Nouveau

EDDI v6 est maintenant disponible ! Commencer

Démarrer

Confidentialité mondiale et conformité réglementaire

EDDI offre une conformité intégrée pour le RGPD, le CCPA, l'EU AI Act, l'HIPAA, la PIPEDA, la LGPD, l'APPI, le POPIA, le PDPA Malaysia PDPA, PIPL et autres — avec suppression en cascade des données, pistes d'audit cryptographiques et une API unifiée.

Démarrer → Voir sur GitHub ↗
Confidentialité mondiale et conformité réglementaire

Conformité par l'architecture

Les industries réglementées ne peuvent pas ajouter la conformité aux systèmes d'IA après coup. EDDI intègre les fondations techniques de la conformité réglementaire mondiale directement dans l'architecture de la plateforme — pistes d'audit immuables, suppression en cascade des données, restrictions de traitement, intégrité cryptographique et contrôle d'accès basé sur les rôles sont des capacités fondamentales, pas des modules complémentaires. Une API unifiée couvre les droits des personnes concernées pour chaque juridiction.

Cadres de gouvernance de l'IA

Alors que les gouvernements du monde entier introduisent une législation spécifique à l'IA, les organisations ont besoin de plateformes offrant transparence, traçabilité et supervision humaine dès le premier jour. L'architecture d'EDDI répond aux exigences techniques fondamentales des principaux cadres de gouvernance de l'IA.

EU AI Act — Union européenne

L'EU AI Act (Règlement 2024/1689) est la première loi complète au monde sur l'IA, établissant des exigences basées sur les risques pour les systèmes d'IA. EDDI fournit les fondations techniques pour la conformité avec ses exigences relatives aux systèmes d'IA à haut risque :

  • Pistes d'audit immuables — Chaque opération enregistrée avec intégrité cryptographique HMAC-SHA256 (Art. 12 — Conservation des registres)
  • Transparence des décisions — Le traçage complet du pipeline montre comment les décisions d'IA ont été prises, y compris le nom du modèle, le prompt et la réponse (Art. 13 — Transparence)
  • Supervision humaine — L'interface de gestion permet la révision humaine, l'intervention et l'arrêt d'urgence (Art. 14 — Supervision humaine)
  • Classification des risques — L'architecture prend en charge les exigences des systèmes d'IA à haut risque avec des contrôles configurables (Art. 9 — Gestion des risques)
  • Reproductibilité — La configuration-as-code permet la reproduction exacte du comportement de l'IA pour les audits réglementaires (Art. 17 — Gestion de la qualité)
  • Gouvernance des données — OIDC/Keycloak RBAC, gestion des secrets basée sur un coffre-fort, journalisation des entrées/sorties (Art. 10 — Gouvernance des données)

NIST AI Risk Management Framework — États-Unis

Le NIST AI RMF (AI 100-1) fournit un cadre volontaire pour la gestion des risques liés à l'IA à travers quatre fonctions : Govern, Map, Measure et Manage. L'architecture d'EDDI offre des capacités techniques qui soutiennent les organisations poursuivant l'alignement NIST AI RMF :

  • Govern — Rôles RBAC (eddi-admin, eddi-editor, eddi-viewer), registre d'audit immuable et flux de données documentés soutiennent les structures de gouvernance de l'IA
  • Map — Le traçage du pipeline et la journalisation des conversations permettent une identification et une documentation complètes des risques liés à l'IA
  • Measure — Les métriques Prometheus, le suivi des tokens/coûts et les analyses d'utilisation par agent fournissent des indicateurs mesurables de performance et de risque de l'IA
  • Manage — L'API de restriction de traitement, la supervision humaine via l'interface Manager et les politiques de rétention configurables permettent les contrôles d'atténuation des risques

ISO/IEC 42001 — Systèmes de management de l'IA

ISO/IEC 42001:2023 établit les exigences pour un système de management de l'IA (AIMS). EDDI fournit des capacités techniques qui soutiennent les organisations poursuivant la certification ISO 42001 :

