What AI tools need to go through a formal approval process?

Any AI tool that will be used for work purposes should go through some level of approval. At a minimum, any tool that will process company data, even non-sensitive internal data, should be approved by IT Security. Tools that will process personal data, customer data, financial data, or regulated information require full committee-level review. Tools used only with publicly available, non-company data (e.g. a public AI search tool used for general research) may be handled via a lighter-touch delegated approval process.

What is a data processing agreement (DPA) and why is it required for AI tools?

A data processing agreement (DPA) is a contractual arrangement between your organisation (as data controller) and an AI vendor (as data processor) that governs how the vendor processes personal data on your behalf. Under GDPR Article 28, a DPA is legally required whenever a third party processes personal data for you. For AI tools, the DPA should specifically address: whether the vendor uses your input data to train their models; how long they retain your data; what happens to your data if you terminate the contract; and whether your data is used for purposes other than providing the contracted service.

How long should the AI tool approval process take?

Standard AI tool approval requests should be processed within 10 business days of a complete submission. Requests requiring CISO approval (for restricted or personal data) typically take 15 business days. Complex requests requiring full vendor due diligence, legal review, or a data processing agreement negotiation may take 30 business days or more. Communicating clear timelines to requestors and providing a request tracking mechanism reduces shadow AI adoption, employees adopt unapproved tools when they don't know when or if their request will be processed.

What happens if an employee uses an AI tool that hasn't been approved?

Using unapproved AI tools for work purposes (shadow AI) is a policy violation that should be addressed through your disciplinary process. The severity depends on what data was entered into the unapproved tool: if only non-sensitive internal data was involved, a formal warning and re-training is typically appropriate; if personal, confidential, or restricted data was entered, the incident should be treated as a potential data breach and investigated under your data breach response procedure, which may require regulatory notification under GDPR Article 33.

Profitez de 30 jours d'essai gratuit pour cartographier vos risques d'IA générative :30 jours d'essai gratuit, risques IA générative :Commencer

Demander une démo

Modèle gratuit

Formulaire de demande
d'approbation d'outil d'IA

Un formulaire structuré permettant aux collaborateurs de demander de nouveaux outils d'IA. Couvre la justification métier, la classification des données, l'évaluation de sécurité et un circuit d'approbation à plusieurs niveaux.

Télécharger le modèle Demander une démo

0 sections

couverture complète de la demande

0 niveaux

circuit d'approbation par niveau de risque

0 jours

délai d'approbation cible (SLA)

Gratuit

d'utilisation et de personnalisation

Pourquoi un processus formel d'approbation des outils d'IA est essentiel

Le Shadow AI est la source de risque de données en entreprise qui croît le plus vite. Les collaborateurs adoptent des outils d'IA sans revue de l'informatique, saisissent des données confidentielles et personnelles dans des services non approuvés et créent une exposition réglementaire invisible. Un processus d'approbation structuré est le premier contrôle d'un programme sérieux de gouvernance de l'IA.

65 %

des outils d'IA en entreprise ne sont pas approuvés

La majeure partie de l'adoption des outils d'IA se fait hors de la visibilité de l'informatique, exposant les organisations à la perte de données, au vol de propriété intellectuelle et à la responsabilité réglementaire.

RGPD

Exige un DPA avant de traiter des données personnelles

Des collaborateurs qui envoient des données de clients ou de collaborateurs à des outils d'IA sans DPA au titre de l'article 28 du RGPD créent une violation réglementaire, qu'une fuite survienne ou non.

ISO 27001

A.5.8 exige la gestion des risques fournisseurs

Les outils d'IA sont des fournisseurs de logiciels. L'annexe A.5.8 de l'ISO 27001 exige des organisations qu'elles gèrent le risque de sécurité de l'information dans les relations avec les fournisseurs.

→ Modèle

Entraîné sur vos données propriétaires

Sans clause de non-entraînement dans le contrat fournisseur, les modèles d'IA peuvent être entraînés sur vos données confidentielles, les rendant de fait irrécupérables.

Le formulaire de demande

Cliquez sur chaque section pour la développer. Personnalisez les seuils et les niveaux d'approbation pour votre organisation.

