Cette page documente la méthodologie éditoriale et juridique appliquée par regulia à la construction de ses 13 templates documentaires AI Act + RGPD-IA + ISO 42001. Elle est publique pour deux raisons : transparence vis-à-vis de nos clients et auditabilité réglementaire de notre processus.
1. Les 6 piliers méthodologiques
1. Citations verbatim des textes officiels
Chaque obligation mentionnée dans nos templates est rattachée à un article précis du Règlement (UE) 2024/1689 ou à une norme ISO référencée. Les citations sont reprises mot pour mot depuis les versions consolidées EUR-Lex et artificialintelligenceact.eu, avec numérotation explicite (Article 6, Annexe III §4, ISO 42001 Cl. 6.1.2…).
2. Sources primaires uniquement
Aucune obligation n'est extraite d'un blog tiers ou d'un article de presse. Les sources autorisées sont strictement les textes officiels : EUR-Lex, AI Office EU (Service Desk), CNIL (13 fiches pratiques IA), ACPR, ANSM, HAS, ARCEP, ARCOM, DGCCRF, Cigref, Numeum, ISO/IEC.
3. Personnalisation par formulaire intelligent
Chaque pack est construit à partir des réponses du client à 13 à 18 questions branchées (taille d'entreprise, secteur, rôle déployeur/fournisseur, présence de systèmes haut-risque, statut d'opérateur de service public). Le contenu généré n'est jamais générique : un pack RH d'une PME de 50 salariés est différent d'un pack banque/scoring d'une ETI 1500 salariés.
4. Génération PHP déterministe (zéro hallucination)
Les templates sont générés par un moteur PHP synchrone (PHPWord + PhpSpreadsheet + mPDF) à partir de templates Markdown source versionnés. Aucun LLM n'intervient dans la rédaction des documents livrés. Le contenu est entièrement contrôlé et reproductible : mêmes réponses → mêmes documents.
5. Disclaimer juridique systématique
Chaque document livré porte la mention « Document de référence non juridique généré par regulia. Validation par DPO ou conseil juridique recommandée avant usage opérationnel. ». Cette mention est inscrite dans la première page (cover) et reprise dans le footer de chaque page. Les CGV plafonnent la responsabilité de regulia au montant payé par le client (article L.221-28 du Code de la consommation).
6. Veille réglementaire continue
Le pack Premium inclut une mise à jour automatique des templates à chaque évolution réglementaire majeure. Notre veille couvre : Journal Officiel UE (modifications du Règlement 2024/1689), publications du AI Office EU, fiches pratiques de la CNIL, lignes directrices de la Commission, Codes de bonne pratique sectoriels (Cigref, Numeum), arrêts CJUE matériels, recommandations ACPR/ANSM/HAS selon le secteur du client.
2. Pipeline de production d'un pack
| Étape | Action | Latence |
|---|---|---|
| 1. Formulaire client | 13 à 18 questions branchées avec sentence builder pour personnalisation phrases-clés | ~5-10 min côté client |
| 2. Soumission Stripe | Paiement sécurisé via Stripe Checkout (CB / Apple Pay / Google Pay), webhook signé HMAC | ~30 s |
| 3. Classification automatique | Détermination du rôle (déployeur/fournisseur), du niveau de risque, des obligations applicables (FRIA, Annexe IV) | < 100 ms |
| 4. Calcul des sanctions | Application Article 99 + protection PME 99(6) au profil de l'entreprise | < 50 ms |
| 5. Génération documents | 5 à 13 documents en DOCX, PDF, XLSX selon le pack et le profil | 3-15 s |
| 6. Empaquetage ZIP | Archive ZIP avec manifest.json (versionning, traçabilité, classification) | < 1 s |
| 7. Livraison email | Email SMTP signé DKIM/SPF/DMARC avec ZIP en pièce jointe + lien signé HMAC valide 30 jours | ~2 s |
Latence totale du paiement à la réception du pack : généralement moins d'une minute, garantie sous une heure dans les CGV.
