencher des actions à partir d’événements tels qu’un bouton, un message, une photo, un document, un email, un mot-clé ou une règle métier.

Avant tout usage en conditions réelles, le Client doit :

tester le déclencheur ;

vérifier les conditions d’activation ;

contrôler les données créées ou modifiées ;

confirmer les personnes autorisées à agir ;

prévoir un mécanisme de correction ou d’annulation lorsque cela est nécessaire ;

éviter les déclencheurs ambigus ou trop larges ;

maintenir une supervision humaine pour les processus sensibles.

LABOxIA ne saurait être tenue responsable d’une action déclenchée par une instruction imprécise, un mauvais paramétrage, une donnée erronée, une règle trop large ou une validation effectuée par un utilisateur autorisé.

16. Traçabilité et journaux d’activité

Pour des raisons de sécurité, de support, d’audit, de preuve et d’amélioration du service, LABOxIA peut conserver des journaux techniques et historiques d’activité.

Ces journaux peuvent porter notamment sur les connexions, actions significatives, changements de statut, validations, créations ou modifications de processus, incidents techniques, événements de sécurité et usages nécessaires au support.

L’accès à ces journaux est limité aux personnes ou fonctions autorisées. Leur conservation est encadrée par les documents contractuels et la Politique de confidentialité applicables.

17. Services tiers et fournisseurs IA

Certaines fonctionnalités de LABOxIA peuvent reposer sur des services techniques tiers, notamment fournisseurs d’intelligence artificielle, hébergeurs, solutions de stockage, services OCR, messageries, APIs ou outils collaboratifs.

LABOxIA sélectionne ses prestataires selon des critères de pertinence technique, sécurité, fiabilité et conformité raisonnable.

Le Client reconnaît toutefois que les services tiers peuvent connaître des indisponibilités, modifications, limitations, interruptions, changements tarifaires, changements contractuels ou incidents indépendants de LABOxIA.

Lorsque des données sont transmises à un service tiers pour fournir une fonctionnalité, ce traitement est encadré par les documents contractuels applicables, notamment la Politique de confidentialité et l’Annexe RGPD.

18. Protection contre les usages abusifs

LABOxIA peut mettre en place des mécanismes destinés à prévenir les abus, fraudes, surcharges, usages non conformes, tentatives d’extraction ou atteintes à la sécurité.

Ces mécanismes peuvent notamment comprendre des limitations raisonnables d’usage, blocages temporaires, vérifications techniques, journalisation d’événements suspects, suspension d’un compte ou d’une fonctionnalité, contrôle des volumes inhabituels, intervention du support ou demande de clarification auprès du Client.

Ces mesures peuvent être appliquées sans préavis en cas d’urgence de sécurité, de risque pour la plateforme, de risque pour un tiers ou de violation manifeste des règles applicables.

19. Gestion des incidents de sécurité

En cas d’incident de sécurité affectant la plateforme ou les données Client, LABOxIA met en œuvre des mesures raisonnables pour identifier l’incident, en limiter les effets, sécuriser les accès concernés, analyser son origine, informer les Clients concernés lorsque cela est requis, coopérer dans la limite nécessaire et appliquer les obligations prévues par la réglementation et les documents contractuels applicables.

Le Client doit signaler sans délai toute suspicion d’accès non autorisé, perte d’identifiant, anomalie, fuite de données, comportement suspect ou incident constaté dans son espace LABOxIA.

20. Données sensibles et usages à risque

LABOxIA n’est pas destinée, sauf accord contractuel spécifique, à traiter des données ou cas d’usage nécessitant un niveau renforcé de conformité sectorielle.

Le Client doit faire preuve d’une vigilance particulière pour les données ou usages suivants :

données de santé ;

données biométriques ;

données génétiques ;

données relatives aux infractions ;

décisions RH sensibles ;

scoring de personnes ;

surveillance de salariés ;

décisions automatisées ayant un effet significatif ;

données de mineurs ;

secrets protégés par une réglementation spécifique ;

documents soumis à un niveau élevé de confidentialité.

Lorsque le Client envisage un usage à risque, il doit vérifier préalablement la conformité juridique, technique et organisationnelle de cet usage.

21. Conformité IA et vigilance réglementaire

LABOxIA s’inscrit dans une démarche de conformité progressive avec les règles applicables aux systèmes d’intelligence artificielle, notamment les principes européens relatifs à l’IA de confiance, à la transparence, à la sécurité, au contrôle humain et à la gestion des risques.