  • Politiques d'IA documentées — La configuration-as-code signifie que tout le comportement des agents est défini en JSON auditable — règles, workflows, configurations LLM et descripteurs de déploiement
  • Évaluation des risques — Les pistes d'audit capturent les historiques de décisions complets pour l'évaluation des risques et les analyses d'impact
  • Contrôles opérationnels — RBAC, gestion des secrets basée sur un coffre-fort et restrictions de traitement assurent la gouvernance opérationnelle
  • Surveillance des performances — Les métriques Prometheus, les tableaux de bord Grafana et la télémétrie CQRS permettent l'évaluation continue des performances de l'IA

Réglementations sur la protection des données

EDDI fournit des points d'accès unifiés pour les droits des personnes concernées qui satisfont les exigences techniques de chaque réglementation majeure sur la protection des données dans le monde. Une seule API couvre la suppression en cascade, l'exportation complète des données et la restriction du traitement — quelle que soit la juridiction.

RGPD — Union européenne / EEE

Le Règlement général sur la protection des données (UE 2016/679) est la référence mondiale en matière de protection des données. EDDI implémente les droits des personnes concernées du RGPD comme des endpoints API de première classe soutenus par des opérations en cascade sur les 5 magasins de données :

  • Droit à l'effacement (Art. 17)DELETE /admin/gdpr/{userId} cascade sur les mémoires utilisateur, les conversations, les correspondances de conversations gérées, les journaux de base de données (pseudonymisés SHA-256) et le registre d'audit (pseudonymisé SHA-256)
  • Droit d'accès / Portabilité (Art. 15/20)GET /admin/gdpr/{userId}/export retourne toutes les données utilisateur en JSON structuré et lisible par machine
  • Droit à la limitation (Art. 18)POST /admin/gdpr/{userId}/restrict gèle le traitement tout en préservant les données, bloquant les nouvelles conversations et le traitement des messages
  • Journalisation sans PII — Les opérations RGPD journalisent des pseudonymes SHA-256, jamais les identifiants utilisateur bruts
  • Rétention configurable — Politiques de rétention par catégorie pour les conversations (365 jours par défaut), les mémoires utilisateur (manuel) et les entrées d'audit (indéfini pour l'EU AI Act)
  • Outils MCPdelete_user_data et export_user_data permettent des workflows de conformité orchestrés par l'IA

CCPA / CPRA — Californie, États-Unis

Le California Consumer Privacy Act et le California Privacy Rights Act accordent aux consommateurs des droits de connaissance, de suppression et de refus de la vente de données. EDDI satisfait les exigences techniques du CCPA via son API compatible RGPD :

  • Droit de savoir (§1798.100) — L'endpoint d'exportation RGPD fournit toutes les informations personnelles dans un format structuré et lisible par machine
  • Droit de suppression (§1798.105) — L'endpoint d'effacement RGPD fournit la suppression en cascade sur tous les magasins de données
  • Ne pas vendre (§1798.120) — EDDI ne peut architecturellement pas vendre d'informations personnelles — c'est une infrastructure middleware qui traite les données exclusivement pour le compte du déployeur

PIPEDA — Canada

La Loi sur la protection des renseignements personnels et les documents électroniques du Canada (2000, modifiée en 2023) régit le traitement commercial des données à travers 10 principes d'information équitable. L'architecture d'EDDI s'aligne directement sur chaque principe :

  • Responsabilité — Registre d'audit immuable signé HMAC trace toutes les opérations
  • Limitation de la collecte — Le fenêtrage conscient des tokens limite les données envoyées aux LLMs ; la rétention configurable supprime automatiquement les anciennes conversations
  • Limitation de l'utilisation/divulgation — Les données sont utilisées uniquement pour les interactions d'agents configurées ; la piste d'audit journalise chaque invocation LLM
  • Mesures de sécurité — Chiffrement enveloppe AES-256-GCM (Secrets Vault), intégrité d'audit HMAC-SHA256, Keycloak OIDC, RBAC
  • Accès individuel — L'exportation complète des données via l'API REST retourne toutes les mémoires, conversations et correspondances de conversations gérées en JSON
  • Contestation de la conformité — Suppression en cascade sur les 5 magasins de données ; piste d'audit pseudonymisée (non supprimée) pour les obligations de conservation légale

