Evidence infrastructure for AI governance claims Infrastructure de preuve pour la gouvernance IA

Prove your AI
controls
actually operated.
Prouvez que vos
contrôles IA ont
réellement opéré.

When a regulator, customer, insurer — or a court — asks what happened on a specific AI decision months later, most teams can't prove which control governed it, whether it actually operated, or who was accountable. Quand un régulateur, un client, un assureur — ou un tribunal — demande ce qui s'est passé sur une décision IA précise des mois plus tard, la plupart des équipes ne peuvent pas prouver quel contrôle la régissait, s'il a réellement opéré, ni qui était responsable.

Today you haveAujourd'hui vous avez

  • PoliciesDes politiques
  • Risk registersDes registres de risques
  • Audit logsDes logs d'audit
  • CertificationsDes certifications

The question nobody can answerLa question à laquelle personne ne répond

"Did this control actually run on this AI decision?" « Ce contrôle a-t-il vraiment tourné sur cette décision IA ? »

FactNotebook

Reconstruct the answer from independent evidence. Reconstruisez la réponse depuis une preuve indépendante.

What makes it different Ce qui le différencie

Your policy says X.
Your operations did Y.
Contradiction detected.
Votre politique dit X.
Vos opérations ont fait Y.
Contradiction détectée.

Most audits verify documents. FactNotebook verifies whether your controls actually operated — from your technical and operational artifacts, not your source code. La plupart des audits vérifient les documents. FactNotebook vérifie si vos contrôles ont réellement opéré — depuis vos artefacts techniques et opérationnels, pas votre code source.

And when the evidence can't support a verdict, it says so — an honest NOT ASSESSABLE, never a rubber-stamped "pass". Et quand la preuve ne permet pas de conclure, il le dit — un NOT ASSESSABLE honnête, jamais un « conforme » de complaisance.

Most organizations can only show policies and logs the system wrote about itself. FactNotebook produces independent operational evidence: La plupart des organisations ne peuvent montrer que des politiques et des logs que le système a écrits sur lui-même. FactNotebook produit une preuve opérationnelle indépendante :

And reconstruct accountability, after the fact Et reconstruisez la responsabilité, après coup

Who did what — and under whose authority. Every action traced to the agent that took it and the human mandate it answers to — or an honest gap where the chain breaks. Qui a fait quoi — et sous quelle autorité. Chaque action tracée jusqu'à l'agent qui l'a prise et au mandat humain dont elle relève — ou un trou honnête là où la chaîne casse.

Two ways to use it — choose your depth of proof Deux façons de l'utiliser — choisissez votre profondeur de preuve

The proof exists — scattered across your agent runtimes and operational systems La preuve existe — dispersée dans vos runtimes d'agents et systèmes opérationnels

FactNotebook reads independent signals the AI system cannot write. No credentials sent to our servers. FactNotebook lit des signaux indépendants que le système IA ne peut pas écrire. Aucune credential envoyée à nos serveurs.

🦾 OpenClaw
Langfuse Langfuse
Claude Code Claude Code
Jira Jira
ServiceNow ServiceNow
PagerDuty PagerDuty
GitHub GitHub
GitLab GitLab
Azure DevOps Azure DevOps
OpenTelemetry OpenTelemetry
Datadog Datadog
Splunk Splunk
AWS CloudTrail CloudTrail
Confluence Confluence
SonarQube SonarQube
Snyk Snyk
MLflow MLflow
Weights & Biases W&B
+10 more via
FileConnector
autres via
FileConnector
Agent runtimeRuntime d'agent AvailableDisponible RoadmapRoadmap · Any CSV/JSON export → FileConnector YAMLTout export CSV/JSON → FileConnector YAML

1 — Analyse 1 — Analyser

The system Le système

Code · Models · Flows · Agents · Dependencies Code · Modèles · Flux · Agents · Dépendances

2 — Detect 2 — Détecter

Expected evidence Les preuves attendues

AI Policy · Risk Register · Human Oversight Procedure · Incident Register · Technical Documentation Politique IA · Registre des risques · Procédure supervision humaine · Registre incidents · Documentation technique

3 — Verify 3 — Vérifier

Consistency — the unique part La cohérence — ce qui est unique

Doc says: "Human oversight is mandatory."
Code shows: autonomous API, no approval gate.
→ Contradiction flagged.
Doc dit : "Supervision humaine obligatoire."
Code : API autonome, aucun gate d'approbation.
→ Contradiction détectée.

