From ee306779fbf607db28c9a9b8e457b75518f68174 Mon Sep 17 00:00:00 2001 From: sebvtl Date: Fri, 5 Jun 2026 12:25:08 +0000 Subject: [PATCH] =?UTF-8?q?T=C3=A9l=C3=A9verser=20les=20fichiers=20vers=20?= =?UTF-8?q?"/"?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- entrainement_certification_C3.html | 2262 ++++++++++++++++++++++++++++ 1 file changed, 2262 insertions(+) create mode 100644 entrainement_certification_C3.html diff --git a/entrainement_certification_C3.html b/entrainement_certification_C3.html new file mode 100644 index 0000000..8250389 --- /dev/null +++ b/entrainement_certification_C3.html @@ -0,0 +1,2262 @@ + + + + + + + Entraînement certification C3 + + + + + + + + +
+ +

Exercice M3 - sécuriser l'usage de l'IA : RGPD, IA Act, shadow AI, 3 exercices progressifs avec corrigés détaillés

+ +
+
+
Sécuriser l'usage de l'IA en contexte professionnel
+
+
+
Durée
+
~35 min
+
+
+ + +
+
+ Nom + +
+
+ Prénom + +
+
+ +
+
+
Exercice 1
+
-/4
+
+
+
Exercice 2
+
-/4
+
+
+
Exercice 3
+
-/4
+
+
+
Exercice 4
+
-/5
+
+
+
Total
+
-/17
+
+
+ +
+ +

Important avant de commencer : C3 ne teste pas des connaissances juridiques. Il teste votre capacité à identifier un risque, à adopter le bon réflexe professionnel, et à reformuler les enjeux de façon accessible. Vous n'avez pas besoin de citer des articles de loi - vous devez savoir quand s'arrêter et qui solliciter.