LGPD — Brésil

La Lei Geral de Proteção de Dados du Brésil (2018, effective 2020) accorde des droits étendus aux personnes concernées, reflétant étroitement le RGPD. EDDI couvre tous les droits de l'article 18 avec des capacités techniques intégrées :

  • Accès aux données (Art. 18, II) — Exportation complète des données en JSON
  • Correction (Art. 18, III) — Mémoires utilisateur modifiables via PUT /usermemorystore/memories
  • Anonymisation/Suppression (Art. 18, IV) — Suppression en cascade avec pseudonymisation SHA-256 des enregistrements d'audit
  • Portabilité des données (Art. 18, V) — L'exportation JSON lisible par machine inclut toutes les données utilisateur
  • Suppression des données inutiles (Art. 18, VI) — Politiques de rétention configurables avec nettoyage automatique
  • Révocation du consentement (Art. 18, IX) — Les endpoints de fin de conversation et de suppression en cascade fournissent le mécanisme technique

APPI — Japon

La loi japonaise sur la protection des informations personnelles (2003, significativement modifiée en 2022) est l'une des lois les plus matures d'Asie en matière de protection des données. Le Japon dispose d'une décision d'adéquation de l'UE, facilitant les flux de données transfrontaliers. EDDI fournit :

  • Mesures de sécurité (Art. 23) — Chiffrement vault AES-256-GCM, intégrité d'audit HMAC-SHA256, Keycloak OIDC, RBAC, protection SSRF
  • Divulgation aux personnes concernées (Art. 33) — Exportation complète des données via l'API REST
  • Correction et suppression (Art. 34-35) — Mises à jour des mémoires pour la correction ; suppression en cascade pour l'effacement
  • Informations pseudonymisées (amendement 2022) — L'effacement RGPD utilise la pseudonymisation SHA-256, satisfaisant la catégorie d'informations pseudonymisées de l'APPI
  • Documentation des transferts transfrontaliers (Art. 28) — Flux de données des fournisseurs LLM documentés ; la piste d'audit enregistre quel modèle/fournisseur a traité chaque tour

POPIA — Afrique du Sud

La loi sud-africaine sur la protection des informations personnelles (2013, effective 2021) établit 8 conditions de traitement des données alignées sur les normes européennes. EDDI fournit des capacités techniques intégrées pour chaque condition :

  • Responsabilité (Condition 1) — Registre d'audit signé HMAC, flux de données documentés, code open-source Apache 2.0
  • Limitation du traitement (Condition 2) — Fenêtrage conscient des tokens, rétention configurable, fin automatique des conversations inactives
  • Qualité de l'information (Condition 5) — État de conversation horodaté et versionné ; mémoires utilisateur modifiables via l'API REST
  • Mesures de sécurité (Condition 7) — Chiffrement AES-256-GCM, intégrité HMAC, Keycloak OIDC, RBAC, protection SSRF
  • Participation des personnes concernées (Condition 8) — Endpoints complets d'exportation de données et de suppression en cascade

PDPA — Singapour et Thaïlande

Les lois sur la protection des données personnelles de Singapour (2012, modifiée en 2021) et de Thaïlande (2019, effective 2022) sont les cadres de protection de la vie privée les plus matures d'Asie du Sud-Est. EDDI couvre les obligations techniques des deux juridictions :

  • Obligation d'accès — Exportation complète des données via l'API REST et les outils MCP
  • Obligation de correction — Mémoires utilisateur modifiables via l'API REST
  • Obligation de protection — Chiffrement AES-256-GCM, intégrité d'audit HMAC, Keycloak OIDC, RBAC
  • Limitation de la rétention — Nettoyage automatique configurable avec délai d'expiration des conversations inactives
  • Notification de violation de données — Modèle de runbook de réponse aux incidents inclus dans la documentation EDDI