Used for EU AI Act, ISO 42001 and technical AI due diligence. Utilisé pour l'EU AI Act, l'ISO 42001 et la due diligence technique IA.

Source code reviewed under NDA Code source analysé sous NDA | Every finding cited to its source Chaque constat cité avec sa source | SHA-256 sealed — independently verifiable Scellé SHA-256 — vérifiable indépendamment

Typical engagements Cas d'usage typiques

AI vendors — EU AI Act preparation Éditeurs IA — préparation AI Act

Validate technical controls before external review or certification. Valider les contrôles techniques avant une revue externe ou une certification.

Organizations buying AI systems Organisations achetant des systèmes IA

Technical due diligence before procurement or investment. Due diligence technique avant achat ou investissement.

ISO 42001 implementation projects Projets de mise en œuvre ISO 42001

Verify that documented controls actually exist in the system. Vérifier que les contrôles documentés existent réellement dans le système.

Auditors and consultants Auditeurs et consultants

Obtain reproducible technical evidence faster than manual review. Obtenir des preuves techniques reproductibles plus rapidement qu'une revue manuelle.

Get a Proposal Obtenir une proposition

No repo required now. We'll discuss scope and price before anything is shared. Aucun dépôt requis maintenant. Nous discuterons du périmètre et du prix avant tout partage.

No commitment. We respond within 24h with a scope and price proposal. Aucun engagement. Nous répondons sous 24h avec une proposition de périmètre et de prix.

Art.
9–15

EU AI Act articles covered Articles EU AI Act couverts

E0–E5

Evidence strength levels Niveaux de force de preuve

14

Structured reports per dossier Rapports structurés par dossier

SCI

Sincerity — docs vs code Sincérité — docs vs code

Not a score. Proof. Pas un score. Des preuves.

The deep-dive below is the Full Audit track — Technical Validation: is the control actually implemented, read from your code, docs and tests. La plongée ci-dessous est le track Full AuditTechnical Validation : le contrôle est-il réellement implémenté, lu depuis votre code, docs et tests.

Just need to prove a control operated at runtime, without code? → Operational Evidence Besoin seulement de prouver qu'un contrôle a opéré au runtime, sans code ? → Operational Evidence

237+

technical signals
extracted from code
signaux techniques
extraits du code

65+

executable pytest
tests generated
tests pytest
exécutables générés

SHA-256

sealed report —
cryptographically verifiable
dossier scellé —
vérifiable cryptographiquement

Art. 9–15

+ Art. 27 · Art. 50
ISO 42001
+ Art. 27 · Art. 50
ISO 42001

These numbers aren't the product. They're what makes a governance claim demonstrated rather than declared — every signal, test and seal is a re-verifiable observation, not an opinion. Evidence, not authority → Ces chiffres ne sont pas le produit. Ils sont ce qui rend une affirmation de gouvernance démontrée plutôt que déclarée — chaque signal, test et sceau est une observation re-vérifiable, pas une opinion. La preuve, pas l'autorité →

Technical controls verified against EU AI Act Articles 9–15, Art. 27, Art. 50 and ISO 42001. Evidence from source code and documentation — not declarations. Plus a Sincerity Score: automated detection of gaps between what your docs claim and what your code actually implements.
Technical controls only — organizational obligations (governance, roles, procedures) require human assessment.
Contrôles techniques vérifiés contre les Articles 9–15, Art. 27, Art. 50 de l'EU AI Act et ISO 42001. Preuves depuis le code source et la documentation — pas des déclarations. Plus un Score de Sincérité : détection automatique des écarts entre ce que vos docs affirment et ce que votre code implémente réellement.
Contrôles techniques uniquement — les obligations organisationnelles (gouvernance, rôles, procédures) nécessitent une évaluation humaine.

