NordTel Communications S.A. — Opérateur européen de télécommunications
OASAT de NordTel Communications a mis en évidence d'importantes Gouvernance IA dans les six domaines de contrôle. L'adoption de l'IA a pris le pas sur la gouvernance : 23 outils d'IA non approuvés ont été identifiés comme étant activement utilisés dans les différentes unités opérationnelles, sans aucun contrôle d'exécution, sans audit et présentant un risque réglementaire significatif au regard de la loi européenne sur l'IA, de NIS2 et du RGPD. Des mesures correctives immédiates s'imposent dans trois domaines critiques avant l'expiration des délais réglementaires.
Chaque domaine a été évalué au regard du cadre OASF et noté en fonction de risk et de la maturité de sa gouvernance. La maturité est notée sur une échelle de 1 à 5 : 1 = ponctuel, 2 = en développement, 3 = défini, 4 = géré, 5 = optimisé.
| Domaine | Risk | Échéance | Écart clé |
|---|---|---|---|
| Gouvernance des donnéesOASF | Critique | 1,4 / 5 | Absence policy de classification des données relatives à l'IA. PII des clients PII à des modèles de langage grand public (LLM) externes sans être vérifiées ni anonymisées. |
| Gouvernance du modèleOASF | Critique | 1,2 / 5 | Il n'existe aucun registre des modèles approuvés. 23 AI non approuvés sont actuellement utilisés dans 8 unités opérationnelles. |
| Accès et identitéAI | Élevé | 2.1 / 5 | Les interactions avec l'IA ne sont pas liées à l'identité. Aucune intégration SSO avec les outils d'IA. Aucune audit reliant l'utilisation de l'IA à des individus. |
| Sécurité opérationnelleOASF | Élevé | 1,8 / 5 | Pas de mécanismes de défense contre l'injection de commandes. Pas de surveillance des entrées malveillantes. Pas de modèle de menace AI. |
| Audit conformitéOASF | Critique | 1,0 / 5 | Aucune journalisation des interactions avec l'IA. Aucune audit . Impossible de démontrer la conformité à l'article 12 de la loi européenne sur l'IA ou à l'article 30 du RGPD. |
| Réponse aux incidentsOASF | Modéré | 2,4 / 5 | Un processus général de gestion des incidents existe, mais il ne comporte pas de catégories d'incidents, de guides d'intervention ni de procédures d'escalade AI. |
Les agents du service client utilisent ChatGPT d’autres outils d’IA grand public pour rédiger des réponses et résumer les réclamations, y compris les noms complets des clients, leurs coordonnées, leurs numéros de compte et le contenu des communications. Aucun contrôle n’est mis en place en matière d’inspection des données, de masquage des informations sensibles ou de gouvernance. Cela constitue une violation flagrante du RGPD et un non-respect de la loi européenne sur l’IA.
Il n'existe aucun registre des AI au sein de l'organisation. Si une autorité de régulation l'exigeait ou en cas d'enquête sur une violation de données, NordTel ne serait pas en mesure de démontrer quelles données ont été traitées par quel AI , à quel moment ni par qui. Il s'agit là d'une violation directe des exigences en matière de tenue de registres prévues à l'article 12 AI européenne AI , ainsi que des obligations relatives aux registres de traitement prévues à l'article 30 du RGPD.
L'évaluation a permis d'identifier 23 AI distincts actuellement utilisés au sein de 8 unités opérationnelles — aucun d'entre eux n'ayant été approuvé, évalué ou enregistré. Parmi ces outils figurent des modèles de langage grand public (LLM), des assistants de génération de code, des services de synthèse de documents et des modules complémentaires de productivité AI. AI « fantôme » AI est généralisée à l'échelle de l'organisation, sans visibilité, contrôle ni gouvernance centralisés.
Les membres de l'équipe d'ingénierie réseau utilisent des assistants de codage basés sur l'IA (GitHub Copilot, ChatGPT) pour faciliter la création de scripts d'automatisation du réseau. Une évaluation a confirmé que les détails de la topologie du réseau, les paramètres de configuration et les schémas d'adressage IP sont inclus dans les invites. Cela engendre à la fois un risk pour la sécurité risk un risque potentiel de non-conformité en matière d'interception légale.
Le processus actuel de gestion des incidents de NordTel ne prévoit pas de catégories d'incidents ni de procédures d'intervention AI. En cas de violation de données AI, de manipulation de modèles ou de défaillance en matière de gouvernance, l'organisation ne dispose d'aucune procédure d'intervention définie, d'aucune procédure d'escalade, ni de dispositif permettant de respecter le délai de notification de 72 heures prévu par le RGPD.
Deux cas d'utilisation de l'IA identifiés dans l'évaluation sont susceptibles d'être classés commerisk l'annexe III de la loi européenne sur l'IA : la notation de crédit assistée par l'IA pour les décisions relatives aux contrats de téléphonie mobile avec abonnement, et la gestion de réseau assistée par l'IA pour les infrastructures critiques. Aucun de ces deux cas n'a fait l'objet de l'évaluation de conformité ni du cadre de contrôle humain requis par la loi européenne sur l'IA.
L'évaluation a permis de comparer Gouvernance IA actuels de NordTel en matière de Gouvernance IA à quatre cadres réglementaires applicables. Les écarts identifiés correspondent à des exigences qui ne sont pas satisfaites à l'heure actuelle et qui exposent l'entreprise à des risques réglementaires.
L'évaluation recommande un programme de mise en conformité structuré en trois phases, aligné sur les échéances réglementaires et risk opérationnels. La phase 1 porte sur les risques critiques immédiats. La phase 2 consiste à mettre en place l'architecture de gouvernance. La phase 3 vise à rendre opérationnelle la mise en œuvre en temps réel.
Il s'agit d'un exemple d'évaluation fourni à titre illustratif. Une véritable OASAT est adaptée à votre organisation — votre secteur d'activité, votre AI , vos obligations réglementaires — et définit la gouvernance Aegis met Aegis en œuvre en production. Prix fixe. Livraison en quelques semaines.