Il existe un écart irréductible entre ce qu'un opérateur exprime et ce qui constitue l'information utile. Un opérateur pressé peut formuler une demande en registre familier, incomplet ou ambigu (ex. « ouvre un compte pour Mme X, cheffe du service Médecine, donne-lui les droits qui vont bien, c'est urgent »). Or :
Une plateforme pour CHU doit produire un rendu professionnel, pédagogique et explicatif de bout en bout, sans jamais falsifier la réalité.
La falsification (réécriture du fond, masquage, embellissement faisant paraître une action plus correcte qu'elle ne fut) est proscrite et constituerait un faux (art. 441-1 du code pénal) invalidant toute certification.
| Plan d'interaction (le brut) | Plan probant (le canonique) | |
|---|---|---|
| Contenu | brut, verbatim (familier inclus) | intention canonique + approbation + exécution + résultat |
| Nature | technique / opérationnel | donnée probante |
| Auto-suffisant ? | non | oui (l'auditeur n'a pas besoin du plan d'interaction) |
| Rétention | courte, bornée (RGPD) | longue (durée de preuve) |
| Mutabilité | purgeable | immuable (chaîné, horodaté, ancré) |
Capture l'entrée brute exactement comme saisie, horodatée, attribuée. C'est un log technique qui contient des données personnelles → traitement RGPD (finalité, base légale, minimisation, durée bornée, accès restreint). N'est jamais diffusé dans un livrable.
Contient l'intention canonique, l'approbation, l'exécution et son résultat. Professionnel par construction — ne contient jamais le registre familier, non parce qu'on l'a caché, mais parce qu'il n'était pas probant. Inaltérable : chaîné SHA-256, signé, horodaté (RFC 3161), ancré, stocké en WORM.
Interposée entre la saisie et l'action, en quatre opérations :
INTENTION ─ Création d'un compte utilisateur standard
Bénéficiaire ─ Mme Michoux
Fonction ─ Chef du service Médecine (déclarée)
Droits ─ Profil d'accès du rôle « Chef de service Médecine »
⚠ à confirmer : périmètre exact des droits
Priorité ─ Urgente
→ Confirmez-vous cette intention ? [Oui / Ajuster]
L'autorité du document vient de l'approbation humaine + la traçabilité à l'origine, pas de son éloquence. La confirmation protège l'opérateur : la trace prouve qu'il a validé l'interprétation.
Chaque intention canonique porte une référence cryptographique vers l'entrée brute qui l'a engendrée :
sha256 = empreinte SHA-256 du texte brut (UTF-8 normalisé NFC), calculée à l'ingestion ;| Plan d'interaction | Plan probant | |
|---|---|---|
| Conservation | bornée (ex. 30–90 j, avec le DPO) | durée légale de preuve |
| Base légale | intérêt légitime (sécurité/exploitation) | obligation légale / intérêt public |
| Accès | RSSI / support, restreint, journalisé | responsables, DPO, auditeur ; lecture tracée |
| Chiffrement | repos + transit | repos + transit + signature + ancrage tiers |
Durées exactes arrêtées au registre des traitements (RGPD art. 30) et au plan de classification/rétention du SMSI.
| Exigence | Couverture |
|---|---|
| ISO 27001 A.8 / A.5.33 (protection des enregistrements) | deux plans, immuabilité du probant, rétention maîtrisée |
| ISO 27001 A.12.4 (journalisation) | plan probant chaîné, horodaté, ancré |
| RGPD art. 5 / 25 / 30 | minimisation, protection by design, registre des traitements |
| AI Act art. 12 / 13 / 50 | traçabilité, transparence, rendu marqué « assisté par IA » |
| PGSSI-S / HDS | preuve opposable, WORM, accès tracé |
| ✅ Légitime | ❌ Interdit |
|---|---|
| Normaliser le registre (ton, fautes) | Modifier un fait, un droit, un résultat |
| Expliciter un implicite et le faire confirmer | Résoudre une ambiguïté de fond silencieusement |
| Restituer une intention professionnelle dérivée | La présenter comme la formulation originale de l'humain |
| Ne pas diffuser le brut (sans valeur probante) | Détruire/masquer le brut pour dissimuler un écart |
| Rendre l'écart « dit ≠ fait » lisible | Effacer l'écart pour paraître plus conforme |
source_interaction au plan probant, la politique de rétention du plan d'interaction (avec le DPO).