From source code to a structured technical evidence package — initial analysis completed in minutes. Du code source au dossier de preuves structuré — analyse initiale complétée en quelques minutes.

Real audit dossiers — available on request Dossiers d'audit réels — disponibles sur demande

FINANCE AI Agentic system · 50 sessions Système agentique · 50 sessions

OpenBB Agents

14 reports · Governance dashboard · Behavioral audit · Decision accountability 14 rapports · Dashboard gouvernance · Audit comportemental · Traçabilité des décisions

Request access to a full dossier → Demander l'accès à un dossier complet →

Assessed independently on publicly available repositories. Not affiliated with project maintainers. Évalué indépendamment sur des dépôts publics. Non affilié aux mainteneurs du projet.

ART. 9 Risk Management Gestion des risques
  • Risk registry present and structuredRegistre de risques présent et structuré
  • Mitigation measures documented and linked to codeMesures de mitigation documentées et liées au code
  • Post-market monitoring mechanism in placeMécanisme de surveillance post-marché en place
ART. 10 Data Governance Gouvernance des données
  • Dataset artifacts, lineage and quality docsArtefacts dataset, traçabilité et documentation qualité
  • Bias detection tests executed on training dataTests de détection de biais exécutés sur les données d'entraînement
  • PII masking verified in data pipelinesMasquage PII vérifié dans les pipelines de données
ART. 11 Technical Documentation Documentation technique
  • Model card and system description verifiedModel card et description système vérifiés
  • Versioning and change log in placeVersionnement et journal des modifications en place
  • Explainability documentation presentDocumentation d'explicabilité présente
ART. 12 Record-Keeping Tenue de registres
  • Audit trail implementation detected in codeImplémentation du journal d'audit détectée dans le code
  • Log integrity mechanism tested at runtimeMécanisme d'intégrité des logs testé en runtime
  • Decision logging verified end-to-endJournalisation des décisions vérifiée de bout en bout
ART. 13 Transparency Transparence
  • User-facing transparency notice verifiedNotice de transparence utilisateur vérifiée
  • Limitations and intended use documentedLimitations et usage prévu documentés
  • Output confidence and uncertainty communicatedConfiance et incertitude des sorties communiquées
ART. 14 Human Oversight Supervision humaine
  • Human-in-the-loop mechanism in the codeMécanisme HITL présent dans le code
  • Override and stop controls tested at runtimeContrôles de dérogation et d'arrêt testés en runtime
  • Human fallback path verified under failureChemin de repli humain vérifié en cas de défaillance
ART. 15 Accuracy, Robustness & Cybersecurity Exactitude, Robustesse & Cybersécurité

The most tested article — injection attacks are executed live. L'article le plus testé — les attaques par injection sont exécutées en live.

Prompt injection attempts executedTentatives d'injection prompt exécutées
SQL / command injection blockedInjection SQL / commande bloquée
Input validation tested on API surfaceValidation des entrées testée sur la surface API
Model file integrity (pickle risk scan)Intégrité des fichiers modèle (scan risque pickle)
Context boundary enforcementApplication des limites de contexte
Agent privilege scope testedPérimètre de privilèges agent testé

⚠️ Technical controls only. FactNotebook verifies that technical mechanisms are present and implemented. Organizational obligations — named oversight persons, training records, governance procedures — require human assessment and cannot be verified from code alone. ⚠️ Contrôles techniques uniquement. FactNotebook vérifie que les mécanismes techniques sont présents et implémentés. Les obligations organisationnelles — personnes de supervision nommées, formations, procédures de gouvernance — nécessitent une évaluation humaine et ne peuvent pas être vérifiées depuis le code seul.