PDPA — Malaisie

La loi malaisienne sur la protection des données personnelles de 2010 (Loi 709, modifiée en 2024) régit le traitement commercial des données personnelles à travers 7 principes de protection des données. EDDI fournit les contrôles techniques pour soutenir la conformité du déployeur :

  • Principe Général (§6) — Politiques de rétention configurables et endpoint de restriction de traitement soutiennent le traitement limité par finalité et basé sur le consentement
  • Principe de Sécurité (§9) — Chiffrement de coffre AES-256-GCM, intégrité d'audit HMAC-SHA256, Keycloak OIDC, RBAC, protection SSRF
  • Principe de Rétention (§10) — Rétention configurable par catégorie avec nettoyage automatique ; fin automatique des conversations inactives
  • Principe d'Intégrité des Données (§11) — État de conversation versionné et horodaté ; mémoires utilisateur modifiables via API REST
  • Principe d'Accès (§12) — Export complet des données via GET /admin/gdpr/{userId}/export retourne toutes les données utilisateur en JSON structuré
  • Transferts Transfrontaliers (§129) — L'architecture auto-hébergée permet aux déployeurs de contrôler la résidence des données ; la piste d'audit documente tous les flux de données des fournisseurs LLM

PIPL — Chine

La loi chinoise sur la protection des informations personnelles (2021) est l'une des lois de protection des données les plus complètes au monde, régissant le traitement des informations personnelles des individus en Chine. EDDI fournit l'infrastructure technique pour des déploiements conformes au PIPL :

  • Traitement Licite (Art. 13) — Le comportement d'agent piloté par configuration assure que le traitement reste dans les finalités définies ; l'API de restriction de traitement gèle l'activité sur demande
  • Droits Individuels (Art. 44–49) — Export complet des données, suppression en cascade et endpoints de restriction de traitement couvrent les droits de connaître, copier, corriger, supprimer et restreindre
  • Sécurité des Données (Art. 51) — Chiffrement de coffre AES-256-GCM, intégrité d'audit HMAC-SHA256, Keycloak OIDC, RBAC, zéro eval()
  • Transferts Transfrontaliers (Art. 38–39) — L'architecture auto-hébergée permet le déploiement sur site en Chine ; la piste d'audit documente tous les flux de données externes pour les évaluations de sécurité
  • Prise de Décision Automatisée (Art. 24) — Pistes d'audit immuables avec traçabilité complète du pipeline offrent la transparence dans la prise de décision IA ; supervision humaine via l'interface de gestion
  • Conservation des Données (Art. 19) — Politiques de rétention configurables avec nettoyage automatique imposent des durées de stockage minimales nécessaires

Juridictions supplémentaires

UK GDPR (Royaume-Uni) — Reflète substantiellement le RGPD de l'UE ; les endpoints RGPD d'EDDI satisfont tous les droits des personnes concernées du UK GDPR. Supervision ICO.PIPA (Corée du Sud) — Exigences strictes de consentement, DPO obligatoire, notification de violation sous 72 heures. EDDI fournit l'infrastructure technique d'audit et d'effacement.DPDPA (Inde, 2023) — Cadre basé sur le consentement avec restrictions transfrontalières. Les endpoints d'exportation et d'effacement d'EDDI satisfont les exigences du Digital Personal Data Protection Act.Privacy Act + APPs (Australie) — 13 principes australiens de protection de la vie privée ; régime de notification obligatoire des violations de données. La piste d'audit et l'exportation de données d'EDDI couvrent les obligations techniques.Lois étatiques de type CCPA (Virginia VCDPA, Colorado CPA, Connecticut CTDPA, etc.) — L'API compatible RGPD/CCPA satisfait toutes les lois étatiques émergentes sur la protection de la vie privée aux États-Unis.

