Prove your AI
controls
actually operated.
Prouvez que vos
contrôles IA ont
réellement opéré.
When a regulator, customer, insurer — or a court — asks what happened on a specific AI decision months later, most teams can't prove which control governed it, whether it actually operated, or who was accountable. Quand un régulateur, un client, un assureur — ou un tribunal — demande ce qui s'est passé sur une décision IA précise des mois plus tard, la plupart des équipes ne peuvent pas prouver quel contrôle la régissait, s'il a réellement opéré, ni qui était responsable.
Today you haveAujourd'hui vous avez
- PoliciesDes politiques
- Risk registersDes registres de risques
- Audit logsDes logs d'audit
- CertificationsDes certifications
The question nobody can answerLa question à laquelle personne ne répond
"Did this control actually run on this AI decision?" « Ce contrôle a-t-il vraiment tourné sur cette décision IA ? »
FactNotebook
Reconstruct the answer from independent evidence. Reconstruisez la réponse depuis une preuve indépendante.
What makes it different Ce qui le différencie
Your policy says X.
Your operations did Y.
Contradiction detected.
Votre politique dit X.
Vos opérations ont fait Y.
Contradiction détectée.
Most audits verify documents. FactNotebook verifies whether your controls actually operated — from your technical and operational artifacts, not your source code. La plupart des audits vérifient les documents. FactNotebook vérifie si vos contrôles ont réellement opéré — depuis vos artefacts techniques et opérationnels, pas votre code source.
And when the evidence can't support a verdict, it says so — an honest NOT ASSESSABLE, never a rubber-stamped "pass". Et quand la preuve ne permet pas de conclure, il le dit — un NOT ASSESSABLE honnête, jamais un « conforme » de complaisance.
Most organizations can only show policies and logs the system wrote about itself. FactNotebook produces independent operational evidence: La plupart des organisations ne peuvent montrer que des politiques et des logs que le système a écrits sur lui-même. FactNotebook produit une preuve opérationnelle indépendante :
- ✓ what control was expected to runquel contrôle était attendu
- ✓ what evidence confirms it operatedce qui confirme qu'il a opéré
- ✓ what is only self-reportedce qui est seulement auto-déclaré
- ✓ what is NOT ASSESSABLEce qui est NOT ASSESSABLE
And reconstruct accountability, after the fact Et reconstruisez la responsabilité, après coup
Who did what — and under whose authority. Every action traced to the agent that took it and the human mandate it answers to — or an honest gap where the chain breaks. Qui a fait quoi — et sous quelle autorité. Chaque action tracée jusqu'à l'agent qui l'a prise et au mandat humain dont elle relève — ou un trou honnête là où la chaîne casse.
Two ways to use it — choose your depth of proof Deux façons de l'utiliser — choisissez votre profondeur de preuve
The proof exists — scattered across your agent runtimes and operational systems La preuve existe — dispersée dans vos runtimes d'agents et systèmes opérationnels
FactNotebook reads independent signals the AI system cannot write. No credentials sent to our servers. FactNotebook lit des signaux indépendants que le système IA ne peut pas écrire. Aucune credential envoyée à nos serveurs.
FileConnector autres via
FileConnector
1 — Analyse 1 — Analyser
The system Le système
Code · Models · Flows · Agents · Dependencies Code · Modèles · Flux · Agents · Dépendances
2 — Detect 2 — Détecter
Expected evidence Les preuves attendues
AI Policy · Risk Register · Human Oversight Procedure · Incident Register · Technical Documentation Politique IA · Registre des risques · Procédure supervision humaine · Registre incidents · Documentation technique
3 — Verify 3 — Vérifier
Consistency — the unique part La cohérence — ce qui est unique
Doc says: "Human oversight is mandatory."
Code shows: autonomous API, no approval gate.
→ Contradiction flagged.
Doc dit : "Supervision humaine obligatoire."
Code : API autonome, aucun gate d'approbation.
→ Contradiction détectée.
Used for EU AI Act, ISO 42001 and technical AI due diligence. Utilisé pour l'EU AI Act, l'ISO 42001 et la due diligence technique IA.
Typical engagements Cas d'usage typiques
AI vendors — EU AI Act preparation Éditeurs IA — préparation AI Act
Validate technical controls before external review or certification. Valider les contrôles techniques avant une revue externe ou une certification.
Organizations buying AI systems Organisations achetant des systèmes IA
Technical due diligence before procurement or investment. Due diligence technique avant achat ou investissement.
ISO 42001 implementation projects Projets de mise en œuvre ISO 42001
Verify that documented controls actually exist in the system. Vérifier que les contrôles documentés existent réellement dans le système.
Auditors and consultants Auditeurs et consultants
Obtain reproducible technical evidence faster than manual review. Obtenir des preuves techniques reproductibles plus rapidement qu'une revue manuelle.
Get a Proposal Obtenir une proposition
No repo required now. We'll discuss scope and price before anything is shared. Aucun dépôt requis maintenant. Nous discuterons du périmètre et du prix avant tout partage.
