OORT Labs
Politique de Confidentialité/Engagement IA Responsable & Compliance
OORT Flows · IA Responsable

Engagement en matière de Confidentialité, Compliance et Sécurité de l'IA

OORT Labs applique des politiques formelles de confidentialité, de compliance et de sécurité à toutes les fonctionnalités d'IA d'OORT Flows, en conformité avec les réglementations au Brésil (LGPD, PL 2338/2023) et à l'international (RGPD, EU AI Act, CCPA), ainsi qu'avec les principaux standards techniques internationaux.

Dernière mise à jour: 12 avril 2026Version: 1.0
Avis

Ce document décrit le programme de gouvernance de l'IA d'OORT Labs et doit être lu conjointement avec la Politique de Confidentialité d'OORT Flows et les Conditions d'Utilisation.

1.Notre Engagement

OORT Labs construit ses agents d'IA d'entreprise sur le principe que la confiance, la confidentialité et la sécurité ne sont pas optionnelles. Chaque capacité d'IA d'OORT Flows est conçue, opérée et auditée selon un programme formel d'IA Responsable couvrant tout le cycle de vie du système.

2.Principes d'IA Responsable

  • Centré sur l'humain, Privacy by design, Sécurité par défaut;
  • Transparence et explicabilité, Équité et non-discrimination;
  • Redevabilité (accountability) : rôles clairs entre OORT (Sous-traitant) et Client (Responsable de traitement);
  • Robustesse technique : tests, red-teaming et contrôles contre prompt injection et exfiltration;
  • Aucune utilisation des données du Client pour entraîner les modèles d'OORT.

3.Réglementations Brésiliennes

OORT Labs respecte intégralement la LGPD (Loi nº 13.709/2018) et anticipe les obligations du PL 2338/2023 (Cadre juridique brésilien de l'IA) : classification du risque, Évaluation d'Impact Algorithmique (AIA), droit à l'explication, droit à la révision humaine, transparence active et gouvernance interne.

4.Réglementations Internationales

4.1.RGPD — Règlement (UE) 2016/679

Pour les personnes concernées dans l'EEE, nous respectons intégralement le RGPD : bases légales art. 6 et 9, DPA avec sous-traitants, clauses contractuelles types, droits des personnes et notification de violation en 72 heures.

4.2.EU AI Act — Règlement (UE) 2024/1689

OORT Flows est aligné avec l'EU AI Act selon une approche basée sur le risque :

Catégorie de risquePosture OORT Flows
Risque inacceptableInterdit par conception.
Haut risqueAIA, supervision humaine obligatoire, journaux étendus, évaluation de conformité.
Risque limitéTransparence obligatoire, marquage des contenus synthétiques.
Risque minimalBonnes pratiques de gouvernance et journaux standards.

4.3.CCPA / CPRA et autres juridictions

Pour les résidents de Californie : CCPA/CPRA. Également UK GDPR, PIPEDA, Ley 25.326, Ley 1581/2012, APPI et PDPA selon le cas.

5.Frameworks et Normes Techniques

  • ISO/IEC 42001:2023, ISO/IEC 27001/27701, ISO/IEC 23894:2023;
  • NIST AI RMF 1.0, OWASP Top 10 LLM, MITRE ATLAS;
  • SOC 2 Type II.

6.Classification du Risque et Évaluation d'Impact

Chaque flux est classé par niveau de risque, ce qui détermine la nécessité d'AIA/AIPD, la profondeur des journaux, les points obligatoires de revue humaine, les restrictions de données sensibles et la fréquence des audits.

7.Gouvernance et Supervision Humaine

  • Comité IA Responsable interne;
  • Responsable technique IA désigné;
  • Points d'approbation humaine configurables;
  • Politique d'usage acceptable de l'IA;
  • Formation obligatoire en confidentialité, sécurité et éthique.

8.Transparence et Explicabilité

  • Journaux détaillés par exécution;
  • Fournisseur et modèle exposés;
  • Marquage de contenu synthétique si requis;
  • Export auditable des journaux;
  • Explications accessibles pour décisions automatisées.

9.Sécurité des Données et Confidentialité

  • Chiffrement au repos (AES-256) et en transit (TLS 1.2+);
  • Isolation entre tenants;
  • MFA obligatoire pour les administrateurs, SSO/SAML/OIDC pour entreprises;
  • Clauses *zero data retention* avec les fournisseurs d'IA;
  • Filtres de données sensibles avant envoi aux modèles externes;
  • SAST, DAST, SCA, scan de secrets et red-teaming LLM;
  • Plan de réponse aux incidents aligné LGPD/RGPD.

10.Droits des Personnes Concernées et Contact

  • DPO : [dpo@oortlabs.com]
  • Comité IA Responsable : [ai-governance@oortlabs.com]
  • Confidentialité : [privacy@oortlabs.com]
  • Sécurité : [security@oortlabs.com]
OORT Labs — Tous droits réservés.