Qui peut voir les prompts ?

Personne. Veil-it fonctionne entièrement en local sur votre machine. Vos prompts sont analysés et masqués directement dans votre navigateur avant d'être envoyés vers l'IA. Nous transmettons uniquement des métriques (type de données sensibles, nombre de prompts, etc.) pour que vous puissiez ensuite y avoir accès dans le dashboard.

Est-ce conforme au RGPD ?

Oui, totalement. Veil-it a été conçu dès le départ pour être conforme au RGPD. Aucune donnée personnelle n'est stockée ou transmise vers le cloud. Le traitement se fait exclusivement en local, ce qui signifie que vos données ne quittent jamais votre environnement. Cela garantit la conformité avec l'Article 25 (Privacy by Design) et l'Article 32 (Sécurité du traitement) du RGPD.

Combien de temps pour mettre cela en place ?

Dès maintenant. L'installation de Veil-it ne prend que 2 minutes via l'extension Chrome. Aucune infrastructure supplémentaire n'est requise, pas de configuration complexe, et aucune intervention de votre équipe IT. Une fois installée, la protection est immédiate et fonctionne automatiquement sur tous les sites d'IA que vous utilisez.

Où sont hébergées les données ?

Aucune donnée sensible n'est hébergée ou téléchargée. Veil-it analyse et masque tout localement dans votre navigateur. Seules des métadonnées anonymisées (statistiques d'utilisation, types de données détectées) sont envoyées au dashboard pour vous permettre de suivre l'utilisation et former vos équipes.

Shadow AI & Dette de Conformité : Le Guide Pratique pour Sécuriser l'IA (Sans tout bloquer)

Aurélien Vandaële, CTO Freelance

J'ai eu une frustration : voir mes collaborateurs utiliser n'importe quel outil IA sans gouvernance. C'est non-conforme AI Act, et je n'avais aucun outil pour le gérer sans brider leur productivité.

Interdire ChatGPT = équipes frustrées qui trouvent des contournements.
Laisser faire = exposition légale et fuites de données.

Aucune solution du marché ne me convenait (proxies cloud = latence, complexité, coûts).
Donc je l'ai créé.

Voici comment je sécurise l'IA en entreprise, en trois piliers :

1. Diagnostic Technique

Pourquoi vos outils actuels (firewalls, DLP) ne voient pas le Shadow AI

2. Formation au Bon Moment

Alertes contextuelles quand l'employé s'apprête à partager des données sensibles

3. Protection Locale

Analyse dans le navigateur (pas de cloud tiers), zéro latence, Privacy-by-Design

Anatomie d'une Fuite Silencieuse : Le Shadow AI

Le scénario que je vois chaque semaine :

Un collaborateur copie-colle un fichier Excel avec des données clients dans ChatGPT gratuit. Votre firewall ne voit rien (flux HTTPS chiffré vers openai.com, domaine légitime).

Le problème technique :

Les pare-feux traditionnels analysent les flux réseau, mais ne peuvent pas inspecter le contenu HTTPS des requêtes vers des services cloud autorisés. L'IA générative crée une nouvelle surface d'attaque invisible.

Le risque légal (traduit en business) :

AI Act Article 4 (Littératie IA) : L'entreprise doit former ses employés. Ignorer = responsabilité engagée.
RGPD Article 32 (Sécurité du traitement) : Obligation de mesures techniques pour protéger les données personnelles.
Dette de conformité : Chaque jour sans gouvernance IA accumule une exposition légale (amendes RGPD jusqu'à 20M€ ou 4% CA).
Shadow AI = Shadow IT 2.0 : Vos employés utilisent des LLM non approuvés. Vous ne savez ni qui, ni quoi, ni où.

Veil-it : La Plateforme de Conformité & Gouvernance IA

Veil-it est la plateforme de conformité et de gouvernance de l'IA Générative.

Nous permettons aux RSSI, DPO et DSI de déployer l'IA dans l'entreprise en garantissant instantanément le respect du RGPD et de l'AI Act, sans brider l'innovation.

🇪🇺 Axe 1 : Conformité AI Act & RGPD (L'axe Légal)

Notre promesse : Transformer vos obligations légales en automatismes.

