Gros controle nul de DEV sujet 5
This commit is contained in:
EmmanuelTiamzon
123
DEV-R3.03/srivastava_5.txt
Normal file
123
DEV-R3.03/srivastava_5.txt
Normal file
@@ -0,0 +1,123 @@
|
||||
- Q1-a:
|
||||
- Demande : Je veux un chatbot d'IA sur le RGPD et l'AI act afin d'être tranquille niveau conformité
|
||||
- Besoin A: Je dois pouvoir discuter avec une IA sur les différents droits et régulations informatique
|
||||
- Besoin B: Je dois pouvoir être tranquille niveau conformité sur le RGPD et l'AI act
|
||||
- Besoin C: Je dois pouvoir recevoir des informations qui sont dans la base documentaire interne
|
||||
|
||||
- Q1-b:
|
||||
- Questions ouvertes :
|
||||
1. Pourriez-vous me décrire une journée type de travail où vous auriez besoin d'informations juridique informatique ?
|
||||
2. Qu'est-ce qui vous frustre le plus lorsque vous avez besoin d'utiliser la base documentaire interne ?
|
||||
3. Si le chatbot IA était là et était fonctionnel, que lui demanderiez-vous ?
|
||||
4. Décrivez moi les défis que vous rencontrez au niveau conformité au quotidien.
|
||||
|
||||
- Q1-c:
|
||||
- Mauvaises question 1: Voulez-vous le modèle d'IA GPT4o ou GPT-5 ?
|
||||
- Mauvaises question 2: Donc faut-il que le chatbot IA puisse donner un tableau de type tableur pour tout ce qui est RGPD ?
|
||||
- Car: Elles sont problématique car souvent c'est au développeur de penser à comment répondre à ce genre de question, et que le client n'est pas un client trop technique qui a un besoin et qui veut une solution.
|
||||
|
||||
- Q2-a:
|
||||
- E1: EF, Il décrit ce que le chatbot doit faire, son comportement face à un langage naturel et son action de renvoyer une réponse textuelle.
|
||||
- E2: ENF, Il décrit ici comment est-ce que le chatbot doit répondre donc avec une contrainte de temps et une contrainte de connexion.
|
||||
- E3: EF, Il décrit ce que le chatbot doit faire avec les données personnelles identifiable des employés, qui est de ne pas les envoyés à de API d'IA externes.
|
||||
- E4: ENF, Il décirt comment le chatbot doit se comporter vis-à-vis des journaux de conversation contenant des données personnelles.
|
||||
- E5: EF, Il décrit ce que le chatbot doit faire, il n'y a aucune précision sur comment mais il veut qu'il soit intelligent et toujours donner des réponses de haute qualité.
|
||||
- E6: EF, Il décrit ce que le chatbot doit faire donc brièvement sans détail, que faire lorsque la question dépasse son périmètre, qui est d'escalader la demande vers une autre équipe.
|
||||
|
||||
- Q2-b:
|
||||
- ENF-reformulée-1: Le chatbot doit maintenir un taux d'hallucination inférieur à 10%
|
||||
- ENF-reformulée-2: le chatbot doit atteindre un score de satisfaction moyen de 4/5
|
||||
|
||||
- Q2-c:
|
||||
Pour E3: envoyer des données vers une API externe fait sortir l'information du périmètre sécurisé de l'entreprise. Cela expose les secrets et les données critique à un tiers, violant le principe de confidentialité requis pour la conformité.
|
||||
Pour E4: Une ocnversation illimitée permettrait de "profiter" ou surveiller les employés sur le long terme. La limitation de 30 jours et l'anonymisation qui garanti le droit à l'oubli et empêche l'outil de devenir un outil de surveillance intrusive.
|
||||
|
||||
- Q3-a:
|
||||
- US1: S, E, T ne sont pas respectés
|
||||
- S: "chatbot complet" est bien trop gros pour une seule story, c'est le projet en entier.
|
||||
- E: Impossible d'estimer la charge de travail sur un pérmiètre aussi vague "complet"
|
||||
- T: "Conforme au RGPD" est un audit juridique pas un test binaire simple...
|
||||
|
||||
- US2: T, E, I ne sont pas respectés
|
||||
- T: "Aimer utiliser" est une émotion subjective, impossible à tester.