vs. classification-only tools vs. outils classification seule

Tools that scan your dependencies tell you which articles apply to you. FactNotebook does that — and then generates tests, runs them, and seals the evidence. Knowing Art. 15 applies is not evidence of compliance. Les outils qui scannent vos dépendances vous disent quels articles vous concernent. FactNotebook fait ça — puis génère des tests, les exécute et scelle les preuves. Savoir que l'Art. 15 s'applique n'est pas une preuve de conformité.

What you
receive
Ce que vous
recevez

Not just a score — a complete technical evidence package you can present to auditors, insurers, or your board. Generated locally, sealed before it leaves your machine. Pas seulement un score — un dossier complet de preuves techniques que vous pouvez présenter à des auditeurs, assureurs ou votre direction. Généré localement, scellé avant de quitter votre machine.

Source code reviewed under NDA · Analysis performed by FactNotebook · Findings remain confidential Code source analysé sous NDA · Analyse réalisée par FactNotebook · Résultats confidentiels
For the board Pour la direction
📊

Executive Summary + Governance Dashboard Résumé exécutif + Dashboard gouvernance

Verdict, 7-domain radar, decision accountability. Present to your board without technical detail. Verdict, radar 7 domaines, traçabilité des décisions. À présenter à votre direction sans détail technique.

Unique to FactNotebook Unique à FactNotebook
🎯

Sincerity Score + Behavioral Audit Score de Sincérité + Audit comportemental

Does the code contradict the docs? Was a human actually in the loop at runtime? Two questions no checklist can answer. Le code contredit-il la documentation ? Un humain était-il réellement dans la boucle à l'exécution ? Deux questions auxquelles aucune checklist ne répond.

📄

14 Reports 14 Rapports

Navigable by role — board, auditor, engineer, regulator. Navigables par rôle — direction, auditeur, ingénieur, régulateur.

🔐

Sealed Dossier Dossier scellé

SHA-256 signed. Verifiable by any authority. Signé SHA-256. Vérifiable par toute autorité.

🔧

Remediation Remédiation

Prioritized playbook. Quick wins first. Playbook priorisé. Quick wins en premier.

CI/CD integration — re-validates automatically at every deployment Intégration CI/CD — nouvelle validation automatique à chaque déploiement

Why not the alternatives? Pourquoi pas les alternatives ?

Declaration and narrative reports are not enough. Regulators want executable tests. Les déclarations et rapports narratifs ne suffisent pas. Les régulateurs veulent des tests exécutables.

Excel / Declaration Excel / Déclaratif Consulting firm Cabinet Conseil FactNotebook
Recommended Recommandé
Duration Durée 2–4 weeks 2–4 semaines 3–10 days 3–10 jours 4 min
Pricing Tarification Internal (hidden) Interne (caché) 15–50 k€ Contact us → Nous contacter →
Type of evidence Type de preuve Declarative Déclaratif Narrative Narratif Technical + SHA-256 seal Technique + sceau SHA-256
Verifiable by authority Vérifiable par autorité
Executable tests Tests exécutables
Risk classification (Annex III) Classification risque (Annexe III) Manual Manuel
Continuous validation Validation continue Manual Manuel Re-billed Refacturé CI/CD