No commitment. We respond within 24h with a scope and price proposal. Aucun engagement. Nous répondons sous 24h avec une proposition de périmètre et de prix.
Request received. Demande reçue.
A confirmation has been sent to Une confirmation a été envoyée à
Reference Référence
—
You will receive a proposal with Vous recevrez une proposition avec
- → Scope — exactly what we will validate Périmètre — ce que nous allons valider exactement
- → Expected deliverables — which reports you receive Livrables — quels rapports vous recevrez
- → Pricing estimate Estimation du prix
- → Timeline Délai de livraison
No account to create. Everything is handled by email. Questions? Aucun compte à créer. Tout se passe par email. Questions ? contact@factnotebook.com
Something went wrong. Une erreur s'est produite.
Please email us directly: Écrivez-nous directement : contact@factnotebook.com
Art.
9–15
EU AI Act articles covered Articles EU AI Act couverts
E0–E5
Evidence strength levels Niveaux de force de preuve
14
Structured reports per dossier Rapports structurés par dossier
SCI
Sincerity — docs vs code Sincérité — docs vs code
Not a score. Proof. Pas un score. Des preuves.
The deep-dive below is the Full Audit track — Technical Validation: is the control actually implemented, read from your code, docs and tests. La plongée ci-dessous est le track Full Audit — Technical Validation : le contrôle est-il réellement implémenté, lu depuis votre code, docs et tests.
Just need to prove a control operated at runtime, without code? → Operational Evidence Besoin seulement de prouver qu'un contrôle a opéré au runtime, sans code ? → Operational Evidence
237+
technical signals
extracted from code
signaux techniques
extraits du code
65+
executable pytest
tests generated
tests pytest
exécutables générés
SHA-256
sealed report —
cryptographically verifiable
dossier scellé —
vérifiable cryptographiquement
Art. 9–15
+ Art. 27 · Art. 50
ISO 42001
+ Art. 27 · Art. 50
ISO 42001
These numbers aren't the product. They're what makes a governance claim demonstrated rather than declared — every signal, test and seal is a re-verifiable observation, not an opinion. Evidence, not authority → Ces chiffres ne sont pas le produit. Ils sont ce qui rend une affirmation de gouvernance démontrée plutôt que déclarée — chaque signal, test et sceau est une observation re-vérifiable, pas une opinion. La preuve, pas l'autorité →
Technical controls verified against EU AI Act Articles 9–15, Art. 27, Art. 50 and ISO 42001. Evidence from source code and documentation — not declarations. Plus a Sincerity Score: automated detection of gaps between what your docs claim and what your code actually implements.
Technical controls only — organizational obligations (governance, roles, procedures) require human assessment.
Contrôles techniques vérifiés contre les Articles 9–15, Art. 27, Art. 50 de l'EU AI Act et ISO 42001. Preuves depuis le code source et la documentation — pas des déclarations. Plus un Score de Sincérité : détection automatique des écarts entre ce que vos docs affirment et ce que votre code implémente réellement.
Contrôles techniques uniquement — les obligations organisationnelles (gouvernance, rôles, procédures) nécessitent une évaluation humaine.
From source code to a structured technical evidence package — initial analysis completed in minutes. Du code source au dossier de preuves structuré — analyse initiale complétée en quelques minutes.
Real audit dossiers — available on request Dossiers d'audit réels — disponibles sur demande
OpenBB Agents
14 reports · Governance dashboard · Behavioral audit · Decision accountability 14 rapports · Dashboard gouvernance · Audit comportemental · Traçabilité des décisions
Assessed independently on publicly available repositories. Not affiliated with project maintainers. Évalué indépendamment sur des dépôts publics. Non affilié aux mainteneurs du projet.
- →Risk registry present and structuredRegistre de risques présent et structuré
- →Mitigation measures documented and linked to codeMesures de mitigation documentées et liées au code
- →Post-market monitoring mechanism in placeMécanisme de surveillance post-marché en place
- →Dataset artifacts, lineage and quality docsArtefacts dataset, traçabilité et documentation qualité
- →Bias detection tests executed on training dataTests de détection de biais exécutés sur les données d'entraînement
- →PII masking verified in data pipelinesMasquage PII vérifié dans les pipelines de données
- →Model card and system description verifiedModel card et description système vérifiés
- →Versioning and change log in placeVersionnement et journal des modifications en place
- →Explainability documentation presentDocumentation d'explicabilité présente
- →Audit trail implementation detected in codeImplémentation du journal d'audit détectée dans le code
- →Log integrity mechanism tested at runtimeMécanisme d'intégrité des logs testé en runtime
- →Decision logging verified end-to-endJournalisation des décisions vérifiée de bout en bout
- →User-facing transparency notice verifiedNotice de transparence utilisateur vérifiée
- →Limitations and intended use documentedLimitations et usage prévu documentés
- →Output confidence and uncertainty communicatedConfiance et incertitude des sorties communiquées
- →Human-in-the-loop mechanism in the codeMécanisme HITL présent dans le code
- →Override and stop controls tested at runtimeContrôles de dérogation et d'arrêt testés en runtime
- →Human fallback path verified under failureChemin de repli humain vérifié en cas de défaillance
The most tested article — injection attacks are executed live. L'article le plus testé — les attaques par injection sont exécutées en live.