+
+ + +
+
+
+
+
Exercice 1 · UF3 Ch.1 · 8 min
+
Identifier les risques RGPD dans des usages IA réels
+
+ 4 pts +
+
+
Pour chaque situation, choisissez l'évaluation correcte du risque RGPD. Une seule bonne réponse.
+ + +
+
+
1
Un commercial copie-colle un email client dans ChatGPT pour lui demander de rédiger une réponse. Le client n'a pas donné son accord pour que ses données soient traitées par OpenAI. +
+
+
+
+
Aucun risque : les emails professionnels ne sont pas des données personnelles au sens du RGPD
+
+
+
+
Risque réel : l'email contient des données personnelles (identité, coordonnées, contexte). Leur transfert vers un tiers (OpenAI, hors UE) sans base légale constitue une violation potentielle du RGPD
+
+
+
+
Risque acceptable : ChatGPT efface les données après traitement, donc il n'y a pas de violation
+
+
+
+
Risque uniquement si le commercial est dans une entreprise de plus de 250 salariés
+
+
+
+ + +
+
+
2
Une RH utilise Mistral (hébergé en France) pour analyser des CV anonymisés - noms, prénoms et coordonnées ont été retirés. Elle garde les compétences, l'expérience et la localisation géographique. +
+
+
+
+
Risque réduit mais non nul : la localisation géographique combinée à d'autres données peut permettre une réidentification. L'hébergement en France est un avantage mais ne suffit pas à garantir la conformité
+
+
+
+
Aucun risque : les données sont anonymisées, le RGPD ne s'applique plus
+
+
+
+
Risque élevé : toute analyse de CV par une IA est interdite, même anonymisée
+
+
+
+
Aucun risque : l'hébergement en France garantit la conformité RGPD automatique
+
+
+
+ + +
+
+
3
L'IA Act classe les systèmes d'IA par niveau de risque. Lequel de ces usages est classé "risque inacceptable" et donc interdit en Europe ? +
+
+
+
+
Un chatbot de service client qui répond aux demandes de remboursement
+
+
+
+
Un système IA qui aide un médecin à prioriser les dossiers urgents aux urgences
+
+
+
+
Un système de notation sociale des citoyens par les autorités publiques basé sur leur comportement
+
+
+
+
Un outil IA de recommandation de contenu sur une plateforme de streaming
+
+
+
+ + +
+
+
4
Un apprenant vous demande : "Mon entreprise risque quelque chose si on utilise ChatGPT avec des données clients ?" Quelle est la bonne réponse de formateur ? +
+
+
+
+
"Oui, vous risquez une amende RGPD pouvant aller jusqu'à 4% de votre chiffre d'affaires mondial"
+
+
+
+
"Non, ChatGPT est conforme RGPD depuis 2023 donc il n'y a pas de risque"
+
+
+
+
"Je peux vous expliquer les principes généraux du risque RGPD - mais pour votre situation précise, c'est votre DPO ou service juridique qui peut vous répondre. Ce n'est pas mon rôle de vous conseiller juridiquement."
+
+
+
+
"Ça dépend de la taille de votre entreprise - en dessous de 10 salariés, il n'y a pas d'obligation"
+
+
+
+ +
+ + +
+
+ + +
+
Corrigé - exercice 1
+
Q1 - B. Les emails professionnels contiennent quasi systématiquement des données personnelles. OpenAI (comme la plupart des grands modèles américains) peut utiliser ces données pour l'entraînement si l'option n'est pas désactivée, et le transfert hors UE nécessite une base légale. Le risque est réel et documenté - voir l'affaire Samsung/ChatGPT (2023).
+
Q2 - A. L'anonymisation réduit le risque mais ne l'élimine pas : la localisation géographique est une donnée qui peut permettre une réidentification croisée. L'hébergement en France est un avantage (pas de transfert hors UE) mais la conformité RGPD dépend aussi de la finalité du traitement et de sa documentation.
+
Q3 - C. La notation sociale par les autorités publiques figure explicitement dans l'IA Act comme usage à "risque inacceptable" et est interdite en Europe. Les autres usages sont classés "risque élevé" (médical) ou "risque limité" (chatbot, recommandation) - encadrés mais autorisés.
+
Q4 - C. C'est la réponse la plus importante de cet exercice. Un formateur n'est pas juriste. Même si vous connaissez les chiffres des amendes, les énoncer dans ce contexte revient à donner un conseil juridique. La formule "ce n'est pas mon rôle" protège l'apprenant ET le formateur.
+
+
+
+ + +
+
+
+
+
Exercice 2 · UF3 Ch.1 & Ch.2 · 12 min
+
Corriger un prompt non conforme RGPD
+
+ 4 pts +
+
+
+
Contexte - Chargée de clientèle dans une mutuelle santé
+
Lucie est chargée de clientèle. Elle reçoit des réclamations complexes et veut utiliser l'IA pour rédiger des réponses. Elle utilise ChatGPT (compte personnel, sans option de désactivation du réentraînement activée) et soumet ce prompt :
+
+ +
+
Prompt original de Lucie non conforme
+ "Tu es un expert en assurance santé. Voici la réclamation de mon client M. Jean Dupont, né le 12/03/1978, numéro d'adhérent 445892-B, domicilié 14 rue des Lilas, 69003 Lyon. Il conteste le remboursement de son hospitalisation du 15 au 18 octobre pour une chirurgie du genou droit. Son médecin traitant est le Dr Moreau. Rédige une réponse professionnelle qui explique pourquoi son remboursement a été calculé correctement selon son contrat Formule Confort+." +
+ +
Identifiez les problèmes RGPD dans ce prompt, puis réécrivez-le de façon conforme.
+ + +
+
+
5
Quels éléments du prompt posent un problème RGPD ? Sélectionnez toutes les réponses correctes. +
+
+
+
+
Le nom, prénom et date de naissance du client - données d'identité directement nominatives
+
+
+
+
Le numéro d'adhérent et l'adresse - données permettant une identification et une localisation précises
+
+
+
+
Les informations de santé (chirurgie, hospitalisation, médecin traitant) - données de santé = catégorie spéciale RGPD, protection renforcée obligatoire
+
+
+
+
Le nom du contrat (Formule Confort+) - donnée confidentielle mais pas une donnée personnelle au sens strict
+
+
+

Plusieurs réponses possibles.