Common questions Questions fréquentes

Do you need access to our source code?Avez-vous besoin d'accéder à notre code source ? +
No. Operational Evidence works from your logs, traces, tickets and runtime artifacts — no source code. Only the optional Full Audit reads code, and then strictly read-only, in your environment. Either way, nothing leaves your environment without your consent. Non. Operational Evidence travaille depuis vos logs, traces, tickets et artefacts runtime — sans code source. Seul le Full Audit optionnel lit le code, et alors strictement en lecture seule, dans votre environnement. Dans tous les cas, rien ne quitte votre environnement sans votre accord.
What if the evidence to prove a control operated isn't there?Et si la preuve qu'un contrôle a opéré n'existe pas ? +
We say so — explicitly: NOT ASSESSABLE. We never infer a pass from missing evidence. An honest gap is recorded as a gap, never a rubber-stamped "compliant". That discipline is the point: a verdict you can trust because it admits what it can't see. Nous le disons — explicitement : NOT ASSESSABLE. Nous ne déduisons jamais une conformité d'une preuve absente. Un trou honnête est consigné comme un trou, jamais comme un « conforme » de complaisance. C'est tout l'enjeu : un verdict fiable parce qu'il admet ce qu'il ne voit pas.
Does a clean result mean we're compliant or approved?Un résultat propre signifie-t-il que nous sommes conformes ou approuvés ? +
No — and we say so in every report. FactNotebook produces evidence, not a verdict of authority. Much of governance is machine-observable (did the gate fire, did the control run); the rest — like whether a human supervisor is genuinely qualified — requires human attestation, which we mark explicitly. Facts first; the accountable authority judges sufficiency. Non — et nous le disons dans chaque rapport. FactNotebook produit de la preuve, pas un verdict d'autorité. Une grande partie de la gouvernance est observable par machine (le gate s'est-il déclenché, le contrôle a-t-il tourné) ; le reste — comme savoir si un superviseur humain est réellement qualifié — nécessite une attestation humaine, que nous marquons explicitement. Les faits d'abord ; l'autorité responsable juge la suffisance.
How is this different from our own logs?En quoi est-ce différent de nos propres logs ? +
Your logs say what the system reported about itself. FactNotebook reads independent signals the system cannot write and confronts your declared governance against what was actually observed — declared vs observed. It reconstructs what can be proven to have happened, not what was claimed. Vos logs disent ce que le système a rapporté sur lui-même. FactNotebook lit des signaux indépendants que le système ne peut pas écrire et confronte votre gouvernance déclarée à ce qui a été réellement observé — déclaré vs observé. Il reconstruit ce qu'on peut prouver qui s'est passé, pas ce qui a été affirmé.
Can you reconstruct what happened on a past AI decision?Pouvez-vous reconstruire ce qui s'est passé sur une décision IA passée ? +
That's the core use. After the fact, we reconstruct which control governed the decision, whether it actually operated, and who was accountable — each action traced to the agent that took it and the human mandate it answers to, or an honest gap where the chain breaks. C'est l'usage central. Après coup, nous reconstruisons quel contrôle régissait la décision, s'il a réellement opéré, et qui était responsable — chaque action tracée jusqu'à l'agent qui l'a prise et au mandat humain dont elle relève, ou un trou honnête là où la chaîne casse.
Does anything leave our environment?Quelque chose quitte-t-il notre environnement ? +
No. The engine runs in-perimeter; no credentials are sent to our servers, and results are shared only with your consent. Each result is a sealed dossier with a SHA-256 fingerprint, so any authority can verify nothing was altered after the fact — re-verifiable, not a matter of trust. Non. Le moteur tourne dans votre périmètre ; aucune credential n'est envoyée à nos serveurs, et les résultats ne sont partagés qu'avec votre accord. Chaque résultat est un dossier scellé avec une empreinte SHA-256, pour que toute autorité vérifie que rien n'a été altéré après coup — re-vérifiable, pas une question de confiance.

Find out what you can actually prove.
You point us at the evidence. We reconstruct it.
Découvrez ce que vous pouvez réellement prouver.
Vous nous indiquez la preuve. Nous la reconstruisons.

From your operational artifacts — no source code needed to start. Nothing leaves your environment, and nothing is shared without your consent. Depuis vos artefacts opérationnels — sans code source pour démarrer. Rien ne quitte votre environnement, et rien n'est partagé sans votre accord.

Get a Proposal → Obtenir une proposition →