Note de cadrage

Éthique et souveraineté numérique

Document interne - Démarche qualité Qualiopi

Dernière mise à jour : avril 2026 / v1.0

Organisme	Tangram - Formation professionnelle et conseil en intelligence artificielle
Responsable	Colin CLEMENT
Fonction	Formateur et responsable de Tangram
Contact	colin@tangram.contact - 07.68.46.22.86
Adresse	60 bis rue de Parisse, 85100 Les Sables-d'Olonne

 

1. Objet et perimetre

La présente note définit le cadre éthique et les principes de souveraineté numérique que Tangram applique dans l'ensemble de ses activités de formation professionnelle et de conseil en intelligence artificielle.

Elle répond à un double objectif :

• Formaliser les engagements de Tangram en matière d'éthique, de protection des données et de souveraineté numérique.

• Garantir la cohérence entre les pratiques internes, les prestations délivrées et les valeurs affichées auprès des clients, partenaires et financeurs.

Ce document est un document interne à la démarche qualité Qualiopi. Il peut être communiqué sur demande aux clients, commanditaires ou financeurs.

Documents lies

• Politique de confidentialité (tangram-ia.fr/politique)

• Conditions générales de vente (tangram-ia.fr/cgv)

• Règlement intérieur (article 5 - Usage des outils d'IA)

• Livret d'accueil (section Usage responsable des outils d'IA)

• Référentiel technique et opérationnel

• Registre de stockage et de sécurité

2. Cadre réglementaire

2.1. Règlement général sur la protection des données (RGPD)

Tangram applique les principes du Règlement européen 2016/679 (RGPD) à l'ensemble de ses traitements de données personnelles : licéité, loyauté, transparence, minimisation, limitation des finalités, exactitude, limitation de la conservation, intégrité et confidentialité.

Les bases légales mobilisées sont détaillées dans la politique de confidentialité : exécution du contrat, obligation légale, et intéret légitime pour la sécurité de l'infrastructure.

2.2. Règlement européen sur l'intelligence artificielle (IA Act)

Le Règlement européen 2024/1689 relatif à l'intelligence artificielle (IA Act), entre en application progressive depuis aout 2024, établit un cadre gradue selon le niveau de risque des systèmes d'IA.

Position de Tangram : les activités de Tangram (formation professionnelle, conseil, accompagnement) n'impliquent pas le déploiement de systèmes d'IA a haut risque au sens de l'annexe III du rêglement. Les outils d'IA utilises en formation (assistants génératifs, instances locales) relèvent de la catégorie a risque limite, soumise a des obligations de transparence.

Tangram s'engage à :

• Informer clairement les participants lorsqu'ils interagissent avec un système d'IA pendant une formation.

• Ne pas déployer de systèmes d'IA pour la notation, l'évaluation comportementale ou la catégorisation biométrique des apprenants.

• Assurer une veille active sur l'évolution du rêglement et adapter ses pratiques en consequence.

2.3. Droit de la formation professionnelle

Les prestations de Tangram s'inscrivent dans le cadre du Code du travail (sixième partie) et du référentiel national qualité Qualiopi. La présente note contribue directement aux exigences des indicateurs 1 (information du public), 9 (conditions de déroulement), 17 (moyens techniques) et 32 (amélioration continue).

3. Principes éthiques de Tangram

Tangram fonde son activité sur cinq principes éthiques fondamentaux, qui guident l'ensemble de ses choix techniques, pédagogiques et commerciaux.

3.1. Transparence

Tangram informe systématiquement ses clients, apprenants et partenaires sur les outils d'IA utilises, leurs capacités et leurs limites. Aucun usage d'IA n'est dissimule : lorsque l'IA intervient dans la préparation de contenus, la conduite d'exercices ou le conseil, cela est explicitement mentionné.

3.2. Vérification humaine systematique

Toute production issue d'un outil d'IA générative est soumise à une vérification humaine avant usage professionnel. Les réponses générées par une IA peuvent être inexactes, biaisées ou incohérentes. Le formateur reste le garant de la qualité, de la pertinence et de l'exactitude des contenus délivrés.

3.3. Non-substitution

L'IA est un outil d'assistance, pas un substitut. Le formateur conserve la maîtrise intégrale de la conception pédagogique, de l'animation et de l'évaluation. L'IA ne prend aucune décision autonome concernant les apprenants (notation, orientation, évaluation comportementale).