|
||||
- E: les adjectifs "moderne et intuitive" sont trop flous pour estimer le temps de développement.
|
||||
- I: L'interface dépend entièrement des fonctionnalités backend qui seront développées.
|
||||
|
||||
- US3: N, V, I ne sont pas respectés
|
||||
- N: la user story impose la solution technique ("API SuperLM-9000") au lieu de décrire le besoin, fermant la discussion.
|
||||
- V: C'est une tâche technique ("Conencter l'API"). La valeur pour n'est pas claire.
|
||||
- I: Elle crée une dépendance forte et immédiate à un fournisseur spécifique.
|
||||
|
||||
- US4: S, E, T ne sont pas respectés
|
||||
- S: "Tous les droits" (accès rectification, oubli, portabilité...) est une Epic géante, pas une story.
|
||||
- E: Trop large pour être chiffré dans un sprint.
|
||||
- T: On ne peut pas écrire un test unique pour "gérer tous les droits" en même temps.
|
||||
|
||||
- Q3-b nouveau backlog (8 user stories INVEST):
|
||||
- Transparence :
|
||||
- US-A: En tant qu'utilisateur, je veux voir une mention explicite "Réponse générée par IA" sous chaque message afin de ne pas confondre le chatbot avec un interlocuteur humain RH.
|
||||
- US-B: En tant qu'utilisateur, je veux que le chatbot affiche les liens vers les documents internes (sources) utilisés pour construire sa réponse afin de pouvoir vérifier l'exactitude de l'information par moi-même.
|
||||
|
||||
- Droit des personnes :
|
||||
- US-C: En tant qu'employé, je veux pouvoir télécharger un export PDF de mes conversations afin d'exercer mon droit d'accès et de portabilité des données.
|
||||
- US-D: En tant qu'employé, je veux un bouton "Effacer mes données" qui supprime l'historique de la session courante afin d'exercer mon droit à l'effacement concernant des questions sensibles
|
||||
|
||||
- Epic:
|
||||
- US-E: En tant que DPO, je veux une interface d'administration complète pour gérer les audits de logs, les alertes de sécurité et les demandes de droits complexes afin de garantir la conformité légale globale de l'outil.
|
||||
|
||||
- Autres (Fonctionnel/Qualité):
|
||||
- US-F: En tant qu'utilisateur, je veux poser des questions en language naturel sur le RGPD afin d'obtenir une réponse immédiate sans avoir à lire les textes juridiques bruts.
|
||||
- US-G: En tant qu'expert métier, je veux pouvoir signaler une réponse incorrecte afin d'aider l'équipe technique àcorriger les hallucinations du modèle.
|
||||
- US-H: En tant qu'admin Sécurité, je veux que le système masque automatiquement les numéros de sécurité sociale détectés dans les prompts afin d'empêcher leur stockage en clair dans les bases de données.
|
||||
|
||||
- Q3-c:
|
||||
- Je choisi les user stories US-B et US-D:
|
||||
US-B:
|
||||
- Critère 1. scénario nominal: lorsque le chatbot répond à une question sur le "télétravail", la réponse doit se terminer par une section "Sources:" contenant au moins un lien cliquable vers le document intranet pertinent.
|
||||
- Critère 2. cas d'erreur/manque de source: Si la question de l'utilisateur ne correspond à aucun document de la base de connaissance, le chatbot doit répondre "je ne trouve pas cette information dans la basedocumentaire interne" et ne pas inventer une réponse
|
||||
- Critère 3. La confidentialité: Si le document source identifié possède un tag de sécurité "Confidentiel - CODIR", le chatbot ne doit pas l'utiliser pour générer la réponse ni afficher le lien si l'utilisateur n'a pas les droits d'accès correspondants.
|
||||
|
||||
US-C:
|
||||
- Critère 1. Scénario nominal: Après avoir cliqué sur le bouton "Effacer l'historique", l'interface utilisateur se vide et une requête en base de données confirme que les logs textuels associés à cet ID de session ont été supprimés physiquement.
|
||||
- Critère 2. Cas d'erreur: Si le service de base de données est indisponible au moment de la demande, le système doit afficher un message d'erreur explicite "Suppression impossible pour le moment, veuillez réessayer",plutôt que de laisser l'utilisateur crorie que ses données sont effacés.
