Tiers de confiance souverain · Conforme EU AI Act
Orchessia Trust
Conformité · RGPD

RGPD et IA : preuve démontrable de chaque décision automatisée.

Le RGPD encadre les décisions individuelles automatisées (Art. 22), impose une analyse d'impact (Art. 35) et la sécurité du traitement (Art. 32). Orchessia Trust répond techniquement à ces obligations sans transmission de données PII à des tiers.

Évaluer mon expositionDemander une démo
Articles RGPD couverts

Cinq articles, cinq mécanismes Trust.

Chaque article RGPD pertinent pour l'IA est adressé par une fonctionnalité spécifique de Orchessia Trust.

Art. 5

Principes du traitement

Minimisation par construction. Orchessia Trust ne collecte que ce qui est nécessaire à l'identification eIDAS substantielle. Aucune donnée PII transmise au vérificateur, uniquement des condensats.

Art. 17

Droit à l'effacement

Soft delete avec conservation du condensat cryptographique. La preuve reste démontrable sans donnée brute. Conciliable avec le WORM probant.

Art. 22

Décision individuelle automatisée

Orchessia Trust permet d'objectiver le mandat humain à l'origine de chaque décision IA. Le droit à explication est servi par la preuve démontrable consultable par la personne affectée.

Art. 32

Sécurité du traitement

Chiffrement AES-256-GCM, biométrie jamais transmise hors infrastructure client, WebAuthn hardware-backed pour les opérations critiques. Stack 100 % auditable.

Art. 35

Analyse d'impact (AIPD)

Orchessia Trust fournit un modèle d'AIPD adapté aux déployeurs d'agents IA (V1.1). Le registre WORM constitue la preuve technique de mise en œuvre.

Art. 22 RGPD

Décision individuelle automatisée — la preuve démontrable.

L'Art. 22 RGPD donne à toute personne le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé. Lorsqu'une telle décision est légitime (consentement, contrat, autorisation légale), elle doit être traçable et explicable.

Avant la décision
  • Information préalable de la personne (générique)
  • Mandat humain signé par responsable identifié
  • Bornes opérationnelles tracées (anti-discrimination)
Après la décision
  • Identifiant de preuve transmis à la personne
  • Consultation libre sur portail public (offline)
  • Droit à explication individuelle servi techniquement
Droit à l'effacement vs WORM probant

Comment réconcilier Art. 17 RGPD et conservation 10 ans.

Le WORM probant exige une conservation longue durée. Le RGPD donne droit à l'effacement. Ces deux exigences sont conciliables : Orchessia Trust supprime le payload personnel sur demande et conserve uniquement le condensat cryptographique.

Soft delete + condensat conservé
Le condensat SHA-256 d'un payload supprimé reste dans le registre WORM. La preuve technique d'intégrité de la chaîne demeure valide. Mais la personne concernée ne peut plus être réidentifiée à partir du registre. La preuve est démontrable et le droit à l'effacement est servi.
Vérification offline

Pas d'appel à notre infrastructure, pas de fuite de données.

La vérification d'une preuve Orchessia Trust se fait offline. Le vérificateur ne transmet rien à notre infrastructure. La personne affectée vérifie chez elle, sur son propre poste, sans que Orchessia Trust apprenne quoi que ce soit.

Conforme RGPD by design
La vérification offline est un avantage RGPD majeur : aucun nouveau traitement n'est créé au moment du contrôle. Aucune donnée n'est transmise. Aucun cookie. Aucun tracking. Pure cryptographie.

Briefer votre DPO.

Atelier de 90 minutes : audit Art. 22 + 35 + 32, modèle d'AIPD, plan de déploiement compatible avec votre cartographie de traitements.

Demander une démo DPOVoir EU AI Act