Formation "Just-in-Time" (AI Act - Art. 4) : Nous formons les utilisateurs au moment précis où ils commettent une erreur (pop-up pédagogique). Cela valide l'obligation légale de "littératie IA" des équipes.
Registre des Traitements (RGPD) : Vous pouvez alimenter l'inventaire des usages. Vous savez qui utilise quoi, et pour quelles types de données.
Minimisation des Données : Masquage automatique des PII (Données personnelles) avant tout envoi vers une IA.

🌍 Axe 2 : Gouvernance & Shadow AI (L'axe Contrôle)

Notre promesse : Reprendre le contrôle sur les outils utilisés.

Maîtrise du Shadow AI : Détection et blocage des IA non autorisées (ex: ChatGPT gratuit, Deepseek...).
Redirection Intelligente : Guidage automatique de l'utilisateur vers les outils validés par l'entreprise (ex: Redirection de Deepseek → vers Mistral / Copilot).
Dashboard Décisionnel : Visibilité totale pour les C-Level : Top outils utilisés, Top risques évités, Taux d'adoption.

🔒 Axe 3 : Sécurité & Souveraineté (L'axe Technique)

Notre promesse : Une architecture "Zéro Exfiltration".

Privacy-by-Design : Analyse sémantique 100% locale dans le navigateur.
Zéro Cloud Tiers : Vos prompts et fichiers ne transitent jamais par nos serveurs. Nous ne voyons que les alertes (métadonnées).
Souveraineté : Hébergement des logs en France. Données immunisées au Cloud Act.

⚙️ Axe 4 : Déploiement & Adoption (L'axe DSI)

Notre promesse : Déployé en 5 minutes, adopté immédiatement.

Friction Zéro : Extension Chrome/Edge déployable via MDM (Microsoft Intune, Google Workspace).
SSO Microsoft : Connexion sécurisée en un clic.
Support Dédié : Accompagnement à l'installation et au paramétrage des politiques de sécurité.

📋 Template de Charte d'Usage IA (Version Niveaux de Risque)

POLITIQUE D'USAGE DES OUTILS D'IA GÉNÉRATIVE

Outils Approuvés : [ChatGPT Plus Entreprise / Claude Pro / Copilot M365 / LLM Local]

Classification des Données & Usages Autorisés :

🟢 VERT (Public) Usage autorisé sans restriction
• Traduction de textes publics
• Génération de code générique (pas de logique métier propriétaire)
• Brainstorming (idées, concepts abstraits)
• Reformulation de contenus marketing déjà publiés

🟠 ORANGE (Interne) Usage sous condition (anonymisation requise)
• Données métier non sensibles (stats agrégées, tendances)
• Code source interne (retirer noms clients, variables sensibles)
• Documents internes (anonymiser noms/fonctions avant partage)
⚠️ Action requise : Utiliser la fonction d'offuscation Veil-it ou anonymiser manuellement.

🔴 ROUGE (Confidentiel / PII) Usage interdit (ou LLM Local uniquement)
• Données personnelles clients (noms, emails, téléphones, adresses)
• Données financières (revenus, marges, salaires, IBAN)
• Secrets commerciaux (roadmaps produits, stratégies non publiques)
• Propriété intellectuelle (brevets en cours, algorithmes propriétaires)
• Données RH (évaluations, dossiers médicaux)
⛔ Interdiction absolue sauf via LLM déployé On-Premise (ex: LLaMA local).

Règle d'Or : Avant d'envoyer un prompt, demandez-vous : « Serais-je à l'aise si ce texte apparaissait dans un dataset public d'entraînement IA accessible à mes concurrents ? »

Sanctions : Les violations répétées peuvent entraîner des mesures disciplinaires (cf. Règlement Intérieur Article X).

Support : En cas de doute → Contactez le DPO ou la Sécurité IT avant envoi.

Audit de Votre Exposition Shadow AI (20 min)

Session technique de 20 minutes avec un CTO (moi ou mon équipe) :

Audit de surface d'attaque : Analyse de vos outils IA actuels (autorisés et Shadow AI détectés)

Démo live Veil-it : Détection PII en temps réel, offuscation, tableau de bord admin

Mapping de conformité : Votre secteur (Finance, Santé, Tech) vs exigences réglementaires (RGPD, AI Act, NIS2)

ROI technique : Coût de déploiement vs coût d'une violation

Réserver une démo pour sécuriser vos données