Question 1

Que reste-t-il sous responsabilité client face au managé Duale ?

Accepted Answer

Responsabilité partagée. Le client garde le code de l'agent, les prompts, les outils, les entrées de tâche, le schéma de résultat attendu, la politique de routage et l'échéance, les contrats fournisseurs de modèles et les chemins de revue propres au projet. Duale AI opère le runtime managé : soumission et identité de tâche, routage sous politique, isolation par tenant, événements d'audit et la frontière des données applicatives hébergées en Allemagne. Le périmètre de rétention, la liste des sous-traitants et les chemins de notification d'incident relèvent du contrat de traitement des données.

Question 2

Où les données applicatives managées sont-elles hébergées, et qu'est-ce qui modifie les sous-traitants ?

Accepted Answer

Les données applicatives managées sont hébergées par Hetzner Online GmbH en Allemagne. Duale AI est une société française. La liste actuelle, les délais de notification de changement (30 jours pour les sous-traitants de l'Espace économique européen, 90 jours sinon) et le canal d'opposition figurent sur la page sous-traitants.

Question 3

Duale AI détient-il aujourd'hui une certification formelle ?

Accepted Answer

Non. Duale AI ne revendique aujourd'hui aucune certification formelle au titre de SOC 2 (critères Trust Services de l'American Institute of Certified Public Accountants), SOC 3, ISO/IEC 27001 (système de management de la sécurité de l'information) ou du règlement européen sur l'intelligence artificielle. Aucun rapport d'audit, attestation ou certificat délivré par un auditeur tiers n'est publié à ce jour. Les travaux de préparation inscrits à la feuille de route sécurité et confidentialité ne constituent pas un audit et ne sont pas présentés comme tel.

Question 4

Quels signaux le runtime expose-t-il pour l'audit et la revue d'incident ?

Accepted Answer

Le runtime managé enregistre des événements d'audit par tenant pour les actions create, update, delete, recover et access sur les ressources qu'il gère. Chaque événement porte l'action, le type et l'identifiant de ressource, l'état avant et après, ainsi qu'une empreinte de contenu ancrée dans un journal Merkle append-only ; les champs utilisateur sensibles sont chiffrés par tenant. La trace de tâche côté client, l'inspection par exécution et la liste d'artefacts visibles par le reviewer ne font pas partie des éléments revendiqués ici à date. Le périmètre des événements et la durée de rétention sont définis dans le contrat de traitement et le contrat commercial.

Question 5

Quel est le rôle au titre du règlement européen sur l'IA ?

Accepted Answer

Duale AI opère le runtime managé qui exécute vos agents. Le rôle au titre du règlement européen sur l'intelligence artificielle — fournisseur au sens de l'article 3.3, déployeur au sens de l'article 3.4, ou les deux — dépend de la finalité de l'agent, du système dans lequel il s'intègre et de qui le met sur le marché. Le rôle est fixé pour chaque cas d'usage pendant la revue de déploiement avec votre équipe juridique, et non revendiqué par avance par Duale AI.

Gouvernez les agents IA pendant leur passage en production

La gouvernance comme capacité de production

Voir la frontière de travail

Revoir les choix fournisseurs

Définir les chemins de revue

Des signaux opérationnels partagés

Contexte de tâche disponible

Décisions de politique

Préparation incident

Travail régulé sans sur-promesse de certification

Préparation au règlement européen sur l'IA

Revue de protection des données

Résilience opérationnelle

Une meilleure relation avec les équipes de delivery

Pour les équipes plateforme

Pour les équipes sécurité

Questions gouvernance

Faites de la gouvernance une capacité de production.