Aller au contenu principal

Flux de contexte IA

Objectif du flux

Construire un contexte métier utile à l’IA sans exposer directement la base ni transmettre plus de données que nécessaire.

Acteurs/systèmes impliqués

  • API Laravel.
  • AI Gateway.
  • Services métier autorisés.
  • Données DMV filtrées.
  • Provider IA.
  • Services de sécurité et logs.

Étapes principales

  1. Une tâche IA demande un contexte métier.
  2. L’AI Gateway identifie le type de contexte nécessaire.
  3. Laravel vérifie les droits de l’utilisateur et le périmètre.
  4. Des services backend récupèrent uniquement les données autorisées.
  5. Les données sont filtrées, résumées ou anonymisées si nécessaire.
  6. Le contexte final est assemblé.
  7. Le contexte est envoyé au provider IA avec le prompt adapté.
  8. Le contexte utilisé est journalisé de manière minimale.

Données manipulées

  • Type de tâche IA.
  • Périmètre utilisateur, acteur ou commune.
  • Données métier filtrées.
  • Historique ou contenu utile selon le cas.
  • Prompt système et prompt utilisateur.
  • Métadonnées de sécurité.

Règles sécurité

  • L’IA ne doit jamais exécuter de requêtes directes.
  • Les services backend doivent contrôler les données accessibles.
  • Le contexte doit être limité au minimum utile.
  • Les données personnelles doivent être évitées ou minimisées.
  • Les prompts doivent rappeler les limites d’usage et les règles métier.

Erreurs/points de vigilance

  • Contexte trop large.
  • Données hors périmètre.
  • Prompt injection dans un contenu utilisateur.
  • Données personnelles inutiles envoyées au provider.
  • Logs contenant trop de contexte brut.

État actuel vs cible

SujetÉtat actuel visibleVision cible
Contexte IAGestion contexte documentée.Services dédiés par tâche IA.
Accès dataBase PostgreSQL documentée.Accès indirect via services Laravel validés.
LogsLogs IA prévus.Logs minimisés, utiles et sécurisés.

Diagramme Mermaid

TODO / points à confirmer

  • Liste des context builders par usage IA.
  • Politique d’anonymisation.
  • Données interdites par provider.
  • Durée de conservation des contextes/logs.
  • Stratégie future RAG ou vector database.