Aller au contenu principal
EXIOR
Pilot
document légal

Lignes rouges immutables

4 lignes rouges Exior : KYC, payment_action, first_touch_editorial, irreversible_external_destruction.

LES 4 LIGNES ROUGES EXIOR

Version : 1.0 Date d'entrée en vigueur : 2026-04-28 Document : LIGNES-ROUGES-EXIOR-V1 Public cible : Clients de tous niveaux (Pilot, Boot, Operate, Augment, Sovereign)

1. Pourquoi ces lignes rouges existent

Exior est un exocortex organisationnel : une couche cognitive externe qui raisonne, recommande et — selon le niveau souscrit — exécute dans le périmètre concédé par le Client.

Pour que cette autonomie soit digne de confiance et opposable juridiquement, certaines actions sont absolument interdites. Elles sont les 4 lignes rouges Exior : aucun mode --force, aucune instruction Client, aucune urgence opérationnelle ne permet leur franchissement.

Ces lignes rouges protègent simultanément :

  • le Client, contre les conséquences irréversibles d'une instruction mal calibrée ou d'une compromission ;
  • les tiers (salariés, fournisseurs, prospects, clients), contre des actions automatisées qui les affecteraient sans consentement éclairé ;
  • Exior, contre toute exposition pénale ou réputationnelle en facilitant des actes qu'aucune autorité ne tolérerait ;
  • la confiance globale du marché dans l'exocortex comme catégorie nouvelle.

Ces lignes rouges sont gravées dans la doctrine (P7 — docs/governance/DOCTRINE.md), implémentées par 26 SafetyConstraints techniques, et explicitement opposables au Client par les CGV (article 13) et tous les contrats spécifiques.

2. Ligne rouge n°1 — KYC

2.1 Définition

Aucune action d'identification ou de validation d'identité de tiers n'est effectuée par Exior, automatiquement ou sur instruction Client.

2.2 Implémentation technique

safety_constraint:no_kyc_action — toute action porteuse d'une intention d'identification d'un tiers est rejetée à la construction de l'ActionTemplate.

2.3 Pourquoi

Le KYC engage la responsabilité du Client comme assujetti au sens du Code monétaire et financier (lutte anti-blanchiment et financement du terrorisme), de la directive UE 2015/849 modifiée, et le cas échéant des obligations professionnelles équivalentes (avocat, notaire, expert-comptable). Cette responsabilité ne peut être déléguée à un système automatisé externe.

2.4 Ce que cela signifie en pratique

  • Exior n'identifie pas les bénéficiaires effectifs d'une société tierce ;
  • Exior ne valide pas l'identité d'un nouveau fournisseur ou client ;
  • Exior peut collecter, structurer et présenter les données publiques relatives à un tiers (extraits BODACC, INPI, sanctions UE), mais la décision d'entrer en relation demeure exclusivement humaine.

2.5 Pour les Clients régulés

Les institutions financières clientes Augment ou Sovereign peuvent souscrire le Module Banque-Assurance (80 000 €/an, niveaux Operate+, ou 100 000 €/an au-delà), qui assiste le KYC sans s'y substituer : préparation de dossiers, monitoring des flux, alertes, documentation.

3. Ligne rouge n°2 — Paiement

3.1 Définition

Aucune émission ou exécution de paiement au nom du Client n'est jamais déclenchée automatiquement par Exior.

3.2 Implémentation technique

ACTION_TYPE_DEFAULT_CEILING['payment_action'] = FORBIDDEN. Le scorer rejette tout candidat dont le action_type matche payment_action, sans bypass possible.

3.3 Pourquoi

Un paiement est irréversible dès son exécution (sauf rappel SEPA dans des conditions très restrictives). Le confier à un système automatisé créerait un risque systémique : compromission, dérive, instruction défectueuse, attaque par injection. Le coût d'une seule erreur (virement erroné de 100 000 € vers un fournisseur frauduleux) excède en général la valeur de l'automatisation possible.

3.4 Ce que cela signifie en pratique

  • Exior peut préparer un fichier SEPA (XML CAMT/PAIN), proposer un paiement avec montant calculé, alerter sur une échéance ;
  • l'exécution suppose une validation humaine explicite sur chaque opération, dans l'outil de paiement du Client (banque en ligne, ERP, etc.).

3.5 Cas particuliers

  • abonnement Stripe Exior : exception unique car il s'agit du paiement à Exior elle-même, expressément consenti par le Client à la souscription, encadré par Stripe ;
  • prélèvement automatique d'un fournisseur tiers : aucune intervention Exior, c'est un mandat SEPA direct entre le Client et le tiers.

4. Ligne rouge n°3 — Premier contact éditorial à un prospect non opt-in

4.1 Définition

Aucune communication officielle au nom du Client vers un tiers n'ayant pas explicitement consenti (opt-in préalable documenté) n'est jamais émise par Exior.

4.2 Implémentation technique

safety_constraint:no_first_touch_editorial_to_prospect — tout candidat dont l'action_type matche un envoi de contenu éditorial vers un destinataire non opt-in est rejeté.

