ACF
acfstandard.io
Developer docs
EN
Doctrine

Le rôle DDAO

DDAO — Designated Delegated Agent Officer. Pierre angulaire humaine d’ACF®. Personne physique (ou organe collégial) nommément désignée comme responsable d’un agent (ou d’un portefeuille d’agents) en production. Inspirée du DPO (RGPD art. 37-39) et du CISO.

iNote
Le DDAO n’est pas un titre marketing ni un rôle décoratif. C’est une personne identifiable nommément, qui engage la responsabilité juridique de l’entreprise pour les décisions de l’agent qu’elle supervise. Pour cette raison, ACF® impose que le DDAO soit indépendant de la chaîne hiérarchique de l’agent — comme le DPO l’est du Directeur du marketing.

Les quatre missions

  1. Validation des décisions critiques que l’agent est conçu pour escalader (seuils ACF-12).
  2. Arbitrage en cas d’escalade non prévue situation hors mandat, comportement de dérive, signal d’alerte du registre.
  3. Suivi des dérives drift de modèle, drift de distribution des cas, drift de coûts.
  4. Conduite des revues périodiques trimestrielles a minima, sur le périmètre confié, avec rapport au comité de gouvernance.

Profil attendu

Le DDAO est typiquement issu d’un des trois viviers suivants : (1) un DPO existant qui élargit son périmètre, (2) un CISO ou directeur d’audit interne, (3) un responsable conformité produit ou un product manager senior qui passe en posture de gouvernance. Aucun de ces profils n’est natif d’ACF® — la formation au cadre est explicite, via les fiches ACF-13 (Cas Pratique Guidé) et ACF-14 (Guide Enseignant).

Indépendance

Le DDAO ne peut pas reporter au même responsable que l’agent qu’il supervise. Pour un agent de qualification de leads, le DDAO ne peut pas reporter au CMO. Pour un agent de scoring crédit, le DDAO ne peut pas reporter au directeur des risques crédit. L’architecture cible est un report direct à la direction générale, au DPO, ou au comité d’audit du conseil. Ce point est durci dans la fiche ACF-12 (Mandat d’Agent).

Engagement de responsabilité

Comme pour le DPO RGPD, le DDAO ne porte pas la responsabilité juridique en lieu et place de l’entreprise — c’est l’entreprise qui répond. Mais le DDAO porte une responsabilité fonctionnelle : c’est lui qui doit pouvoir produire, à la demande, la trace cryptographique d’une décision précise, justifier les choix de seuils, et démontrer la conduite des revues. En cas d’audit AI Act, c’est lui (ou elle) qui est convoqué·e par le régulateur.

Instrumentation MCP

Trois outils du serveur acf-mcp sont spécifiquement conçus pour le DDAO : acf.assign-ddao-controls (assigner les contrôles), acf.evaluate-agent-mandate (auditer un mandat existant),acf.identify-governance-gaps (identifier les manques avant audit externe). Un DDAO outillé peut conduire une revue trimestrielle en quelques heures plutôt qu’en quelques jours.