Ce que signifie une preuve prête pour régulateur

Les équipes conformité qui évaluent des agents IA font face à un problème de terminologie. Journaux, traces, constats, preuves, artefacts, packs — chaque mot signifie quelque chose de différent pour un ingénieur et pour un auditeur. L'écart entre ce que les développeurs exportent et ce dont les régulateurs ont besoin est l'endroit où vit le risque de conformité.

RADAR structure les preuves de conformité en quatre couches, chacune indépendamment vérifiable : traces (ce que l'agent a fait), constats (ce qui nécessite attention), mappings de contrôle (quelle réglementation est satisfaite) et packs d'export (la preuve livrable).

Ce qui rend une preuve prête pour le régulateur

Un pack de preuves prêt pour le régulateur possède quatre propriétés qui le distinguent d'un export de journaux :

• Structure infalsifiable : Chaque événement est lié cryptographiquement au précédent via une chaîne de Merkle. La racine de la chaîne est signée avec une clé Ed25519 vérifiable hors ligne.
• Attestation de rétention : Chaque pack d'export inclut une attestation signée de la période de rétention, de la politique de purge et des mesures de conservation légale.
• Mappings de contrôle explicites : Les constats sont automatiquement liés aux articles correspondants de l'EU AI Act, du RGPD, de la SOC 2, de l'HIPAA et d'autres cadres.
• Chaîne de traçabilité auto-hébergée : Les preuves sont générées et stockées dans l'infrastructure du client. Aucune infrastructure tierce n'a touché aux preuves.

Pourquoi c'est important pour l'approvisionnement

Une équipe conformité qui évalue RADAR n'a pas besoin de faire confiance aux affirmations marketing du produit. Elle peut déployer l'essai, connecter un workflow agentique représentatif et inspecter les packs de preuves directement. La question n'est pas « Le fournisseur promet-il la conformité ? » mais « Le pack de preuves satisfait-il les exigences de notre auditeur ? »