+
+ + +
+
+
6
Réécrivez le prompt de Lucie de façon conforme - en conservant la capacité à obtenir une réponse utile. +
+ +
+ +
+ + +
+
+ + +
+
Corrigé - exercice 2
+
Q5 - Les 3 premières réponses sont correctes. Nom/prénom/date de naissance, numéro d'adhérent/adresse, et surtout les données de santé (catégorie spéciale RGPD, art. 9) posent tous un problème sérieux. Le nom du contrat n'est pas une donnée personnelle au sens RGPD - bien qu'il soit préférable de le retirer aussi.
+
Q6 - Version conforme attendue : "Tu es un expert en assurance santé. Un adhérent conteste le remboursement d'une hospitalisation de 3 jours pour une intervention chirurgicale orthopédique. Son contrat inclut la Formule Confort+. Rédige une réponse professionnelle type expliquant les principes de calcul du remboursement pour ce type d'acte, en laissant des espaces à compléter avec les données spécifiques du dossier."
+
Principe clé à retenir : anonymiser ou pseudonymiser avant de soumettre à l'IA. L'IA n'a pas besoin du nom réel pour produire une réponse utile - elle a besoin du contexte et de la structure du cas.
+
+
+
+ + +
+
+
+
+
Exercice 3 · UF3 Ch.2 · 15 min
+
Analyser un cas de shadow AI selon l'IA Act
+
+ 4 pts +
+
+
+
Cas - Entreprise industrielle, 180 salariés
+
Dans une entreprise de fabrication, plusieurs ingénieurs utilisent ChatGPT en dehors des outils approuvés par la DSI pour générer des spécifications techniques. Un ingénieur a copié-collé des plans de fabrication d'une pièce innovante (non encore brevetée) pour demander à l'IA d'optimiser la conception. La DSI découvre cette pratique lors d'un audit. La direction hésite : sanctionner les ingénieurs, ou régulariser les usages ?
+
+
Répondez aux 3 questions pour analyser ce cas sous l'angle sécurité, IA Act et gouvernance.
+ + +
+
+
7
Quel est le risque principal dans ce cas - au-delà du RGPD ? +
+
+
+
+
Le risque principal est une amende RGPD - les plans techniques peuvent contenir des données personnelles
+
+
+
+
Le risque principal est la fuite de propriété intellectuelle : des plans non brevetés soumis à un modèle tiers peuvent être utilisés pour réentraîner le modèle, exposant ainsi des secrets industriels
+
+
+
+
Le risque principal est d'ordre pénal : utiliser une IA sans autorisation de la DSI constitue un accès frauduleux à un système informatique
+
+
+
+
Il n'y a pas de risque réel car les plans techniques ne sont pas des données personnelles
+
+
+
+ + +
+
+
8
Sous l'IA Act, le système utilisé par les ingénieurs (ChatGPT pour générer des spécifications techniques industrielles) est classé dans quel niveau de risque ? +
+
+
+
+
Risque inacceptable - interdit en Europe
+
+
+
+
Risque limité à modéré - l'usage est autorisé mais doit être transparent et documenté, notamment pour les décisions critiques de sécurité industrielle
+
+
+
+
Risque nul - les outils de productivité généralistes comme ChatGPT sont hors périmètre de l'IA Act
+
+
+
+
Risque élevé automatique dès qu'une IA touche à la conception industrielle
+
+
+
+ + +
+
+
9
La direction hésite entre sanctionner et régulariser. Quelle posture recommanderiez-vous, et pourquoi ? +
+
+
+
+
Sanctionner fermement - le non-respect des règles DSI ne peut pas être toléré, même si l'intention était productive
+
+
+
+
Ignorer - les ingénieurs ont utilisé l'IA de façon productive, punir freinerait l'innovation
+
+
+
+
Régulariser avec cadre : documenter les usages, définir quelles données peuvent ou ne peuvent pas être soumises à une IA externe, former les équipes, et choisir des outils approuvés. La sanction seule sans accompagnement ne résout pas le problème structurel
+
+
+
+
Attendre la réglementation définitive de l'IA Act avant de décider
+
+
+
+ +
+ + +
+
+ + +
+
Corrigé - exercice 3
+
Q7 - B. La propriété intellectuelle est le risque central ici, pas le RGPD (les plans techniques ne sont pas des données personnelles). Un plan industriel non breveté soumis à ChatGPT peut théoriquement être réutilisé dans le réentraînement du modèle. L'affaire Samsung (2023) est l'exemple réel le plus documenté de ce type d'incident.
+
Q8 - B. ChatGPT est un outil généraliste à risque limité sous l'IA Act. Mais l'usage pour des décisions de sécurité industrielle peut faire basculer l'usage dans une catégorie de risque plus élevé - c'est le contexte d'utilisation qui détermine le niveau de risque, pas uniquement l'outil.
+
Q9 - C. La sanction seule ne résout rien : si les ingénieurs ont eu recours au shadow AI, c'est souvent parce que les outils approuvés ne répondent pas à leurs besoins. La bonne réponse est structurelle : cadre, formation, outils adaptés. C'est exactement le message de l'UF3 - la sécurité par la conscience et l'outillage, pas par la peur.
+
À retenir comme formateur : face au shadow AI dans vos groupes d'apprenants, évitez la posture moralisatrice. Partez des risques concrets (propriété intellectuelle, données clients) et proposez des alternatives praticables. Le "non" sans alternative génère du contournement.
+
+
+
+ + +

