7 questions DSIavant de signer.
Validix·AI Demander un audit →
Pour DSI · 12 min · décisionnel

7 questions DSI
avant de signer.

Avant de signer un projet IA générative, un DSI doit pouvoir répondre clairement à 7 questions. Si l'une d'elles n'est pas tranchée, le projet est à risque. Liste exhaustive avec les bons réflexes Validix.

Auditer mon projet IA
01  /  Questions 1-2

Souveraineté et TCO.

Q1

Mes données peuvent-elles sortir ?

Si non (banque privée, secret pro, OIV) : éliminer les solutions cloud propriétaires US. Si oui (productivité périphérique sans data sensible) : ChatGPT Enterprise ou Copilot envisageables. Critère qui filtre 50 % des décisions.

Q2

Quel est le TCO sur 3 ans ?

Pas seulement le tarif affiché. Inclut : licences, hardware, hébergement, énergie, formation, gouvernance, audits. Comparer cloud propriétaire vs cloud souverain vs on-prem sur le même périmètre. Voir détail TCO.

02  /  Questions 3-4

Intégration et équipe.

Q3

Comment ça s'intègre à mon SI ?

M365, Salesforce, ERP, GitLab : la solution les supporte-t-elle nativement (MCP, connecteurs prêts) ou faut-il développer ? Coût d'intégration souvent sous-estimé : 30-100 K€/intégration custom.

Q4

Mon équipe peut-elle opérer ?

MLOps, prompt engineering, monitoring : qui gère ? Si pas d'équipe interne, prévoir le coût du prestataire en run (budget audit raisonnable/an pour un cas simple, 80-200 K€/an pour un agent critique). Validix le chiffre dans l'audit.

03  /  Questions 5-6

Conformité et ROI.

Q5

Conformité RGPD/NIS2/AI Act ?

AIPD prête ? DPA signé avec sous-traitants ? NIS2 art. 21 mappé ? AI Act risque classifié ? Sans ces 4 points, votre direction juridique bloquera. Voir guide RGPD.

Q6

Comment je mesure le ROI ?

KPIs business clairs avant le démarrage (temps économisé, taux de conversion, qualité de service). Mesurés en continu. Si vous ne pouvez pas mesurer le ROI, le projet est à risque.

04  /  Question 7

Réversibilité.

Q7

Que se passe-t-il si le prestataire disparaît ou si je veux changer ?

Avez-vous accès au code, aux poids du modèle, aux configurations, aux données ? Délai de bascule en cas de rupture : 6 mois ou 6 jours ? Validix garantit contractuellement la réversibilité totale en moins de 30 jours. Beaucoup de prestataires non.

Bonus

Le test du contrat

Lisez attentivement les clauses de fin de contrat, de portabilité, et de propriété intellectuelle. Si "toute donnée traitée par le prestataire reste sa propriété" : alarme rouge.

05  /  FAQ
Combien de temps prend une décision IA bien faite ?
De l'idée à la signature : 3-6 mois pour une ETI. Inclut : exploration (1-2 mois), audit (1 mois), POC (1.5 mois), décision COMEX (2 sem), signature (1-2 mois). Sauter des étapes ne fait pas gagner de temps mais augmente le risque d'échec.
Quelle est l'erreur la plus fréquente des DSI sur l'IA ?
Choisir le fournisseur avant de cadrer le cas d'usage. "On va prendre ChatGPT Enterprise" puis chercher où l'utiliser. Inverse : cadrer 1-3 cas d'usage prioritaires, puis benchmarker les solutions sur ces cas. L'audit Validix part toujours du cas d'usage.
Faut-il un DPO dédié à l'IA ?
Pour ETI 500+ collaborateurs avec plusieurs agents IA en production : oui, idéalement. Sinon, missions IA ajoutées au DPO existant (~0,2-0,3 ETP).
Quel budget IA pour une ETI de 500 personnes ?
Première année (audit + POC + premier déploiement) : 80-200 K€ selon ambition. Récurrent annuel ensuite : budget important (licences, run, opérations). À comparer aux gains de productivité ou de qualité de service mesurés.
Pour aller plus loin Pillar Audit IA →Lancer un POC →Grille RSSI →Choisir un intégrateur →Pillar Alternatives →Pillar Conformité RGPD →Agents IA souverains (home) →