Coordonnées du demandeur

Nom complet

________________________________

Intitulé de poste

________________________________

Service / équipe

________________________________

Adresse e-mail

________________________________

Responsable hiérarchique direct

________________________________

Date de la demande

________________________________

Informations sur l'outil

Nom de l'outil / du produit

________________________________

Éditeur / fournisseur

________________________________

Site web / URL de l'outil

________________________________

Modèle tarifaire et coût annuel estimé

________________________________

Type de déploiement demandé

Cloud SaaS / sur site / API / extension de navigateur

Nombre d'utilisateurs demandant l'accès

________________________________

Justification métier

Décrivez le cas d'usage métier précis de cet outil d'IA

Pour quelle tâche ou quel flux de travail cet outil sera-t-il utilisé ? Quel problème résout-il ?

Quel bénéfice métier mesurable attendez-vous ?

Temps gagné, réduction des coûts, amélioration de la qualité, réduction des risques ; fournissez des estimations dans la mesure du possible.

Existe-t-il déjà une alternative approuvée dans le registre des outils d'IA de l'organisation ?

Si oui, expliquez pourquoi l'outil approuvé existant ne répond pas à vos besoins.

Télécharger le formulaire complet

Comment fonctionne le processus d'approbation des outils d'IA

Suivez ces cinq étapes pour traiter les demandes d'approbation d'outils d'IA de manière cohérente et conserver une trace auditable de chaque décision d'approbation.

Le collaborateur complète et soumet le formulaire de demande

Le demandeur remplit les quatre sections de fond : justification métier, classification des données, questions de sécurité et exigences d'intégration. Les formulaires incomplets sont renvoyés. La sécurité informatique fixe un SLA cible de 10 jours ouvrés à compter de la réception d'une demande complète.

Le responsable hiérarchique examine et approuve le bien-fondé métier

Le responsable confirme que l'outil est nécessaire à une finalité métier légitime, qu'aucune alternative approuvée n'existe et que les réponses du collaborateur sur la classification des données semblent exactes. L'approbation du responsable conditionne l'entrée dans la file de la sécurité informatique.

La sécurité informatique évalue le risque lié aux données et la sécurité du fournisseur

La sécurité informatique vérifie la classification des données, contrôle les certifications de sécurité du fournisseur, examine les capacités de journalisation d'audit et détermine si l'outil nécessite un DPA. Elle peut envoyer au fournisseur un questionnaire de sécurité complémentaire pour les nouveaux fournisseurs.

Le RSSI et/ou le DPO examinent les demandes à risque élevé

Les demandes impliquant des données personnelles, des informations restreintes ou des déploiements d'IA orientés client sont escaladées vers le RSSI et le DPO. Le DPO détermine si une DPIA est requise. Le RSSI peut imposer des conditions (par ex. DPA obligatoire, configuration RBAC) avant d'approuver.

Provisionner l'accès et mettre à jour le registre des outils approuvés

Une fois toutes les approbations requises obtenues, l'informatique provisionne l'accès selon la liste d'utilisateurs approuvée, configure le SSO et la journalisation d'audit, ajoute l'outil au registre des outils d'IA et informe le demandeur. L'enregistrement de l'approbation est conservé à des fins d'audit.

FAQ

Questions fréquentes

Tout outil d'IA destiné à un usage professionnel doit faire l'objet d'un certain niveau d'approbation. Au minimum, tout outil qui traitera des données de l'entreprise, même des données internes non sensibles, doit être approuvé par la sécurité informatique. Les outils qui traiteront des données personnelles, des données clients, des données financières ou des informations réglementées nécessitent une revue complète au niveau du comité. Les outils utilisés uniquement avec des données accessibles au public et non liées à l'entreprise peuvent être traités via un processus d'approbation délégué plus léger.

Pour commencer

Rationalisez la gouvernance des outils d'IA avec Aona

Aona remplace les formulaires papier d'approbation des outils d'IA par des flux de travail automatisés. Suivez chaque demande, appliquez le routage des approbations, détectez le Shadow AI en temps réel et conservez une piste d'audit complète de chaque outil approuvé ou rejeté, le tout sur une seule plateforme.

Demander une démo

Ressources associées

Plateforme Aona AI Cadre de gouvernance de l'IA Tous les modèles

Formulaire de demanded'approbation d'outil d'IA

Rationalisez la gouvernance des outils d'IA avec Aona

Formulaire de demande
d'approbation d'outil d'IA