3.4. Minimisation des données

Tangram applique le principe de minimisation à tous les niveaux : les données collectées sont limitées au strict nécessaire, les données sensibles (notamment PSH) font l'objet d'une protection renforcée, et aucune donnée personnelle ou confidentielle n'est saisie dans un outil d'IA non maîtrise.

3.5. Sobriété numérique

Tangram privilégie des solutions dimensionnées à ses besoins réels. Le choix des modèles d'IA se fait en fonction de la tache a accomplir, en favorisant les modèles légers lorsque cela suffit. L'infrastructure est calibrée pour éviter le surdimensionnement. Cette approche vise a limiter l'empreinte énergétique de l'activité sans compromettre la qualité des prestations.

4. Souveraineté numérique

La souveraineté numérique est un engagement structurant de Tangram. Elle se traduit par des choix concrets en matière d'hébergement, d'outillage et de maîtrise des modèles d'IA.

4.1. Hébergement et localisation des données

• Toute l'infrastructure de Tangram est hébergée sur un serveur VPS OVH localise en France.

• Les sauvegardes sont chiffrées et stockées sur un espace distant (pCloud, montage rclone/FUSE), avec une fréquence quotidienne et une rétention d'un mois.

• Aucun transfert de données hors Union européenne n'est effectue. Si un outil futur devait l'impliquer, les garanties appropriées seraient mises en place conformément au RGPD.

4.2. Priorité aux solutions open source et auto-hébergées

Tangram privilégie systématiquement les outils open source et auto-hébergés pour conserver la maîtrise de ses données et de ses processus. L'écosystème actuel repose sur les briques suivantes :

Outil	Usage	Statut
Nextcloud	Stockage, archivage, documentation interne	Auto-hébergé (VPS OVH FR)
Ollama + OpenWebUI	IA locale (modèles executes sur le serveur)	Auto-hébergé (VPS OVH FR)
n8n	Orchestration, automatisations	Auto-hébergé (VPS OVH FR)
NocoDB	CRM, suivi des demandes	Auto-hébergé (VPS OVH FR)
Formbricks	Formulaires (recueil besoins, satisfaction)	Auto-hébergé (VPS OVH FR)
Docuseal	Signature électronique	Auto-hébergé (VPS OVH FR)
MiroTalk SFU	Visioconference	Auto-hébergé (VPS OVH FR)
SnappyMail	Webmail	Auto-hébergé (VPS OVH FR)
Grav	Site web officiel	Auto-hébergé (VPS OVH FR)

 

L'ensemble est administré via Cloudron (reverse proxy, SSL, sauvegardes) sur Ubuntu 24.04 LTS. Le détail complet figure dans le Référentiel technique et opérationnel.

4.3. Maitrise des modèles d'IA

Tangram déploie des modèles d'IA en local via Ollama, accessibles depuis l'interface OpenWebUI. Cette approche permet de :

• Garantir que les données saisies lors des travaux pratiques en formation ne quittent pas l'infrastructure de Tangram.

• Choisir des modèles dimensionnés à la tache (modèles légers pour la démonstration, modèles plus complets pour le conseil).

• Éviter toute dépendance à un fournisseur unique de service d'IA cloud.

 

Lorsque des outils d'IA externes (API commerciales) sont utilises ponctuellement pour des besoins spécifiques, Tangram s'assure qu'aucune donnée personnelle ou confidentielle n'y est transmise.

5. Usage de l'IA dans l'activité de Tangram

5.1. En formation

Certaines formations incluent des travaux pratiques sur des outils d'IA générative. Dans ce cadre, Tangram met en place les garde-fous suivants :

• Environnements sécurisés : les exercices se déroulent sur des instances auto-hébergées (Ollama/OpenWebUI) ou sur des comptes dédiés configures par le formateur.

• Règles pour les apprenants : interdiction de saisir des données personnelles, confidentielles ou sensibles dans les outils d'IA. Les consignes sont détaillées dans le règlement intérieur (article 5) et le livret d'accueil.

• Vérification des résultats : les apprenants sont informés que les réponses générées peuvent être inexactes, biaisées ou incohérentes. Toute production doit être vérifiée avant usage professionnel.

• Information claire : les participants sont informés de la nature des outils utilisés et de leurs limites des le début de la formation.

5.2. En interne (activité de Tangram)

Tangram utilise des outils d'IA pour certaines taches internes, dans le respect des principes énoncés dans cette note :

• Préparation de contenus pédagogiques : l'IA peut être utilisée comme aide à la rédaction, a la structuration ou a la recherche. Le formateur reste l'auteur et le garant de tout contenu délivré.