|
||||
- Critère 3. Confidentialité/Sensible: La suppression de la conversation doit également faire en sorte à ce que l'on évite que des fragments de données sensibles ne ressortent lors de recherches futures.
|
||||
|
||||
- Q4-a:
|
||||
- Acteur primaire: Employé (Utilisateur authentifié)
|
||||
- Précondition principale: L'utilisateur est connecté et possède un historique de conversations enregistré dans le système
|
||||
- Postcondition de succès: Les logs de conversations sont supprimés de l'interface et anonymisés/effacés en base de données.
|
||||
- Postcondition d'échec: Les données sont conservées intactes et un message d'erreur informe l'utilisateur de l'échec de l'opération
|
||||
|
||||
- Q4-b scénario nominal:
|
||||
1. Acteur: L'employé clique sur le bouton ou tape la commande "Gérer mes données personnelles" dans l'interface du chatbot.
|
||||
2. Système: Affiche un menu d'options liées aux droits RGPD (Accès, Rectification, Effacement)
|
||||
3. Acteur: L'employé séléctionne l'option "Effacer l'historique de mes conversations"
|
||||
4. Système: Demande une confirmation explicite: "Attention, cette action est irréversible. Confirmez-vous la suppression ?"
|
||||
5. Acteur: L'employé appuie sur "Confirmer"
|
||||
6. Système: Lance le processus de suppression en arrière-plan et purge les données de la session.
|
||||
7. Système: Affiche une notification desuccès: "Votre historique avec succès" et réinitialise la fenêtre de chat.
|
||||
|
||||
- Q4-c:
|
||||
- Scénario A: Si, au moment de valider la suppression, la session de l'utilisateur a expiré, le système interrompt le processus, affiche un message "Session expiré" et redirige l'utilisateur vers la page de connexion. Les données ne sont pas effacées.
|
||||
|
||||
- Scénario B: Si le système détecte qu'une conversation contient des éléments liés à une enquête de harcèlement en cours, le Système procède à une suppression logique pour l'utilisateur mais archive les logs dans un coffre-fort sécurisé pour le service juridique. Le système informe alors l'utilisateur : "Vos conversations ont été retirées de votre historique visible.
|
||||
|
||||
Q5-a:
|
||||
Voici les classes conceptuelles identifiées pour la gestion des conversations et des droits :
|
||||
- Utilisateur : (Attributs : ID_Employé, Nom, Email, Rôle).
|
||||
- Conversation : (Attributs : ID_Session, Date_Début, Statut_Escalade).
|
||||
- Message : (Attributs : Contenu_Texte, Horodatage, Emetteur, Est_Hallucination).
|
||||
- DemandeDroit : (Attributs : Type_Droit [Accès/Effacement], Date_Demande, Statut_Traitement).
|
||||
- CelluleConformité : (Attributs : ID_Service, Nom_Responsable).
|
||||
- Association clé : Utilisateur (1) ----- (0..*) Conversation (Un utilisateur peut avoir plusieurs conversations, une conversation appartient à un seul utilisateur).
|
||||
|
||||
Q5-b:
|
||||
Ce processus décrit le flux lorsqu'une question dépasse les compétences de l'IA :
|
||||
- Utilisateur : Pose une question complexe (ex: "Quels sont les impacts de l'AI Act sur nos filiales hors UE ?").
|
||||
- Chatbot : Analyse la question, détecte un score de confiance faible et un sujet sensible ("AI Act / International").
|
||||
- Chatbot : Répond à l'utilisateur : "Cette question nécessite une expertise juridique approfondie. Je transmets votre demande à la cellule conformité."
|
||||
- Système : Crée un ticket d'escalade et notifie la CelluleConformité.
|
||||
- Juriste RGPD : Reçoit la notification, analyse la question et consulte les textes de loi.
|
||||
- Juriste RGPD : Rédige une réponse validée juridiquement dans l'interface d'administration.
|
||||
- Système : Envoie la réponse du juriste dans le fil de discussion du chatbot.
|
||||
- Utilisateur : Reçoit la notification et lit la réponse qualifiée.
|
||||
Reference in New Issue
Block a user