La Ceteris-Paribus Pro® Console est une plateforme de questions-réponses documentaires à architecture fermée, conçue pour les équipes de conformité, juridiques et d'architecture. Elle ingère des documents locaux dans un entrepôt vectoriel (Tumart Vector v3.5) et génère des réponses sourcées en citant exactement les extraits utilisés.
Flux de données
Traitement local
Toutes les données documentaires restent dans l'environnement d'hébergement configuré par l'opérateur. Le moteur de génération utilise une API OpenAI-compatible externe uniquement pour les appels LLM — aucun contenu de document n'est envoyé au fournisseur LLM sans chunking préalable et sans clé opérateur.
Fiche Système (System Card)
La déclaration complète de l'architecture du système, des catégories de données traitées, des services externes appelés et des références réglementaires est disponible dans la
Fiche Système →
Composants clés
VECTORISATION
Tumart Vector v3.5
Entrepôt pgvector PostgreSQL. Stocke les embeddings (cosinus-KNN). Données hébergées localement.
INGESTION
Sovereign Ingestion GW
Pipeline de découpage, d'embedding et d'upsert vers pgvector. Prend en charge PDF, DOCX, Markdown, JSON.
GÉNÉRATION
Ceteris-Paribus Pro®
Moteur RAG fournisseur-agnostique via API OpenAI-compatible. Flux NDJSON avec citations obligatoires.
SURVEILLANCE
Surveillance Nodes
Scraping périodique de portails gouvernementaux. Détection de changement par empreinte DOM. Extraction d'appels d'offres structurés.
02 / Flux de données
Flux de données réglementaire
Cette annexe documente les trois flux de données sortants de l'infrastructure opérateur : l'appel d'embedding (①), l'appel au LLM de génération (②) et la récupération de page web (③). Pour chaque flux, la nature des données transmises, leur base légale au titre de la Loi 09-08 et les mesures de minimisation appliquées sont formellement déclarées.
Schéma du périmètre système
Tableau de déclaration des flux
#
Appel
Déclencheur
Données envoyées
Loi 09-08
Base légale
Minimisation
Données reçues
Rétention prestataire
①
Appel Embedding
EMBEDDING_BASE_URL
Ingestion d'un document via le Sovereign Ingestion Gateway ou soumission d'une requête utilisateur
Fragments de texte (chunks de 1 000 car., chevauchement 200) — jamais le document complet
Art. 1 — Données de traitement
Art. 7-4° — Intérêt légitime
Seuls les fragments. Aucune métadonnée. Fournisseur configurable (on-premise possible).
Vecteurs d'embedding (tableaux de flottants)
Inconnue — à préciser dans le DPA
②
Appel LLM génération
AI_PROVIDER_BASE_URL
Requête utilisateur soumise à l'interface CP Pro® Console
Requête + 4 chunks (cosinus Tumart) + prompt système — jamais le corpus entier
Art. 1 — Données de traitement
Art. 7-4° — Intérêt légitime
4 chunks uniquement. Prompt contraint. Aucune persistance des échanges.
Texte généré (flux de tokens)
Inconnue — à préciser dans le DPA
③
Récupération URL
URL Fetch · trafilatura
Saisie manuelle d'une URL par l'opérateur — déclenchement sur action explicite uniquement
Requête HTTP GET sans payload — aucune donnée du corpus transmise
Aucune donnée personnelle
Art. 7-4° — Intérêt légitime
Timeout 15s · cap 2 Mo · HTTP/HTTPS · Content-Type vérifié.
La plateforme est évaluée au regard des instruments législatifs et réglementaires marocains en vigueur, ainsi que des projets de textes en cours d'adoption. Les textes ci-dessous constituent le référentiel normatif de cette évaluation de conformité.
LOI PRINCIPALE
Loi 09-08
Loi relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Régit la licéité du traitement, les droits des personnes concernées, et les obligations déclaratives auprès de la CNDP.
AUTORITÉ
CNDP
Commission Nationale de contrôle de la protection des Données à caractère Personnel. Autorité de contrôle indépendante. Obligation de notification préalable pour tout traitement nouveau ou modifié.
PROJET DE LOI
Dahir IA (projet)
Projet de loi sur l'intelligence artificielle en cours d'examen par le Parlement marocain (2025). S'inspire du règlement européen sur l'IA. Impose des obligations de transparence, d'explicabilité et d'audit pour les systèmes IA à haut risque.
SECTEUR FINANCIER
CFC / AMMC
Casablanca Finance City et l'Autorité Marocaine du Marché des Capitaux publient des recommandations relatives à l'utilisation de l'IA dans les services financiers, incluant la traçabilité des décisions algorithmiques.
DONNÉES PUBLIQUES
Loi 31-13
Loi relative au droit d'accès à l'information. Encadre l'accès aux documents administratifs. Pertinente lorsque le corpus intègre des données provenant de portails gouvernementaux via les Surveillance Nodes.