• Administration et organisation : automatisations via n8n (envois de mails, calcul de hash, notifications), assistance à la rédaction de documents qualité.

• Conseil et accompagnement : l'IA peut être mobilisée en appui à l'analyse ou a la veille, mais les recommandations adressées aux clients sont formulées et validées par le responsable de Tangram.

Limites : l'IA n'est jamais utilisée pour évaluer, noter ou catégoriser les apprenants. Elle ne se substitue ni au jugement humain, ni a l'expertise du formateur.

5.3. Données interdites dans les outils d'IA

Que ce soit en formation ou en interne, les catégories de données suivantes ne doivent jamais être saisies dans un outil d'IA générative non maîtrise :

Ne jamais saisir	Autorise
Données personnelles (noms, téléphones, adresses)	Exemples fictifs ou anonymisés
Données confidentielles d'entreprise	Demandes génériques sans données reelles
Mots de passe ou clés d'accès	Contenus publics ou non sensibles
Données sensibles au sens du RGPD (santé, opinions)	Exercices fournis par le formateur

 

6. Règles opérationnelles

6.1. Sécurité de l'infrastructure

Les mesures de sécurité mises en œuvre sont détaillées dans le Référentiel technique et opérationnel. Les principaux dispositifs sont :

• Accès SSH sur port non standard (202), port 22 désactivé.

• Fail2ban actif sur le service SSH.

• Protocoles email sécurisés : SPF, DKIM et DMARC en mode strict.

• Communications chiffrées via HTTPS sur l'ensemble des services.

• Sauvegardes quotidiennes chiffrées, rétention d'un mois.

6.2. Intégrité des documents

L'ensemble des preuves de formation (conventions signées, feuilles d'émargement, évaluations, attestations, questionnaires de satisfaction) est archivé dans Nextcloud. Un hash SHA-256 est calculé automatiquement via n8n pour chaque document archivé, garantissant l'intégrité et la non-altération des preuves.

6.3. Durées de conservation

• Pièces comptables (factures, justificatifs) : 10 ans.

• Dossiers de formation (conventions, émargements, évaluations) : 5 ans.

• Données de satisfaction : 2 ans.

• Données prospects sans suite : 3 ans après le dernier contact.

• Journaux techniques de sécurité : durée proportionnée et limitée.

6.4. Gestion des données sensibles (PSH)

Les informations relatives à une situation de handicap sont traitées comme des données sensibles au sens du RGPD. La collecte est limitée au strict nécessaire pour la mise en place des aménagements. L'accès est restreint au référent handicap. Les dossiers sont stockés dans un espace dedié et sécurisé dans Nextcloud. Le détail du processus figure dans la Fiche de mission du référent handicap et dans le Plan Individuel de Compensation.

7. Engagements vis-a-vis des clients

Tangram prend les engagements suivants auprès de ses clients, commanditaires et financeurs :

• Transparence : information claire sur les outils utilises, les modalités de traitement des données et les limites de l'IA.

• Confidentialité : les informations et documents échangés dans le cadre d'une prestation sont couverts par une obligation de confidentialité de 12 mois après la fin de la prestation (cf. CGV, article 9).

• Non-cession des données : Tangram ne vend, ne loue et ne transmet aucune donnée personnelle à des tiers à des fins de prospection commerciale.

• Droit des personnes : toute personne concernée dispose d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition, exerçable auprès de colin@tangram.contact.

• Hébergement souverain : les données sont stockées en France, sur une infrastructure auto-hébergée, avec sauvegarde chiffrée quotidienne.

8. Gouvernance et mise à jour

8.1. Revue et mise à jour

Cette note fait l'objet d'une revue annuelle, ou à chaque évolution significative de la réglementation, de l'infrastructure ou des pratiques de Tangram. Toute modification est tracée (date de mise à jour en en-tête du document).

8.2. Veille réglementaire

Tangram assure une veille active sur l'évolution de la réglementation applicable, notamment :

• RGPD et recommandations de la CNIL.

• IA Act europeen et ses textes d'application.

• Référentiel national qualité Qualiopi.

• Bonnes pratiques en matière de souveraineté numérique et de sécurité des SI.

8.3. Lien avec le plan d'action qualité

Les engagements de la présente note sont intégrés au Plan d'action qualité de Tangram. Les actions d'amélioration identifiées (retours clients, évolution réglementaire, incidents) y sont tracées et suivies.

Ce document est tenu à jour par le responsable de Tangram. Pour toute question, contacter colin@tangram.contact.