Comment l'IA réalise-t-elle un audit RGPD complet ?
L'audit suit les étapes recommandées par la CNIL : cartographie des traitements (finalités, données, durée de conservation, destinataires), identification de la base légale (consentement, contrat, intérêt légitime, etc.) pour chaque traitement, vérification des mentions d'information aux personnes concernées, évaluation des droits (accès, rectification, effacement, portabilité, opposition), revue des contrats de sous-traitance (article 28 RGPD), identification des transferts hors UE et de leur cadre juridique (CCT, BCR, etc.).
A/Lex génère-t-il les AIPD (analyses d'impact relatives à la protection des données) ?
Oui, conformément à l'article 35 du RGPD et aux lignes directrices CNIL. Le format suit la méthodologie PIA de la CNIL : description du traitement, évaluation de la nécessité et de la proportionnalité, identification des risques (accès illégitime, modification non désirée, disparition de données) et de leur niveau, mesures de sécurité prévues, plan d'action.
L'outil supporte-t-il la cartographie des risques de corruption (Sapin II) ?
Oui. La cartographie suit les recommandations de l'AFA : identification des scénarios de risque par processus (achats, ventes, ressources humaines, etc.), évaluation de la probabilité et de l'impact, hiérarchisation des risques bruts puis nets après contrôles, plan d'actions de remédiation. Le format est compatible avec un déploiement opérationnel auprès des opérationnels.
Comment fonctionne la rédaction d'une procédure interne lanceurs d'alerte ?
La procédure respecte la loi Waserman du 21 mars 2022 et le décret du 3 octobre 2022 : champ d'application des signalements, canaux de remontée internes et externes (Défenseur des droits), accusé de réception sous 7 jours, examen sous 3 mois, protection contre les représailles, confidentialité du lanceur et des personnes mises en cause, archivage. Adaptée à la taille de l'entreprise (obligation au-delà de 50 salariés).
A/Lex aide-t-il sur la conformité LCB-FT (KYC) des établissements financiers ?
Oui. Les obligations couvertes : identification et vérification de l'identité du client (KYC), connaissance de la nature de la relation d'affaires, profil de risque blanchiment, vigilance renforcée pour personnes politiquement exposées (PPE), déclarations de soupçon à TRACFIN (article L.561-15 CMF), gel des avoirs en application des sanctions internationales.
L'IA fait-elle aussi le suivi des évolutions réglementaires (NIS 2, IA Act, etc.) ?
Oui, indirectement via la veille jurisprudentielle quotidienne et l'intégration des dernières publications officielles. Pour les nouveaux corpus comme l'IA Act (règlement (UE) 2024/1689) ou la directive NIS 2, les exigences principales sont intégrées et signalées dans les audits de conformité comme nouveaux domaines à couvrir.