Soberanía — P1 a P3
P1 — ¿Dónde se alojan físicamente mis datos?
Respuesta esperada: uno o dos centros de datos concretos, en Francia, operados por un actor francés o europeo. Si la respuesta habla de “Europa” o “centros de datos asociados”, es demasiado vago.
P2 — ¿Cuál es la nacionalidad de su sociedad matriz?
Respuesta esperada: capital francés o europeo, sin control extranjero que la exponga al Cloud Act o equivalente. Vea Por qué elegir una IA soberana.
P3 — ¿Qué jurisdicción rige el contrato?
Respuesta esperada: derecho francés, tribunales franceses. Sin cláusula de arbitraje en el extranjero.
Datos — P4 a P7
P4 — ¿Se utilizan mis datos para entrenar o mejorar el modelo?
Respuesta esperada: “Nunca, en ningún caso, así consta en el contrato”. Si la respuesta es “no sin su consentimiento”, pregunte dónde está la opción de exclusión oculta.
P5 — ¿Quién puede acceder a mis datos en sus instalaciones?
Respuesta esperada: nadie, salvo de forma nominativa y con registro de auditoría. Sin accesos silenciosos del operador.
P6 — ¿Durante cuánto tiempo se conservan mis datos?
Respuesta esperada: duración parametrable por usted, con valores por defecto documentados (habitualmente 6-24 meses para las conversaciones).
P7 — ¿Cómo recupero y suprimo mis datos si me voy?
Respuesta esperada: exportación completa en 7 días, supresión íntegra en 30 días, certificado de destrucción sistemático.
Modelo — P8 a P10
P8 — ¿Qué modelo de IA ejecutan?
Respuesta esperada: nombre y versión precisos (modelos open source tipo Mistral, Llama, o propietario; hay que saberlo). Si la respuesta es “nuestra IA propietaria”, pregunte qué significa eso en concreto.
P9 — ¿El modelo se ejecuta en sus instalaciones o a través de una API de un tercero?
Respuesta esperada: en nuestras instalaciones, dentro de nuestra infraestructura. Si la respuesta es una API de tercero (OpenAI, Anthropic), sus datos pasan por esa API, lo que cambia el perímetro de soberanía.
P10 — ¿Cómo se actualiza el modelo y cómo afecta eso a mis asistentes?
Respuesta esperada: actualizaciones planificadas, periodo de no regresión, posibilidad de congelar una versión para los usos críticos.
Contrato — P11 a P13
P11 — ¿Disponen de un DPA conforme al artículo 28 del RGPD?
Respuesta esperada: sí, firmado antes de la primera ingesta, con una lista explícita de los subencargados ulteriores. Vea RGPD y asistentes IA.
P12 — ¿Cuáles son los compromisos de disponibilidad (SLA)?
Respuesta esperada: 99,5 % como mínimo, con compensación si no se cumple. Nada de “best effort”.
P13 — ¿Cuáles son las condiciones de salida y la duración mínima de compromiso?
Respuesta esperada: compromiso anual como máximo, preaviso de 60 a 90 días, sin penalización de salida desproporcionada.
Soporte — P14 a P15
P14 — ¿Quién me acompaña durante la implantación y después?
Respuesta esperada: un referente humano, en Francia, localizable. Ni un chatbot ni un ticket a 48 h.
P15 — ¿Tienen referencias ya en producción en mi sector?
Respuesta esperada: sí, y el proveedor puede ponerle en contacto (con el acuerdo del cliente). Si no, usted será el piloto, lo cual es aceptable, pero hay que negociarlo como tal.
Para los compromisos de Forgeron3 en estos quince puntos, vea nuestra página seguridad y RGPD.
Veinte minutos para repasar estas quince preguntas sobre Forgeron3 o sobre otro proveedor. Le decimos dónde están las banderas rojas, sin rodeos.
Reservar demo→