⚠️ Technical controls only. FactNotebook verifies that technical mechanisms are present and implemented. Organizational obligations — named oversight persons, training records, governance procedures — require human assessment and cannot be verified from code alone. ⚠️ Contrôles techniques uniquement. FactNotebook vérifie que les mécanismes techniques sont présents et implémentés. Les obligations organisationnelles — personnes de supervision nommées, formations, procédures de gouvernance — nécessitent une évaluation humaine et ne peuvent pas être vérifiées depuis le code seul.
Tools that scan your dependencies tell you which articles apply to you. FactNotebook does that — and then generates tests, runs them, and seals the evidence. Knowing Art. 15 applies is not evidence of compliance. Les outils qui scannent vos dépendances vous disent quels articles vous concernent. FactNotebook fait ça — puis génère des tests, les exécute et scelle les preuves. Savoir que l'Art. 15 s'applique n'est pas une preuve de conformité.
What you
receive
Ce que vous
recevez
Not just a score — a complete technical evidence package you can present to auditors, insurers, or your board. Generated locally, sealed before it leaves your machine. Pas seulement un score — un dossier complet de preuves techniques que vous pouvez présenter à des auditeurs, assureurs ou votre direction. Généré localement, scellé avant de quitter votre machine.
Executive Summary + Governance Dashboard Résumé exécutif + Dashboard gouvernance
Verdict, 7-domain radar, decision accountability. Present to your board without technical detail. Verdict, radar 7 domaines, traçabilité des décisions. À présenter à votre direction sans détail technique.
Sincerity Score + Behavioral Audit Score de Sincérité + Audit comportemental
Does the code contradict the docs? Was a human actually in the loop at runtime? Two questions no checklist can answer. Le code contredit-il la documentation ? Un humain était-il réellement dans la boucle à l'exécution ? Deux questions auxquelles aucune checklist ne répond.
14 Reports 14 Rapports
Navigable by role — board, auditor, engineer, regulator. Navigables par rôle — direction, auditeur, ingénieur, régulateur.
Sealed Dossier Dossier scellé
SHA-256 signed. Verifiable by any authority. Signé SHA-256. Vérifiable par toute autorité.
Remediation Remédiation
Prioritized playbook. Quick wins first. Playbook priorisé. Quick wins en premier.
● CI/CD integration — re-validates automatically at every deployment Intégration CI/CD — nouvelle validation automatique à chaque déploiement
Why not the alternatives? Pourquoi pas les alternatives ?
Declaration and narrative reports are not enough. Regulators want executable tests. Les déclarations et rapports narratifs ne suffisent pas. Les régulateurs veulent des tests exécutables.
| Excel / Declaration Excel / Déclaratif | Consulting firm Cabinet Conseil |
FactNotebook
Recommended
Recommandé
|
|
|---|---|---|---|
| Duration Durée | 2–4 weeks 2–4 semaines | 3–10 days 3–10 jours | 4 min |
| Pricing Tarification | Internal (hidden) Interne (caché) | 15–50 k€ | Contact us → Nous contacter → |
| Type of evidence Type de preuve | Declarative Déclaratif | Narrative Narratif | Technical + SHA-256 seal Technique + sceau SHA-256 |
| Verifiable by authority Vérifiable par autorité | ✗ | ✗ | ✓ |
| Executable tests Tests exécutables | ✗ | ✗ | ✓ |
| Risk classification (Annex III) Classification risque (Annexe III) | Manual Manuel | ✓ | ✓ |
| Continuous validation Validation continue | Manual Manuel | Re-billed Refacturé | CI/CD |
Common questions Questions fréquentes
Do you need access to our source code?Avez-vous besoin d'accéder à notre code source ? +
What if the evidence to prove a control operated isn't there?Et si la preuve qu'un contrôle a opéré n'existe pas ? +
Does a clean result mean we're compliant or approved?Un résultat propre signifie-t-il que nous sommes conformes ou approuvés ? +
How is this different from our own logs?En quoi est-ce différent de nos propres logs ? +
Can you reconstruct what happened on a past AI decision?Pouvez-vous reconstruire ce qui s'est passé sur une décision IA passée ? +
Does anything leave our environment?Quelque chose quitte-t-il notre environnement ? +
Find out what you can actually prove.
You point us at the evidence. We reconstruct it.
Découvrez ce que vous pouvez réellement prouver.
Vous nous indiquez la preuve. Nous la reconstruisons.
From your operational artifacts — no source code needed to start. Nothing leaves your environment, and nothing is shared without your consent. Depuis vos artefacts opérationnels — sans code source pour démarrer. Rien ne quitte votre environnement, et rien n'est partagé sans votre accord.
Get a Proposal → Obtenir une proposition →