Le Client reconnaît que la réglementation applicable à l’intelligence artificielle évolue rapidement. LABOxIA peut donc adapter ses fonctionnalités, règles d’usage, limitations, avertissements, procédures ou documents contractuels afin de tenir compte des évolutions légales, réglementaires, techniques ou jurisprudentielles.

Le Client doit également vérifier que ses propres usages de l’IA sont compatibles avec son secteur, son pays, ses obligations professionnelles et les droits des personnes concernées.

22. Bonnes pratiques imposées aux utilisateurs

Vérifier les réponses de l’IA avant de les utiliser.

Ne jamais transmettre de mot de passe, clé API ou secret technique dans un prompt.

Ne pas importer de données inutiles ou excessives.

Ne pas contourner les droits d’accès définis par l’entreprise.

Ne pas utiliser LABOxIA pour créer des documents trompeurs.

Tester chaque workflow avant usage réel.

Signaler les erreurs importantes ou comportements anormaux.

Garder confidentielles les informations accessibles dans la plateforme.

Respecter les règles internes de l’entreprise.

Maintenir un contrôle humain sur les décisions importantes.

23. Formation et sensibilisation

Le Client doit s’assurer que les utilisateurs disposent d’un niveau d’information suffisant sur les finalités de LABOxIA, les limites de l’intelligence artificielle, les risques liés aux erreurs générées, les règles de confidentialité, la protection des données personnelles, les bonnes pratiques de sécurité, les règles internes de validation et les usages interdits.

LABOxIA peut proposer des contenus d’accompagnement, documentation, support, formations ou recommandations, selon l’offre souscrite.

24. Réversibilité, suppression et fin d’accès

En cas de fin d’accès, les conditions de restitution, export, suppression ou conservation des données sont définies par les CGV, l’Annexe RGPD, la Politique de confidentialité ou le contrat applicable.

Le Client doit anticiper la récupération de ses données utiles avant la fin de son abonnement ou de son accès.

LABOxIA peut conserver certaines données pendant les durées nécessaires au respect d’obligations légales, à la preuve, à la sécurité, à la prévention des fraudes, à la résolution de litiges ou à l’exécution des engagements contractuels.

25. Amélioration continue

LABOxIA peut faire évoluer ses mesures de sécurité, ses fonctionnalités IA, ses règles d’usage, ses avertissements, ses contrôles et ses procédures afin d’améliorer la qualité, la fiabilité, la sécurité et la conformité de la plateforme.

Ces évolutions peuvent intervenir notamment à la suite de retours clients, incidents, tests internes, évolutions technologiques, nouvelles exigences réglementaires, recommandations d’autorités compétentes ou changements de prestataires et d’infrastructures.

26. Responsabilité

La présente politique ne crée pas une garantie absolue de sécurité, d’exactitude ou de conformité automatique des usages du Client.

LABOxIA met en œuvre des moyens raisonnables pour sécuriser la plateforme et encadrer l’utilisation de l’IA.

Le Client demeure responsable de ses décisions, données, utilisateurs, workflows, automatisations, droits d’accès, vérification des résultats, conformité de ses usages métier et obligations envers ses salariés, clients, fournisseurs et partenaires.

Les limites de responsabilité prévues par les CGU, CGV ou contrats applicables demeurent pleinement applicables.

27. Contact et signalement

Toute question relative à l’utilisation de l’IA, à la sécurité, à la confidentialité ou à un incident peut être adressée à LABOxIA par les moyens de contact indiqués dans les mentions légales, l’espace client ou les documents contractuels applicables.

Le Client est invité à signaler rapidement tout comportement anormal de l’IA, toute erreur importante constatée, tout incident de sécurité, toute suspicion d’accès non autorisé, toute difficulté liée aux droits d’accès ou toute utilisation manifestement non conforme.

28. Entrée en vigueur et opposabilité

La présente Politique IA & Sécurité entre en vigueur à compter de sa publication ou de sa communication au Client.

L’utilisation de LABOxIA implique l’acceptation de cette politique, en complément des CGU, CGV, Politique de confidentialité, Annexe RGPD et contrats applicables.

LABOxIA peut modifier la présente politique afin de tenir compte des évolutions de la plateforme, de la réglementation, de la sécurité, des usages ou des exigences techniques.

La version applicable est celle en vigueur au moment de l’utilisation de la plateforme, sauf stipulation contractuelle contraire.

Fin du document Politique IA et Sécurité