Conformité spécifique à l'industrie

HIPAA — Santé aux États-Unis

Le Health Insurance Portability and Accountability Act établit des garanties pour les informations de santé protégées (PHI). EDDI fournit l'infrastructure technique pour des déploiements d'IA conformes à l'HIPAA :

  • Contrôles d'accès (§164.312(a)) — Keycloak OIDC avec accès basé sur les rôles (eddi-admin, eddi-editor, eddi-viewer)
  • Contrôles d'audit (§164.312(b)) — Registre d'audit immuable signé HMAC enregistrant chaque opération avec horodatages, identifiants utilisateur et résultats
  • Contrôles d'intégrité (§164.312(c)) — Détection de falsification HMAC-SHA256 sur toutes les entrées d'audit
  • Sécurité de transmission (§164.312(e)) — TLS pour le transit ; AES-256-GCM pour les secrets au repos via Secrets Vault
  • Élimination des données (§164.310(d)(2)(i)) — L'endpoint de suppression en cascade RGPD supprime définitivement les PHI de tous les magasins de données
  • Modèle BAA — Modèle de Business Associate Agreement inclus dans la documentation EDDI pour les déploiements dans le secteur de la santé

Préparation SOC 2

SOC 2 Type II évalue les systèmes selon les Trust Services Criteria. L'architecture d'EDDI fournit des contrôles techniques qui soutiennent les organisations poursuivant l'attestation SOC 2 :

  • Sécurité — Authentification OIDC/Keycloak, RBAC, Secrets Vault (AES-256-GCM), zéro eval(), protection contre le path traversal, validation d'URL
  • Disponibilité — Mise à l'échelle horizontale via NATS JetStream, double support de base de données (MongoDB/PostgreSQL), déploiement natif Kubernetes
  • Intégrité du traitement — Registre d'audit immuable signé HMAC avec vérification d'intégrité cryptographique par opération
  • Confidentialité — Le filtre de rédaction des secrets nettoie les clés API et les références vault des entrées d'audit ; journalisation sans PII avec pseudonymes SHA-256
  • Vie privée — API complète des droits des personnes concernées (effacement, exportation, restriction), rétention configurable, contrôles de restriction du traitement

Une API pour la conformité mondiale

Chaque réglementation listée ci-dessus est servie par la même API REST unifiée et les mêmes outils MCP. Que vous répondiez à une demande d'effacement RGPD en Allemagne, à une demande de suppression CCPA en Californie ou à une demande d'accès PDPA à Singapour — les mêmes endpoints gèrent tout :

DELETE /admin/gdpr/{userId} — Suppression en cascade sur 5 magasins de données (mémoires utilisateur, conversations, correspondances gérées, journaux, entrées d'audit)
GET /admin/gdpr/{userId}/export — Exportation complète des données utilisateur en JSON structuré (mémoires, conversations, enregistrements d'audit)
POST /admin/gdpr/{userId}/restrict — Gel du traitement tout en préservant les données pour la résolution des litiges
MCP : delete_user_data — Suppression en cascade orchestrée par l'IA (nécessite une confirmation explicite)
MCP : export_user_data — Exportation de données orchestrée par l'IA pour les workflows DSAR automatisés

Conçu pour les industries réglementées du monde entier

La santé, les services financiers, le gouvernement, l'industrie manufacturière et d'autres secteurs réglementés peuvent déployer EDDI en toute confiance. La plateforme fournit la transparence, l'auditabilité et les mécanismes de contrôle exigés par plus de 17 cadres réglementaires — de l'EU AI Act et du RGPD en Europe à l'HIPAA aux États-Unis, en passant par la PIPEDA au Canada, la LGPD au Brésil, l'APPI au Japon, le POPIA en Afrique du Sud, le PDPA en Asie du Sud-Est, le PDPA malaisien et le PIPL chinois. La conformité n'est pas une réflexion après coup — c'est une fondation architecturale.

Démarrer → Voir sur GitHub ↗