3. Sources réglementaires de référence
Textes principaux
- Règlement (UE) 2024/1689 du 13 juin 2024 sur l'intelligence artificielle (« EU AI Act ») — version consolidée sur EUR-Lex et artificialintelligenceact.eu
- Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») dans son volet relatif à l'IA
- ISO/IEC 42001:2023 — AI Management System (publié le 18 décembre 2023)
- ISO/IEC 23894:2023 — AI risk management
- ISO/IEC 27001:2022 — Information security
- ISO/IEC 25059:2023 — Quality model for AI systems
Autorités françaises et européennes
- AI Office EU — Service Desk officiel
- CNIL — 13 fiches pratiques IA + recommandations RGPD-IA
- ACPR — pour les obligations spécifiques banque et assurance (scoring crédit, fraude, KYC)
- ANSM — pour les dispositifs médicaux IA (intersection MDR/IVDR)
- HAS — pour l'IA d'aide à la décision clinique
- ARCEP — pour les télécoms et Internet
- ARCOM — pour l'audiovisuel et les plateformes en ligne (deepfakes)
- DGCCRF — pour les pratiques commerciales et la protection consommateur
Veille communautaire
- Cigref — guide AI Act janvier 2025
- Numeum — guide AI Act mars 2025
- Digital Omnibus AI — accord politique provisoire du 7 mai 2026 reportant les obligations Annexe III du 2 août 2026 au 2 décembre 2027
4. Contrôle qualité
Trois niveaux de contrôle qualité sont appliqués sur chaque pack généré :
- Validation technique automatique : intégrité XML des fichiers DOCX/XLSX (parseur strict), conformité OOXML, taille minimale par document, présence du disclaimer en première page de chaque livrable.
- Validation de cohérence inter-documents : la même phrase de description du système IA apparaît à l'identique dans la politique IA, le registre AIMS, l'AISIA et la FRIA — garanti par le sentence builder déterministe.
- Validation manuelle par sondage : 1 pack sur 50 est ouvert manuellement pour contrôle visuel des templates et vérification des références légales citées.
5. Mise à jour des templates
Les templates Markdown source sont versionnés via Git. Chaque évolution réglementaire significative déclenche une procédure de mise à jour :
- Détection — veille hebdomadaire automatisée sur EUR-Lex, AI Office, CNIL, journaux officiels sectoriels.
- Analyse d'impact — identification des templates et obligations affectés par le changement.
- Modification des templates — édition Git avec commit explicite de la référence légale modifiée.
- Bump de version — chaque pack généré porte un numéro de version skill (ex : v1.2.3) traçable au commit Git.
- Notification clients Premium — email automatique aux clients abonnés au monitoring Premium avec lien vers la nouvelle version.
- Notification clients Express et Complet — par email lorsque la mise à jour est significative (changement d'obligation, ajout de sanction, modification de calendrier).
6. Conformité réglementaire de regulia lui-même
regulia est un acteur économique soumis aux mêmes textes que ses clients :
- RGPD — Règlement (UE) 2016/679 : voir notre politique de confidentialité. Aucune donnée client n'est utilisée pour entraîner un modèle d'IA.
- AI Act — regulia n'utilise pas de système IA pour générer ses templates (génération PHP déterministe). Notre site est en risque minimal, sans obligation spécifique au-delà de la transparence Article 50 (ce que nous appliquons en mentionnant l'absence d'IA dans la production des livrables).
- Loi pour la confiance dans l'économie numérique (LCEN, 2004) — voir nos mentions légales.
- Code de la consommation — droit de rétractation et médiation visible dans nos CGV.
7. Limites assumées
Trois limites sont explicitement assumées :
- regulia n'est pas un cabinet d'avocats. Les documents livrés sont des modèles de référence et non un conseil juridique. Pour des arbitrages frontières (statut provider/deployer ambigu, FRIA notifiée à l'autorité, contrats fournisseurs stratégiques), un avocat spécialisé reste recommandé.
- regulia n'est pas un cabinet de conseil RGPD. Pour la nomination d'un DPO externe ou la conduite d'une DPIA approfondie, faire appel à un DPO certifié.
- Personnalisation narrative limitée. Les sections narratives qui dépassent le sentence builder sont volontairement génériques. Un conseil sur-mesure produirait du texte 100 % adapté à votre contexte ; nos templates couvrent 80-90 % du besoin et libèrent votre DPO du travail de structuration documentaire.