Exercice drag and drop certification C3 — classifier 10 usages IA selon les 4 niveaux de risque de l'IA Act : inacceptable, élevé, limité, minimal

+ +
+
+
+
+
Exercice 4 · UF3 Ch.1 · IA Act · 10 min
+
Classer 10 usages IA selon les 4 niveaux de risque de l'IA Act
+
+ 5 pts +
+
+ +
Faites glisser chaque usage vers le niveau de risque qui lui correspond selon l'IA Act. Cliquez sur un élément déjà placé pour le retirer.
+ + +
+
+
Inacceptable
+
Interdit en Europe
+
+
+
Élevé
+
Autorisé, très encadré
+
+
+
Limité
+
Autorisé, obligations de transparence
+
+
+
Minimal
+
Autorisé sans contrainte spécifique
+
+
+ +
Usages à classer — faites glisser
+
+
Notation sociale des citoyens par l'État
+
Aide à la décision médicale aux urgences
+
Chatbot de service client avec IA
+
Tri automatique de CV pour le recrutement
+
Filtre anti-spam dans une messagerie
+
Reconnaissance faciale en temps réel dans l'espace public
+
Évaluation du risque de récidive par la justice
+
Génération d'images par IA (deepfake déclaré)
+
Recommandation de contenu sur Netflix
+
Notation de solvabilité bancaire par IA
+
+ +
+
+
Risque inacceptable
+
Déposez ici
+
+
+
Risque élevé
+
Déposez ici
+
+
+
Risque limité
+
Déposez ici
+
+
+
Risque minimal
+
Déposez ici
+
+
+ +
+ + +
+
+ + +
+
Corrigé — classification IA Act
+
+
+
Inacceptable — interdit
+
Notation sociale des citoyens : manipulation comportementale à grande échelle, explicitement interdite par l'IA Act (art. 5)
+
Reconnaissance faciale en temps réel dans l'espace public : surveillance de masse, interdite sauf exceptions de sécurité nationale strictement encadrées
+
+
+
Élevé — très encadré
+
Aide médicale aux urgences : décision à fort impact sur la santé — supervision humaine obligatoire, documentation, validation CE
+
Tri de CV : impact sur l'emploi — transparence obligatoire, information des candidats, supervision humaine
+
Risque de récidive (justice) : impact sur la liberté individuelle — encadrement judiciaire strict, explicabilité requise
+
Notation de solvabilité : accès au crédit — base légale, droits d'opposition, non-discrimination
+
+
+
Limité — transparence requise
+
Chatbot service client : l'utilisateur doit savoir qu'il parle à une IA — obligation de divulgation
+
Deepfake déclaré : contenu généré par IA doit être labellisé comme tel — watermarking obligatoire
+
+
+
Minimal — sans contrainte spécifique
+
Filtre anti-spam : IA technique sans impact sur les droits des personnes
+
Recommandation Netflix : faible impact, pas de décision critique, usage de loisir
+
+
+
Le niveau de risque dépend du contexte d'usage, pas seulement de la technologie. Un même système d'IA peut être "minimal" dans un usage et "élevé" dans un autre — c'est le cas d'un outil de reconnaissance d'images utilisé pour trier des photos de vacances (minimal) vs identifier des suspects (potentiellement inacceptable).
+
+
+
+ + +
+ + + + + + \ No newline at end of file