Transparence IA et charte d'usage
En vigueur : 16 mai 2026 — Version 1.0
Cohivia conçoit, déploie et exploite des systèmes d'intelligence artificielle pour ses clients. La présente page décrit nos engagements de transparence et notre charte d'usage, en application du règlement UE 2024/1689 dit « AI Act » et des bonnes pratiques sectorielles.
1. Notre rôle au sens de l'AI Act
Cohivia agit selon les cas comme :
- fournisseur au sens de l'article 3.3 du règlement, lorsqu'elle développe un système IA et le met sur le marché ou en service sous sa propre marque (par exemple, un agent IA livré à un client),
- déployeur au sens de l'article 3.4 du règlement, lorsqu'elle utilise un système IA tiers (Claude, Mistral, autres) sous son autorité.
Lorsque Cohivia intègre un système IA dans une solution livrée à un client, ce client peut lui-même devenir déployeur au sens de l'AI Act. La répartition exacte des responsabilités est précisée dans le devis et le DPA.
2. Catégorie de risque des systèmes proposés
À la date d'entrée en vigueur, l'ensemble des systèmes IA proposés par Cohivia relève des catégories suivantes :
- risque limité, principalement, ce qui implique des obligations de transparence (article 50),
- risque minimal, pour certains outils internes,
- GPAI (modèles d'IA à usage général) lorsque les fournisseurs amont (Anthropic, Mistral, autres) sont concernés par les obligations du chapitre V.
Cohivia n'opère, ne déploie ni ne fournit aucun système relevant des pratiques interdites de l'article 5 du règlement (notation sociale, manipulation cognitive subliminale, exploitation de vulnérabilités, reconnaissance des émotions dans les lieux de travail ou d'éducation hors exceptions, identification biométrique à distance en temps réel dans les espaces publics, etc.).
Si une mission conduit Cohivia à proposer un système relevant de l'annexe III du règlement (haut risque), un cadrage spécifique est établi avec le Client. Un système classé haut risque ne sera pas livré sans répartition contractuelle claire des obligations applicables (gestion des risques, données d'entraînement, documentation technique, journalisation, surveillance humaine, robustesse).
3. Obligations de transparence (article 50)
3.1 Interaction avec un système IA
Lorsque Cohivia déploie un agent conversationnel ou un assistant IA destiné à interagir avec des personnes physiques, les utilisateurs finaux sont clairement informés qu'ils interagissent avec un système d'intelligence artificielle, sauf lorsque cette information est évidente du point de vue d'une personne raisonnablement informée.
3.2 Contenus générés ou modifiés
Lorsqu'un contenu (texte, image, audio, vidéo) est généré ou substantiellement modifié par un système IA et publié à destination d'un public extérieur, ce contenu est identifiable comme tel, soit par marquage technique (lorsqu'un standard interopérable est disponible), soit par une mention textuelle explicite.
3.3 Documentation technique
Pour chaque système livré, Cohivia produit une documentation technique adaptée à la catégorie de risque, comprenant a minima :
- objet et finalité du système,
- périmètre d'usage et limites connues,
- modèle ou modèles utilisés, version, fournisseur,
- nature des données utilisées en entrée,
- mécanismes de supervision humaine,
- contacts opérationnels pour le signalement d'un incident.
4. Charte d'usage de l'IA chez Cohivia
4.1 Principes directeurs
| Principe | Engagement opérationnel |
|---|---|
| Utilité | Toute IA déployée doit produire un gain mesurable pour l'organisation, documenté avant et après mise en production |
| Sobriété | Préférence aux modèles de taille adaptée à la tâche, pas de surdimensionnement systématique |
| Souveraineté | Préférence aux fournisseurs européens lorsque la mission le permet, hébergement UE par défaut |
| Transparence | Documentation systématique des choix de modèles, des prompts, des données utilisées |
| Supervision humaine | Toute action produisant des effets juridiques ou significatifs reste soumise à validation humaine |
| Loyauté | Pas de recours à des techniques de manipulation, de profilage abusif ou de scoring opaque |
| Sécurité | Chiffrement en transit et au repos, principe du moindre privilège, journalisation des actions critiques |
| Réversibilité | Le Client conserve à tout moment la maîtrise de ses données et de ses workflows |
4.2 Pratiques exclues
Cohivia s'interdit, dans ses missions comme en interne :
- de mettre en oeuvre une reconnaissance biométrique à distance en temps réel dans les espaces publics,
- de mettre en oeuvre une notation sociale au sens de l'article 5 du règlement,
- de déployer des systèmes destinés à manipuler des personnes de manière subliminale ou à exploiter leurs vulnérabilités,
- de proposer un système prenant une décision finale individuelle à effet juridique sans intervention humaine, sauf demande explicite du Client encadrée par un avenant qui répartit les responsabilités au sens de l'article 22 du RGPD.
4.3 Données utilisées
Cohivia n'utilise pas les données de ses clients pour entraîner ou affiner des modèles, sauf accord explicite du Client formalisé au devis. Les contrats avec les fournisseurs de modèles (notamment Anthropic et Mistral) sont paramétrés en mode « zero data retention » ou équivalent lorsque cela est techniquement supporté.
5. Fournisseurs de modèles tiers et localisation
| Fournisseur | Modèles utilisés | Localisation | Cadre |
|---|---|---|---|
| Anthropic PBC | Claude Opus, Claude Sonnet, Claude Haiku | États-Unis | API entreprise, « zero data retention » activable, clauses contractuelles types UE, Data Privacy Framework |
| Mistral AI | Mistral Large, Mistral Small, Codestral | France | DPA UE, hébergement France |
| Autres fournisseurs | À compléter selon les missions | À compléter | À compléter |
Le choix du modèle pour une mission donnée fait l'objet d'une décision explicite, documentée au devis, en fonction du contexte de sensibilité des données, du besoin de souveraineté, du coût et de la qualité attendue.
6. Signalement d'incident ou d'effet indésirable
Toute personne, qu'elle soit utilisateur final, client, partenaire ou tiers, peut signaler à Cohivia un incident, un dysfonctionnement ou un effet indésirable lié à un système IA déployé par Cohivia.
Adresse de signalement, [email protected] avec en objet « signalement IA ».
Cohivia s'engage à accuser réception du signalement dans un délai de 5 jours ouvrés et à apporter une réponse motivée dans un délai raisonnable.
Pour les incidents graves au sens de l'article 73 du règlement (le cas échéant lorsque les systèmes concernés sont à haut risque), Cohivia procède aux notifications obligatoires aux autorités compétentes (en France, la Direction générale des entreprises et l'ANSSI pour les composantes cybersécurité).
7. Calendrier d'application
L'AI Act est applicable progressivement :
- 2 février 2025 : pratiques interdites,
- 2 août 2025 : gouvernance et modèles à usage général,
- 2 août 2026 : systèmes à haut risque listés à l'annexe III,
- 2 août 2027 : systèmes à haut risque listés à l'annexe I.
Cohivia adapte ses engagements à ce calendrier.
8. Évolution de la présente charte
La présente charte est révisée au moins une fois par an et chaque fois qu'une évolution réglementaire ou technologique le justifie. La version en vigueur est celle datée en tête du document.