FAQ — OEM, Audit & Gouvernance

Cette FAQ s’adresse aux éditeurs, plateformes et équipes audit/compliance évaluant CGS comme composant de gouvernance industrielle.

CGS a-t-il été testé en conditions réelles de production client ?

CGS n’a volontairement pas été déployé chez des clients finaux en production. En tant que composant de gouvernance critique, CGS est conçu pour être validé dans des environnements OEM contrôlés, sous responsabilité de l’éditeur, et non exposé directement à des utilisateurs finaux.

Les validations réalisées portent prioritairement sur les propriétés critiques : déterminisme, stabilité, non-interférence, résistance aux stress et capacité de reconstruction post-incident (RUN #2).

L’absence de clients finaux publics est-elle un risque ?

Non. CGS n’est pas un produit d’usage mais une brique d’infrastructure. Pour ce type de composant, une exposition prématurée à des environnements clients constitue un risque juridique, réglementaire et architectural.

La stratégie retenue privilégie une validation structurelle préalable, suivie d’une intégration OEM encadrée.

Pourquoi CGS ne propose-t-il pas de POC client classique ?

Un POC client classique impliquerait : interprétation locale des signaux, configuration métier et transfert implicite de responsabilité.

CGS évite volontairement ce modèle. La validation se fait via des environnements OEM non productifs, avec données synthétiques ou anonymisées.

Quels types de tests ont été effectués ?

Les tests réalisés couvrent :

• Déterminisme strict (mêmes entrées → mêmes décisions)
• Stabilité sous charge
• Comportement en cas de signaux contradictoires
• Résilience aux crashs et redémarrages
• Intégrité du Governance Ledger

Ces tests sont plus pertinents pour un système de gouvernance que des tests fonctionnels orientés cas métier.

CGS peut-il être évalué dans notre environnement avant intégration complète ?

Oui. CGS est conçu pour être évalué dans un environnement OEM isolé, sans exposition client, avec instrumentation complète et périmètre contrôlé.

Il s’agit d’une validation d’architecture, pas d’un déploiement produit.

CGS prend-il des décisions métier ?

Non. CGS ne prend jamais de décisions métier. Il émet des décisions de gouvernance et des signaux de risque.

L’OEM conserve la décision finale et la responsabilité fonctionnelle.

CGS modifie-t-il le comportement des systèmes IA observés ?

Non. CGS est strictement read-only. Il n’injecte aucune action, ne modifie aucun modèle et n’apprend pas.

CGS repose-t-il sur des modèles probabilistes ou des LLM ?

Non. La gouvernance doit être opposable et reconstructible. CGS est déterministe et n’utilise aucun modèle probabiliste pour ses décisions.

Comment CGS gère-t-il la responsabilité en cas d’incident ?

CGS fournit les preuves : ledger append-only, signaux de gouvernance, rapports et capacités de reconstruction.

La responsabilité métier reste portée par l’OEM, conformément à la séparation contractuelle documentée.

CGS est-il compatible avec tout type d’IA ?

Oui. CGS est agnostique des modèles et observe des signaux décisionnels, indépendamment de la technologie sous-jacente.

CGS est-il conforme aux exigences réglementaires ?

CGS ne prétend pas assurer la conformité réglementaire à lui seul. Il fournit les mécanismes techniques nécessaires (tracabilité, auditabilité, reconstruction) pour soutenir des démarches conformes à l’AI Act, ISO 23894 et NIST AI RMF.

Qu’est-ce que CGS ne couvre volontairement pas ?

NOT COVERED :

• Décisions métier finales
• Configuration client finale
• SLA/SLO applicatifs
• Multi-tenant SaaS exposé utilisateur
• Certification SOC2 / ISO27001 (hors périmètre)

Pourquoi ce positionnement est-il un avantage pour un OEM ?

Parce qu’il permet de renforcer la crédibilité réglementaire, de produire des preuves auditables, sans exposer un composant critique à un usage direct client, ni modifier les systèmes IA existants.

← Retour à la documentation