CYBERSÉCURITÉ
DGSSI
Direction Générale de la Sécurité des Systèmes d'Information. Publie des référentiels de sécurité (RGS-MA). Les opérateurs traitant des informations sensibles doivent se conformer aux exigences de qualification des prestataires de services de confiance.
⚠ Statut réglementaire
Le Dahir IA est en cours d'adoption législative au moment de la rédaction de ce manuel (mai 2026). Les obligations spécifiques aux systèmes IA peuvent évoluer. L'opérateur est responsable de maintenir ce document à jour dès l'entrée en vigueur du texte définitif.
04 / Souveraineté
Souveraineté et résidence des données
La souveraineté des données est une exigence centrale pour les opérateurs publics et para-publics marocains. Le présent système est conçu pour un déploiement sur infrastructure opérateur — les données ne transitent pas hors du périmètre contrôlé sauf pour les appels LLM configurés par l'opérateur.
Cartographie des flux transfrontaliers
✓ Stockage local
Corpus documentaire (PostgreSQL + pgvector)
Embeddings vectoriels (toutes dimensions)
Notices d'appels d'offres structurées
Journaux d'ingestion et métadonnées
Configuration de l'opérateur (settings.local.json)
⚠ Flux externes
Fragments de texte (chunks) → fournisseur LLM (configurable)
URLs de scraping → Surveillance Nodes (public internet)
Mesures de contrôle de la résidence des données
→
Fournisseur LLM souverain
Configurer AI_PROVIDER_BASE_URL vers un fournisseur certifié hébergé sur le territoire national ou dans un pays adéquat selon la CNDP.
→
Fournisseur d'embedding souverain
Configurer EMBEDDING_BASE_URL et EMBEDDING_API_KEY vers le même fournisseur souverain ou un endpoint privé on-premise.
→
Hébergement de la base de données
Déployer PostgreSQL + pgvector sur infrastructure nationale (data center certifié ISO 27001 localisé au Maroc).
→
Pseudonymisation avant ingestion
Pour les documents contenant des données personnelles, appliquer une pseudonymisation avant l'ingestion dans le Sovereign Ingestion Gateway.
05 / Transparence
Obligations de transparence de l'IA
Le projet de Dahir IA marocain et la pratique CNDP imposent des obligations de transparence et d'explicabilité pour les systèmes qui assistent des décisions à impact significatif. Ce système est conçu pour satisfaire ces obligations nativement.
Mécanismes de traçabilité natifs
CITATION OBLIGATOIRE
Sources citées par le modèle
Le modèle est contraint par le prompt système à citer le(s) nom(s) de fichier(s) source(s) pour chaque affirmation.
CONTEXTE VISIBLE
Panneau sources
Le panneau droit affiche les extraits vectoriels Tumart exacts utilisés pour générer la réponse, avec score de distance cosinus ou de rerankage.
REFUS EXPLICITE
Aveu d'ignorance
Si le corpus ne contient pas l'information demandée, le modèle répond : « Je ne peux pas répondre à partir des documents fournis. »
AUDIT VECTORIEL
API de statut corpus
L'endpoint GET /api/status retourne le nombre de chunks, l'horodatage d'ingestion, et l'URL source pour chaque document.
Information des utilisateurs finaux
Conformément à l'article 14 de la Loi 09-08 et aux exigences de transparence du projet Dahir IA, les utilisateurs finaux de la plateforme doivent être informés que leurs requêtes sont traitées par un système d'intelligence artificielle.
📋 Mention recommandée
« Cet outil utilise un système d'intelligence artificielle pour analyser des documents et générer des réponses. Les résultats sont indicatifs et doivent être vérifiés par un professionnel qualifié avant toute décision. »
06 / Audit
Procédure d'audit — 10 étapes
Cette liste de contrôle constitue la procédure d'audit standardisée pour évaluer la conformité d'une instance Ceteris-Paribus Pro® Console au cadre réglementaire marocain.
Mode impression
Cliquez sur « ↓ Checklist PDF » dans l'en-tête pour imprimer uniquement cette liste de contrôle au format A4.
Auditeur : ________________________ Date : ____________ Signature : ________________________
07 / Incidents
Plan de réponse aux incidents
En cas de violation de données personnelles au sens de la Loi 09-08, l'opérateur dispose d'un délai de 72 heures pour notifier la CNDP. Les étapes suivantes constituent le plan minimal de réponse.
→
Détection & confinement (H+0 à H+4)
Identifier la nature et le périmètre de l'incident. Isoler les composants compromis. Conserver les preuves.
→
Évaluation & classification (H+4 à H+12)
Évaluer le risque pour les personnes concernées. Classifier l'incident (mineur / significatif / critique).
→
Notification CNDP (avant H+72)
Soumettre la notification à la CNDP via le formulaire officiel dans les 72 heures.
→
Remédiation & reprise (H+72 à H+168)
Appliquer les correctifs. Réinitialiser les accès compromis. Audit post-incident.
→
Rapport post-incident (J+30)
Rédiger un rapport complet documentant causes, impact et mesures correctives. Conserver 5 ans minimum.