4.3 Pourquoi

Cette ligne protège plusieurs intérêts :

  • RGPD article 6 : la base légale d'un envoi commercial à un tiers suppose le consentement (sauf intérêt légitime documenté pour le B2B avec opt-out facile) ;
  • directive ePrivacy et article L.34-5 CPCE : prospection électronique soumise au consentement préalable, sauf B2B sur fonction professionnelle ;
  • réputation du Client : un premier contact mal calibré peut compromettre durablement l'image ;
  • doctrine zero-friction Exior (feedback_zero_friction_2026-04-25.md) : Exior ne pratique pas de cold outreach commercial, ni pour son propre compte ni pour ses Clients.

4.4 Ce que cela signifie en pratique

  • Exior peut rédiger des contenus, des newsletters, des notes de cadrage ;
  • Exior peut identifier des destinataires opt-in et les segmenter ;
  • l'envoi d'un premier contact éditorial vers un tiers non opt-in suppose une validation humaine explicite, et cette validation engage la responsabilité du Client.

4.5 Communication opt-in autorisée

Toute communication vers une liste opt-in dûment consentie (newsletters Client, alertes contractuelles, courriels transactionnels) reste pleinement automatisable, dans le respect du registre des consentements et du droit de retrait.

5. Ligne rouge n°4 — Destruction externe irréversible

5.1 Définition

Aucune action irréversible sur un système tiers (suppression de bases de données, résiliation contrats fournisseurs, destruction de documents légaux, fermeture compte bancaire, suppression utilisateur dans un SaaS critique, etc.) n'est jamais exécutée automatiquement par Exior.

5.2 Implémentation technique

safety_constraint:no_irreversible_external_destruction — tout candidat dont l'ActionTemplate ne porte pas de rollback_pattern valide ET dont la cible est externe au tenant Exior est rejeté à la construction.

Combinée au principe P5 (réversibilité par défaut), cette ligne assure qu'aucune mutation sans rollback ne soit jamais exécutée hors du périmètre strict du tenant Exior.

5.3 Pourquoi

Une destruction externe irréversible :

  • expose le Client à des conséquences opérationnelles majeures (perte d'accès, perte de données, rupture de service) ;
  • expose Exior à une responsabilité civile et pénale en cas de défaillance ;
  • est, par construction, incompatible avec le principe P5 doctrinal (rollback obligatoire).

5.4 Ce que cela signifie en pratique

  • Exior peut archiver, marquer pour suppression, alerter sur une donnée à supprimer ;
  • la suppression effective suppose une validation humaine explicite, idéalement avec un mécanisme de double validation (4-eyes principle) pour les actions critiques.

5.5 Cas particuliers Sovereign

Pour les Clients Sovereign disposant d'un PCA / DRP testé trimestriellement, certaines actions de destruction interne au tenant Client (purge de logs antérieurs à la rétention légale, par exemple) peuvent être confiées à Exior, dans un cadre strictement défini par avenant au Bon de Commande, avec rollback documenté (sauvegarde antérieure) et permit cellulaire dédié.

6. Conséquence opérationnelle

6.1 Aucun bypass

Aucune commande, aucune instruction, aucun mode --force, aucune urgence opérationnelle ne peut amener Exior à franchir l'une des 4 lignes rouges.

6.2 Escalade humaine

Toute tentative de franchissement détectée par les hooks safety entraîne :

  1. rejet immédiat de l'action ;
  2. consignation dans l'audit log GPG ;
  3. notification au DPO Exior et à l'administrateur principal Client ;
  4. analyse post-incident dans le rapport mensuel.

6.3 Résiliation pour ligne rouge

Toute demande Client de forcer le franchissement d'une ligne rouge entraîne la résiliation immédiate du contrat, sans indemnité et sans remboursement, conformément à l'article 6.4 des CGV et aux articles correspondants des contrats spécifiques.

7. Documents associés

  • docs/governance/DOCTRINE.md — principes doctrinaux P0 à P14 ;
  • docs/legal/CGV.md article 13 — opposabilité contractuelle ;
  • docs/legal/charte_audit_log.md — traçabilité des tentatives de franchissement ;
  • docs/security/threat_model.md — analyse STRIDE des risques associés ;
  • docs/security/incident_response_plan.md — procédure de réponse en cas de tentative de franchissement.

8. Engagement Exior envers le Client

Ces lignes rouges ne sont pas une limitation : elles sont la condition même de la confiance que le Client peut accorder à un système exocortex. Elles signifient qu'aucune action irréversible ou engageante ne sortira jamais du tenant Client sans validation humaine éclairée. Elles permettent à Exior d'offrir un niveau d'autonomie élevé sur tout ce qui n'est pas critique, précisément parce que ce qui est critique reste sous contrôle humain absolu.

Fait à Paris, version 1.0 — 2026-04-28

EXIOR SAS — RCS Paris [NUMERO_RCS_A_COMPLETER]