Souveraineté — Q1 à Q3
Q1 — Où sont physiquement hébergées mes données ?
Réponse attendue : un ou deux datacenters précis, en France, opérés par un acteur français ou européen. Si la réponse parle d’« Europe » ou « datacenters partenaires », c’est trop flou.
Q2 — Quelle est la nationalité de votre société-mère ?
Réponse attendue : capitaux français ou européens, sans contrôle étranger qui exposerait au Cloud Act ou équivalent. Voir Pourquoi choisir une IA souveraine.
Q3 — Sous quelle juridiction le contrat est-il régi ?
Réponse attendue : droit français, tribunaux français. Pas de clause d’arbitrage à l’étranger.
Données — Q4 à Q7
Q4 — Mes données servent-elles à entraîner ou améliorer le modèle ?
Réponse attendue : « Jamais, en aucun cas, c’est dans le contrat. » Si c’est « pas sans votre accord », demandez où est l’opt-out caché.
Q5 — Qui peut accéder à mes données chez vous ?
Réponse attendue : personne, sauf nominativement et avec journal d’audit. Pas d’accès opérateur silencieux.
Q6 — Combien de temps mes données sont-elles conservées ?
Réponse attendue : durée paramétrable par vous, avec valeurs par défaut documentées (typiquement 6-24 mois pour les conversations).
Q7 — Comment je récupère et fais supprimer mes données si je pars ?
Réponse attendue : export complet en 7 jours, suppression intégrale en 30 jours, attestation de destruction systématique.
Modèle — Q8 à Q10
Q8 — Quel modèle d’IA faites-vous tourner ?
Réponse attendue : nom et version précis (modèles open source type Mistral, Llama, ou propriétaire — il faut savoir). Si la réponse est « notre IA propriétaire », demandez ce que ça veut dire concrètement.
Q9 — Le modèle tourne-t-il chez vous ou via une API tierce ?
Réponse attendue : chez nous, dans notre infrastructure. Si la réponse est une API tierce (OpenAI, Anthropic), vos données passent par cette API, ce qui change le périmètre de souveraineté.
Q10 — Comment le modèle est-il mis à jour, et comment cela affecte mes assistants ?
Réponse attendue : mises à jour planifiées, période de non-régression, possibilité de geler une version pour les usages critiques.
Contrat — Q11 à Q13
Q11 — Avez-vous un DPA conforme à l’article 28 RGPD ?
Réponse attendue : oui, signé avant la première ingestion, avec liste explicite des sous-traitants ultérieurs. Voir RGPD et assistants IA.
Q12 — Quels sont les engagements de disponibilité (SLA) ?
Réponse attendue : 99,5 % minimum, avec compensation si non tenu. Pas « best effort ».
Q13 — Quels sont les conditions de sortie et la durée minimale d’engagement ?
Réponse attendue : engagement annuel maximum, préavis de 60 à 90 jours, pas de pénalité de sortie déraisonnable.
Support — Q14 à Q15
Q14 — Qui m’accompagne dans la mise en place et après ?
Réponse attendue : un référent humain, en France, joignable. Pas un chatbot, pas un ticket à 48 h.
Q15 — Avez-vous des références déjà en production dans mon secteur ?
Réponse attendue : oui, et le fournisseur peut vous mettre en contact (avec accord du client). Si non, vous serez le pilote — c’est acceptable, mais à négocier comme tel.
Pour les engagements Forgeron3 sur ces quinze points, voir notre page sécurité & RGPD.
Vingt minutes pour passer en revue ces quinze questions sur Forgeron3 ou sur un autre fournisseur. On vous dit où sont les drapeaux rouges, sans langue de bois.
Réserver une démo→